虽然捕获数据包真的很容易，但这主要是针对 IT 人员、网络管理员、系统管理员和其他更具技术知识的用户群的高级功能。尽管如此，它很容易跟上，所以一个普通的 Mac 用户将能够嗅探数据包并浏览捕获文件，尽管新手用户可能无法解释 pcap / wcap 文件结果。

如何在 OS X 中使用无线诊断嗅探数据包

此过程将自动断开 Mac 上任何活动的无线网络和传输，而不是专用于Macs wi-fi 卡嗅探无线网络流量并将检测到的数据捕获到数据包传输文件中。

1. Option+单击 OS X 菜单栏中的 Wi-Fi 菜单项
2. 从列表中选择“打开无线诊断”以打开 wi-fi 实用程序



3. 忽略启动画面并下拉“窗口”菜单，从“无线诊断”菜单的选项列表中选择“嗅探器”



4. 使用 wi-fi network stumbler tool 可以帮助识别嗅探网络流量的信道和宽度，然后单击“开始”



5. 当对数据包捕获的长度感到满意时，或者当嗅探到足够的网络流量时，单击“停止”结束数据包跟踪并将捕获的数据包文件保存到 OS X 桌面

捕获的数据包文件将以 .wcap 扩展名出现在桌面上，并包含数据包捕获的时间，名称应类似于“2017.04.20_17-27-12-PDT.wcap”。

在 Mac OS X 中打开 WCAP / PCAP 捕获文件

此文件可以从命令行使用 tcpdump 查看，或使用像 WireShark 这样的应用程序。通过命令行浏览数据包捕获文件将如下所示：

如果需要，您可以将文件扩展名从 wcap 更改为 pcap，您也可以在其他应用程序中打开输出文件，包括 Cocoa Packet Analyzer（App Store 链接）。下面的屏幕截图显示了这在 CPA 应用中的样子：

您如何处理捕获文件及其内容由您决定。我们不会在这个特定的演练中介绍结果的解释或您可以使用捕获文件中的信息做什么。

为什么抓包轨迹，嗅包有什么用？

捕获数据包跟踪的原因和目的有很多，但最常见的可能是用于网络故障排除，以识别连接问题或更好地了解特定的网络问题。如果您遇到网络性能受到影响的重复性问题，则尤其如此，因为它可以帮助确定原因并缩小 IT 人员或网络管理员要采取的行动范围。数据包嗅探也有更多可疑的目的，并且由于它捕获流过网络的原始数据，因此可以在不安全的无线网络上收集的信息类型可能会泄露信息。后一个原因是证明为什么仅加入安全的 Wi-Fi 网络如此重要的众多原因之一。不过，现在大多数服务都使用加密来传输数据，而且大多数无线网络都使用 WPA 安全加密，这两者都减轻了很多曾经可能有保证的担忧。这意味着数据包嗅探和捕获网络数据主要保留用于合法目的，网络优化，这是大型网络环境中相当常见的任务。