Comment lire le fichier de capture de paquets .cap sur Mac OS X avec tcpdump
Qu'il s'agisse d'effectuer un suivi de paquets ou de renifler et de capturer les paquets d'un réseau, le résultat est généralement la création d'un fichier de capture .cap. Ce fichier de capture de paquets .cap, pcap ou wcap est créé indépendamment de ce que vous utilisez pour renifler un réseau, une tâche assez courante chez les administrateurs de réseau et les professionnels de la sécurité. Le moyen le plus simple d'ouvrir, de lire et d'interpréter un fichier .cap est peut-être d'utiliser l'utilitaire tcpdump intégré sur une machine Mac ou Linux.
En supposant que vous avez déjà capturé une trace de paquet pour une connexion réseau et créé un fichier de paquet capturé avec une extension .cap, .pcap ou .wcap à partir de tcpdump, wireshark, airport, Wireless Diagnostics Sniffer tool, ou tout autre utilitaire réseau que vous utilisez, tout ce que vous avez à faire pour voir le fichier .cap est de lancer Terminal sous OS X * et ensuite de taper la chaîne de commande suivante, en ajustant la syntaxe si nécessaire :
tcpdump -r /path/to/packetfile.cap
La plupart du temps, un fichier .cap est assez volumineux, il est donc préférable d'utiliser le fichier .cap en moins ou en plus pour le scanner, nous utiliserons moins :
tcpdump -r /path/to/packetfile.cap | less
Par exemple, disons qu'il y a un fichier de capture situé dans /tmp/airportSniff8471xEG.cap qui a été généré à partir de la surveillance d'un réseau wi-fi local avec le fantastique utilitaire de ligne de commande de l'aéroport, la syntaxe serait :
tcpdump -r /tmp/airportSniff8471xEG.cap | less
Le fichier peut être facilement scanné, interprété, lu, déplacé, recherché, ou tout ce que vous voulez en faire. Nous n'aborderons pas les détails du type de données contenues dans les fichiers .cap et ce qu'il faut en faire dans cette présentation, mais même si vous n'êtes pas dans l'administration des systèmes ou des réseaux, cela peut être une expérience instructive, voire intéressante.
Si vous avez déjà essayé d'utiliser cat sur un fichier .cap, vous savez que cela entraîne un tas de charabia qui va boucher le terminal et qui nécessite souvent une réinitialisation du terminal pour effacer le charabia à l'écran.
Bien qu'il existe de nombreuses applications tierces pour interpréter et lire les fichiers .cap, avec la possibilité de le faire en ligne de commande, il n'y a généralement pas de raison d'obtenir une autre application pour simplement scanner un fichier de paquet capturé.
* Nous nous concentrons évidemment sur la lecture des fichiers .cap sous Mac OS X, mais la commande tcpdump existe aussi sur presque toutes les versions de Linux, ce qui en fait un utilitaire en ligne de commande presque universel pour de nombreuses variétés d'Unix. C'est juste quelque chose à garder à l'esprit.