我尝试在 Mac OSX El Capitan 10.11.4 上使用 sngrep 实用程序,当我尝试打开任何 pcap 文件时出现错误。
错误如下:
Johns-MacBook-Pro:下载 gojira$ sngrep -I 12345.pcap 无法打开 pcap 文件 12345.pcap:未知文件格式
有人知道为什么会发生这种情况,以及如何让它正常工作吗?我以前能够打开其他 pcap 文件,没有这个问题。
答案1
那是一个压缩(压缩的) pcap 文件,或者可能是 gzip 压缩的 pcapng 文件。Wireshark/TShark 可以读取这些文件,但 sngrep 等使用 libpcap/WinPcap 的程序则无法读取这些文件,除非它们自己进行解压缩,而 sngrep 则不会这样做。
将其重命名为 12345.pcap.gz,然后执行gunzip 12345.pcap.gz;这会将其解压缩为名为 12345.pcap 的文件,该文件可能是 pcap 或 pcapng 文件,OS X 10.11.4 的 libpcap 都可以读取。