Ya sea que se realice un rastreo de paquetes o se detecten y capturen paquetes de una red, el resultado suele ser la creación de un archivo de captura .cap. Ese archivo de captura de paquetes .cap, pcap o wcap se crea independientemente de lo que esté usando para rastrear una red, una tarea bastante común entre los administradores de red y los profesionales de la seguridad. Quizás la forma más fácil de abrir, leer e interpretar un archivo .cap está usando la utilidad tcpdump incorporada en una máquina Mac o Linux.

Suponiendo que ya capturó un seguimiento de paquete para una conexión de red y creó un archivo de paquete capturado con una extensión .cap, .pcap o .wcap de tcpdump, wireshark, airport, Wireless Diagnostics Sniffer herramienta, o cualquier otra utilidad de red que esté utilizando, todo lo que necesita hacer para ver el archivo .cap es iniciar Terminal en OS Xy luego escribir la siguiente cadena de comando, ajustando la sintaxis según sea necesario:

tcpdump -r /path/to/packetfile.cap

La mayoría de las veces, un archivo .cap es bastante grande, por lo que es mejor canalizar el archivo .cap en less o more para escanear, usaremos less:

tcpdump -r /ruta/al/archivodepaquetes.cap | menos

Por ejemplo, supongamos que hay un archivo de captura ubicado en /tmp/airportSniff8471xEG.cap que se generó al monitorear una red wi-fi local con la fantástica utilidad de línea de comandos del aeropuerto, la sintaxis sería:

tcpdump -r /tmp/airportSniff8471xEG.cap | menos

El archivo se puede escanear, interpretar, leer, mover, buscar o cualquier otra cosa que desee hacer con él fácilmente. No cubriremos detalles sobre el tipo de datos contenidos en los archivos .cap y qué hacer con ellos en este tutorial, pero incluso si no está en sistemas o administración de redes, puede ser una experiencia reveladora, si no interesante.

Si alguna vez ha intentado usar cat en un archivo .cap, sabe que resulta en un montón de galimatías que dañarán la Terminal, lo que a menudo requerirá un reinicio de la Terminal para borrar las galimatías en la pantalla. Si bien hay muchas aplicaciones de terceros para interpretar y leer archivos .cap, con la capacidad de hacerlo de forma nativa integrada en la línea de comandos, generalmente hay pocas razones para obtener otra aplicación para simplemente escanear un archivo de paquete capturado.

Obviamente nos estamos enfocando en leer archivos .cap en Mac OS X aquí, pero el comando tcpdump existe en casi todas las versiones de Linux también, lo que hace que esta sea una utilidad de línea de comandos casi universal para muchos variedades de unix. Sólo algo para tener en cuenta.