WireShark 1.8から、デフォルトのフォーマットがpcapng形式になっている。これを、この形式に対応していないtcpdump等で利用するには、libpcap形式等に変換する必要がある。WireShark同梱のeditcap.exeで変換できる。

editcap.exe -F libpcap test.pcapng test.pcap

やはり同梱のcapinfos.exeで形式を確認できる。

capinfos.exe test.pcap
File name:           test.pcap
File type:           Wireshark/tcpdump/... - libpcap
File encapsulation:  Ethernet
Packet size limit:   file hdr: 65535 bytes
Number of packets:   1874647
File size:           1635139457 bytes
Data size:           1605145081 bytes
Capture duration:    297 seconds
...

capinfos.exe test.pcapng
File name:           test.pcapng
File type:           Wireshark - pcapng
File encapsulation:  Ethernet
Packet size limit:   file hdr: (not set)
Number of packets:   1874647
File size:           1667607300 bytes
Data size:           1605145081 bytes
Capture duration:    297 seconds

無事に変換できたので、今日はこれで終了！