无论是执行数据包跟踪还是从网络中嗅探和捕获数据包，结果通常都是创建 .cap 捕获文件。无论您使用什么来嗅探网络，都会创建 .cap、pcap 或 wcap 数据包捕获文件，这是网络管理员和安全专业人员中相当常见的任务。打开、读取和解释 .cap 文件的最简单方法可能是使用 Mac 或 Linux 机器上的内置 tcpdump 实用程序。

假设您已经捕获了网络连接的数据包跟踪并创建了一个从 tcpdump、wireshark、airport、无线诊断嗅探器工具，或您正在使用的任何其他网络实用程序，查看 .cap 文件所需要做的就是在 OS X * 中启动终端，然后键入以下命令字符串，并根据需要调整语法：

tcpdump -r /path/to/packetfile.cap

大多数情况下，.cap 文件都很大，因此最好将 .cap 文件传输到 less 或 more 中进行扫描，我们将使用 less：

<代码>tcpdump -r /path/to/packetfile.cap |少

例如，假设有一个位于 /tmp/airportSniff8471xEG.cap 的捕获文件，它是通过使用出色的 airport command line utility ，语法为：

<代码>tcpdump -r /tmp/airportSniff8471xEG.cap |少

如果您曾经尝试在 .cap 文件上使用 cat，您就会知道它会导致一堆乱码，这会使终端变得笨拙，通常需要 终端重置以清除屏幕上的乱码。
虽然有许多第三方应用程序可以解释和读取 .cap 文件，但本机内置了这样做的能力在命令行中，通常没有理由仅仅为了简单地扫描捕获的数据包文件而获得另一个应用程序。

* 我们显然专注于阅读 Mac OS X 中的 .cap 文件，但几乎每个版本的 Linux 都存在 tcpdump 命令，这使得它成为许多 unix 的几乎通用的命令行实用程序。只是要记住一些事情。