Tcpdump के साथ मैक ओएस एक्स पर। कैप पैकेट कैप्चर फ़ाइल को कैसे पढ़ा जाए

चाहे नेटवर्क से पैकेट ट्रेस या स्नीफिंग और कैप्चरिंग पैकेट कर रहे हों, परिणाम आम तौर पर। कैप कैप्चर फ़ाइल का निर्माण होता है। वह .cap, pcap, या wcap पैकेट कैप्चर फ़ाइल किसी नेटवर्क को स्नीफ करने के लिए उपयोग की जा रही चीज़ों के बावजूद बनाई गई है, नेटवर्क प्रशासकों और सुरक्षा पेशेवरों के बीच एक काफी आम कार्य है। शायद .cap फ़ाइल खोलने, पढ़ने और समझने का सबसे आसान तरीका मैक या लिनक्स मशीन पर अंतर्निहित टीसीपीडम्प उपयोगिता का उपयोग कर रहा है।

मान लीजिए कि आपने नेटवर्क कनेक्शन के लिए पहले से ही एक पैकेट ट्रेस कैप्चर कर लिया है और टीसीपीडम्प, वायर्सहार्क, एयरपोर्ट, वायरलेस डायग्नोस्टिक्स स्निफर टूल, या जो भी अन्य नेटवर्क उपयोगिता से .cap, .pcap, या .wcap एक्सटेंशन के साथ एक कैप्चर की गई पैकेट फ़ाइल बनाई है। 'का उपयोग कर रहे हैं, आपको .cap फ़ाइल देखने के लिए बस इतना करना है ओएस एक्स * में टर्मिनल लॉन्च करना है और उसके बाद निम्न कमांड स्ट्रिंग टाइप करें, सिंटैक्स को आवश्यकतानुसार समायोजित करें:

tcpdump -r /path/to/packetfile.cap

अधिकांश समय .cap फ़ाइल बहुत बड़ी है इसलिए स्कैनिंग के लिए .cap फ़ाइल को कम या अधिक में पाइप करना सबसे अच्छा है, हम कम उपयोग करेंगे:

tcpdump -r /path/to/packetfile.cap | less

उदाहरण के लिए, मान लें कि /tmp/airportSniff8471xEG.cap पर स्थित कैप्चर फ़ाइल है जो शानदार एयरपोर्ट कमांड लाइन उपयोगिता के साथ स्थानीय वाई-फाई नेटवर्क की निगरानी से उत्पन्न हुई थी, वाक्यविन्यास होगा:

tcpdump -r /tmp/airportSniff8471xEG.cap | less

फ़ाइल को आसानी से स्कैन किया जा सकता है, व्याख्या किया जा सकता है, पढ़ सकता है, चारों ओर ले जाया जा सकता है, खोजा जा सकता है, या जो भी आप इसके साथ करना चाहते हैं। हम .cap फ़ाइलों में निहित डेटा के प्रकार के बारे में विशिष्टताओं को शामिल नहीं करेंगे और इस walkthrough में इसके साथ क्या करना है, लेकिन यदि आप सिस्टम या नेटवर्क प्रशासन में नहीं हैं, तो भी दिलचस्प अनुभव नहीं होने पर भी यह अंतर्दृष्टिपूर्ण हो सकता है।

यदि आपने कभी भी .cap फ़ाइल पर बिल्ली का उपयोग करने का प्रयास किया है, तो आप जानते हैं कि इसका परिणाम गिब्बिश के गुच्छा में होता है जो टर्मिनल को बर्क कर देगा, अक्सर स्क्रीन पर गंदगी को साफ़ करने के लिए टर्मिनल रीसेट की आवश्यकता होती है।
जबकि कई तृतीय पक्ष ऐप्स हैं। फ़ाइलों को समझने और पढ़ने के लिए, कमांड लाइन में इतना मूल रूप से निर्मित करने की क्षमता के साथ आमतौर पर एक कब्जा पैकेट फ़ाइल स्कैन करने के लिए एक और ऐप प्राप्त करने का कोई कारण नहीं है।

* हम स्पष्ट रूप से मैक ओएस एक्स में पढ़ने के लिए .cap फ़ाइलों पर ध्यान केंद्रित कर रहे हैं, लेकिन tcpdump कमांड लिनक्स के लगभग हर संस्करण पर भी मौजूद है, जो यूनिक्स की कई किस्मों के लिए लगभग सार्वभौमिक कमांड लाइन उपयोगिता बना रहा है। सिर्फ मन में रखने वाली कुछ बातें।