Запуск команды файла с файлом PCAP напечатает что-то вдоль линий -PCAP файлы и порядок байт
$ file pcap.pcap
pcap.pcap: tcpdump capture file (little-endian) - version 2.4 ....
Я искал способ создания тупоконечника захваченный файл или загрузить образец одного онлайн, но безрезультатно.
Я также смущен относительно того, что именно в pcap было бы мало-северным или big-endian. Я понял, что libpcap захватил то, что он видит на проводе.
Ну, один из способов сделать это - запустить tcpdump или Wireshark на машине большого конца; попробуйте получить, например, старый Mac на базе PowerPC, работающий под управлением ОС X.
Помимо этого, о единственном способе их получения будет смотреть, скажем, the Wireshark Wiki's SampleCaptures page, чтобы узнать, описаны ли какие-либо захваты как например, на машине, основанной на SPARC, или на машине на базе PowerPC (или на машине MIPS большого размера, такой как машина SGI, но не на машине DEC) или искать ошибку в the Wireshark bug database, которая содержит сделанный захват на большой машине. libpcap/WinPcap выписывает файлы захвата в порядке байтов хоста - цель состоит в том, чтобы устранить лишние издержки на байтов при записи живых захватов, перекладывая нагрузку на программу, просматривающую файл.
И, да, Libpcap/WinPcap захвата, что они видели на проводе, НО они добавляют заголовок файла, давая, например, канального уровня типа заголовка для пакетов, и добавить к каждому пакету заголовок пакета давая отметку времени для пакета, длину пакета, как он появился в сети, и количество захваченных байтов (в случае, если программе захвата было предложено «разрезать» пакет с максимальным размером, чтобы уменьшить ЦП и пропускная способность ввода/вывода при захвате, если интересны, например, только заголовки канального уровня, сетевого уровня и транспортного уровня). Эта информация - это то, что является big-endian или little-endian; фактический пакет данные находятся в том порядке, в котором он был в сети (хотя метаданные пакета, такие как радиоинформация для 802.11, могут быть в стандартном порядке байтов, например, для малознакомых для radiotap радиоинформации или могут быть в хост-байтовый порядок, как в случае с метаданными Linux USB).
Shameless плагин, но я написал утилиту, которая преобразующий порядка байтов PCAP файлов:
Чтобы преобразовать порядок байт файла PCAP, вы можете также использовать Wireshark или ТСРйитр:
С wirehark просто откройте файл и сохраните его без изменений. Сохраненный файл будет иметь одинаковую консистенцию вашего компьютера.
или ТСРйитр, просто сделать «Sudo ТСРйитр -r -w inputpcapfile outputpcapfile»
Таким образом, вы можете преобразовать файл PCAP иметь тот же порядок байтов, чем ваш компьютер. Скажем, если ваш компьютер использует маленький endian, а файл pcap - большой endian, сохраненный файл будет использовать немного endian. Это работает только в одном направлении, это невозможно, чтобы преобразовать его в другую, чем ваш компьютер.
Файл захвата, прикрепленный к Wireshark Bug # 7221, является big-endian ... https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=7221 – willyo