Cho dù thực hiện theo dõi gói tin hay dò tìm và bắt giữ các gói tin từ mạng, kết quả thường là tạo ra một tệp chụp hình .cap. Tệp chụp gói .cap, pcap hoặc wcap đó được tạo bất kể bạn đang sử dụng cái gì để đánh hơi mạng, một nhiệm vụ khá phổ biến giữa các quản trị viên mạng và chuyên gia bảo mật. Có lẽ cách dễ nhất để mở, đọc và giải thích tệp .cap đang sử dụng tiện ích tcpdump tích hợp sẵn trên máy Mac hoặc Linux.

Giả sử bạn đã chụp theo dõi gói cho kết nối mạng và tạo một tệp gói đã chụp với phần mở rộng .cap, .pcap hoặc .wcap từ tcpdump, Wireshark, sân bay, Bộ dò chẩn đoán không dây hoặc bất kỳ tiện ích mạng nào khác mà bạn đang sử dụng, tất cả những gì bạn cần làm để xem tệp .cap là khởi chạy Terminal trong OS Xrồi nhập chuỗi lệnh sau, điều chỉnh cú pháp nếu cần:

tcpdump -r /path/to/packetfile.cap

Hầu hết thời gian, tệp .cap khá lớn, vì vậy, tốt nhất là chia nhỏ tệp .cap thành ít hơn hoặc nhiều hơn để quét, chúng tôi sẽ sử dụng ít hơn:

tcpdump -r /path/to/packetfile.cap | ít hơn

Ví dụ: giả sử có một tệp chụp nằm tại /tmp/airportSniff8471xEG.cap được tạo từ việc giám sát mạng wi-fi cục bộ bằng tiện ích dòng lệnh sân bay tuyệt vời , cú pháp sẽ là:

tcpdump -r /tmp/airportSniff8471xEG.cap | ít hơn

Có thể dễ dàng quét, diễn giải, đọc, di chuyển vào trong, tìm kiếm hoặc bất kỳ việc gì khác mà bạn muốn thực hiện với tệp. Chúng tôi sẽ không đề cập chi tiết cụ thể về loại dữ liệu có trong các tệp .cap và phải làm gì với dữ liệu đó trong hướng dẫn này, nhưng ngay cả khi bạn không làm trong hệ thống hoặc quản trị mạng thì đó vẫn có thể là một trải nghiệm sâu sắc nếu không muốn nói là thú vị.

Nếu bạn đã từng thử sử dụng cat trên tệp .cap, bạn biết rằng nó dẫn đến một loạt lỗi vô nghĩa sẽ làm hỏng Terminal, thường yêu cầu thiết lập lại Terminal để xóa lỗi vô nghĩa trên màn hình. Mặc dù có nhiều ứng dụng của bên thứ ba để diễn giải và đọc các tệp .cap, nhưng với khả năng làm như vậy được tích hợp sẵn trong dòng lệnh, nhìn chung có rất ít lý do để tải một ứng dụng khác chỉ đơn giản là quét một tệp gói đã chụp.

Rõ ràng là chúng tôi đang tập trung vào việc đọc các tệp .cap trong Mac OS X ở đây, nhưng lệnh tcpdump cũng tồn tại trên mọi phiên bản Linux hiện có, khiến đây trở thành một tiện ích dòng lệnh gần như phổ biến cho nhiều người các loại unix. Chỉ là một thứ để ghi nhớ trong đầu.