无论是执行数据包跟踪还是从网络中嗅探和捕获数据包，结果通常都是创建.cap 捕获文件。无论您使用什么来嗅探网络，都会创建 .cap、pcap 或 wcap 数据包捕获文件，这是网络管理员和安全专业人员中相当常见的任务。也许是打开、阅读和解释 .cap 文件正在使用 Mac 或 Linux 机器上的内置 tcpdump 实用程序。

假设您已经捕获了网络连接的数据包跟踪并创建了一个捕获的数据包文件，其扩展名为 .cap、.pcap 或 .wcap，来自 tcpdump、wireshark、airport、Wireless Diagnostics Sniffer工具，或您正在使用的任何其他网络实用程序，查看 .cap 文件所需要做的就是在 OS X中启动终端，然后键入以下命令字符串，并根据需要调整语法：

tcpdump -r /path/to/packetfile.cap

大多数时候.cap文件都很大，所以最好将.cap文件通过管道传输到less或more中进行扫描，我们将使用less：

tcpdump -r /path/to/packetfile.cap |较少的

例如，假设有一个位于/tmp/airportSniff8471xEG.cap 的捕获文件，它是通过使用出色的机场命令行实用程序监控本地wi-fi 网络生成的，语法为：

tcpdump -r /tmp/airportSniff8471xEG.cap |较少的

文件可以很容易地被扫描、解释、阅读、移动、搜索，或者任何你想用它做的事情。在本演练中，我们不会详细介绍 .cap 文件中包含的数据类型以及如何处理它，但即使您不从事系统或网络管理工作，它仍然可以是一种有见地的体验，即使不是有趣的体验。

如果您曾尝试在 .cap 文件上使用 cat，您就会知道它会导致一堆乱码，这会使终端变得笨拙，通常需要重置终端才能清除屏幕上的乱码。虽然有许多第三方应用程序可以解释和读取 .cap 文件，但由于能够在命令行中内置这样做，因此通常没有理由仅仅为了简单地扫描捕获的数据包文件而获取另一个应用程序。

我们显然专注于阅读 Mac OS X 中的 .cap 文件，但 tcpdump 命令也存在于几乎所有版本的 Linux 上，这使它成为许多人几乎通用的命令行实用程序各种unix。只是要记住一些事情。