Se for o TShark 1.8 ou posterior, por padrão, ele faz NÃO arquivos de saída pcap, ele gera pcap-ng arquivos.
O Libpcap 1.1.0 e posterior pode ler arquivos pcap-ng, e o OS X possui a libpcap 1.1.x desde o Snow Leopard. CocoaPacketAnalyzer links estaticamente com sua própria versão do libpcap - mas uma olhada rápida nas strings do programa sugere que ele é construído com o libpcap 1.1.0 ou posterior.
No entanto, como o Wireshark, ele pode usar o libpcap apenas para capturar o tráfego de rede e ter seu próprio código para ler arquivos de captura. Isso significa que, ao contrário dos programas que usam libpcap para ler arquivos de captura, ele não capta magicamente a capacidade de ler arquivos pcap-NG se estiver vinculado a uma versão mais nova do libpcap.
Então, se você quiser ler capturas com CocoaPacketAnalyzer (ao invés de Wireshark, que pode ler arquivos pcap-ng, junto com arquivos pcap e um monte de outros tipos de arquivos), tem que mandar o TShark escrever arquivos pcap passando o flag -F pcap , e você terá que converter qualquer arquivo pcap-ng existente que você queira que o CocoaPacketAnalyzer leia nos arquivos pcap com editcap -F pcap {input file} {output file} ou, no Snow Leopard e mais tarde, tcpdump -r {input file} -w {output file} .