sudo tshark -i en0 -x -w icmp_sample.pcap
Эта команда выводит файл pcap, но он кажется недействительным, потому что CocoaPacket Analyzer не может его открыть.
Любая идея?
Если это TShark 1.8 или новее, по умолчанию он НЕ выводить файлы pcap, он выводит pcap-ng файлы.
Libpcap 1.1.0 и более поздние версии могут читать файлы pcap-ng, а OS X имеет libpcap 1.1.x со времен Snow Leopard. Ссылки на CocoaPacketAnalyzer статически с собственной версией libpcap, но беглый взгляд на строки в программе позволяет предположить, что она построена с использованием libpcap 1.1.0 или новее.
Однако он может, как и Wireshark, использовать libpcap только для захвата сетевого трафика и иметь собственный код для чтения файлов захвата. Это означает, что, в отличие от программ, которые используют libpcap для чтения файлов захвата, он не получает волшебным образом возможность читать файлы pcap-NG, если они связаны с более новой версией libpcap.
Итак, если вы хотите читать снимки с помощью CocoaPacketAnalyzer (а не Wireshark, который жестяная банка читать файлы pcap-ng вместе с файлами pcap и целой кучей других типов файлов), вам нужно, чтобы TShark выписывал файлы pcap, передав ему флаг -F pcap, и вам нужно будет преобразовать любые существующие файлы pcap-ng, которые вы хотите, чтобы CocoaPacketAnalyzer считал, в файлы pcap с помощью editcap -F pcap {input file} {output file} или, для Snow Leopard и более поздних версий, tcpdump -r {input file} -w {output file}.