CAPINFOS

Het is ook mogelijk om (meta) informatie te krijgen van een PCAP bestand, bijv. als je dit toegestuurd krijgt. Hiervoor gebruiken we het programma capinfos: $ capinfos linuxusers.pcap

Hier kun je oa. zien vanaf welke interface de capture is genomen (File encapsulation), als je de “any” adapter gebruikt zal hier “Linux Cooked Capture” staan, ook kun je eventuele Capture Filters zien.

$ capinfos not53.pcap

nog enkele handige opties zijn:

capinfos linuxusers.pcap -a

capinfos linuxusers.pcap -e

capinfos linuxusers.pcap -t

Het bestandstype is PCAP voor oudere versies (en tcpdump) en PCAPNG[34] voor nieuwere versies.

Er zijn nog veel meer opties, de capinfos manpages is dus een goede bron van extra informatie. Verder is het ook mogelijk om PCAP bestanden te bewerken met editcap. En met de -s optie (bijv. -s 80) beperk je de “snaplenght” waardoor je de grootte van het PCAP bestand drastisch kunt verminderen, zonder nuttige informatie te verliezen).



[34] PCAP Next Generation