Či už ide o sledovanie paketov alebo snímanie a zachytávanie paketov zo siete, výsledkom je zvyčajne vytvorenie zachytávacieho súboru .cap. Tento súbor na zachytávanie paketov .cap, pcap alebo wcap sa vytvára bez ohľadu na to, čo používate na snímanie siete, čo je pomerne bežná úloha medzi správcami siete a odborníkmi na bezpečnosť. Možno najjednoduchší spôsob, ako otvoriť, prečítať a interpretovať súbor .cap používa vstavaný nástroj tcpdump na počítačoch Mac alebo Linux.

Za predpokladu, že ste už zachytili sledovanie paketov pre sieťové pripojenie a vytvorili ste vytvorený súbor zachytených paketov s príponou .cap, .pcap alebo .wcap z tcpdump, wireshark, airport, Wireless Diagnostics Sniffer nástroj alebo akýkoľvek iný sieťový nástroj, ktorý používate, na zobrazenie súboru .cap stačí spustiť Terminál v OS Xa potom zadať nasledujúci príkazový reťazec a podľa potreby upraviť syntax:

tcpdump -r /cesta/k/packetfile.cap

Súbor .cap je väčšinou dosť veľký, takže na skenovanie je najlepšie súbor .cap rozdeliť do menšieho alebo väčšieho množstva, my použijeme menej:

tcpdump -r /cesta/k/packetfile.cap | menej

Povedzme napríklad, že sa na adrese /tmp/airportSniff8471xEG.cap nachádza zachytávací súbor, ktorý bol vygenerovaný z monitorovania lokálnej wi-fi siete pomocou fantastického letiskového príkazového riadku, syntax by bola:

tcpdump -r /tmp/airportSniff8471xEG.cap | menej

Súbor je možné jednoducho skenovať, interpretovať, čítať, presúvať, prehľadávať alebo čokoľvek iné, čo s ním chcete robiť. V tomto návode sa nebudeme zaoberať špecifikami o type údajov obsiahnutých v súboroch .cap a o tom, čo s nimi robiť, ale aj keď nie ste v správe systémov alebo siete, stále to môže byť poučná, ak nie zaujímavá skúsenosť.

Ak ste sa niekedy pokúsili použiť mačku v súbore .cap, viete, že výsledkom je množstvo nezmyslov, ktoré zatvoria terminál, ktorý si často vyžaduje resetovanie terminálu, aby sa odstránili nezmysly na obrazovke. Aj keď existuje veľa aplikácií tretích strán na interpretáciu a čítanie súborov .cap, so schopnosťou tak urobiť natívne zabudovanou do príkazového riadku je vo všeobecnosti malý dôvod na získanie ďalšej aplikácie na jednoduché skenovanie zachyteného súboru paketov.

Očividne sa tu zameriavame na čítanie súborov .cap v systéme Mac OS X, ale príkaz tcpdump existuje takmer v každej verzii Linuxu, čo z neho robí takmer univerzálny nástroj príkazového riadka pre mnohých unixové odrody. Len niečo, čo treba mať na pamäti.