Comment lire le fichier de capture de paquets .cap sur Mac OS X avec tcpdump
Que ce soit en effectuant une trace de paquet ou en reniflant et en capturant des paquets à partir d'un réseau, le résultat est généralement la création d'un fichier de capture .cap. Ce fichier de capture de paquets .cap, pcap ou wcap est créé indépendamment de ce que vous utilisez pour détecter un réseau, une tâche assez courante parmi les administrateurs réseau et les professionnels de la sécurité. La façon la plus simple d'ouvrir, de lire et d'interpréter un fichier .cap est peut-être d'utiliser l'utilitaire intégré tcpdump sur un ordinateur Mac ou Linux.
En supposant que vous avez déjà capturé une trace de paquet pour une connexion réseau et créé un fichier de paquet capturé avec une extension .cap, .pcap, ou .wcap depuis tcpdump, wireshark, airport, l'outil Wireless Diagnostics Sniffer, ou tout autre utilitaire réseau utilisez, tout ce que vous devez faire pour afficher le fichier .cap est de lancer Terminal sous OS X *, puis tapez la chaîne de commande suivante, en ajustant la syntaxe si nécessaire:
tcpdump -r /path/to/packetfile.cap
La plupart du temps, un fichier .cap est assez volumineux, il est donc préférable de rediriger le fichier .cap vers moins ou plus pour l'analyse. Nous en utiliserons moins:
tcpdump -r /path/to/packetfile.cap | less
Par exemple, disons qu'il existe un fichier de capture situé dans /tmp/airportSniff8471xEG.cap qui a été généré à partir de la surveillance d'un réseau wi-fi local avec l'utilitaire fantastique de ligne de commande de l'aéroport, la syntaxe serait:
tcpdump -r /tmp/airportSniff8471xEG.cap | less
Le fichier peut être facilement scanné, interprété, lu, déplacé, recherché ou tout ce que vous voulez faire avec. Nous ne détaillerons pas le type de données contenues dans les fichiers .cap et que faire de cette procédure, mais même si vous n'êtes pas dans les systèmes ou l'administration réseau, cela peut être une expérience intéressante, voire intéressante.
Si vous avez déjà essayé d'utiliser le chat sur un fichier .cap, vous savez qu'il en résulte un tas de charabia qui dérange le terminal, nécessitant souvent une réinitialisation du terminal pour effacer le charabia à l'écran.
Bien qu'il existe de nombreuses applications tierces pour interpréter et lire les fichiers .cap, avec la possibilité de le faire de manière native dans la ligne de commande, il y a généralement peu de raisons d'obtenir une autre application pour simplement scanner un fichier paquet capturé.
* Nous nous concentrons évidemment sur la lecture des fichiers .cap sous Mac OS X, mais la commande tcpdump existe sur presque toutes les versions de Linux, ce qui en fait un utilitaire de ligne de commande presque universel pour de nombreuses variétés d'Unix. Juste quelque chose à garder à l'esprit.