Ну, один из способов сделать это - запустить tcpdump или Wireshark на машине большого конца; попробуйте получить, например, старый Mac на базе PowerPC, работающий под управлением ОС X.
Помимо этого, о единственном способе их получения будет смотреть, скажем, the Wireshark Wiki's SampleCaptures page, чтобы узнать, описаны ли какие-либо захваты как например, на машине, основанной на SPARC, или на машине на базе PowerPC (или на машине MIPS большого размера, такой как машина SGI, но не на машине DEC) или искать ошибку в the Wireshark bug database, которая содержит сделанный захват на большой машине. libpcap/WinPcap выписывает файлы захвата в порядке байтов хоста - цель состоит в том, чтобы устранить лишние издержки на байтов при записи живых захватов, перекладывая нагрузку на программу, просматривающую файл.
И, да, Libpcap/WinPcap захвата, что они видели на проводе, НО они добавляют заголовок файла, давая, например, канального уровня типа заголовка для пакетов, и добавить к каждому пакету заголовок пакета давая отметку времени для пакета, длину пакета, как он появился в сети, и количество захваченных байтов (в случае, если программе захвата было предложено «разрезать» пакет с максимальным размером, чтобы уменьшить ЦП и пропускная способность ввода/вывода при захвате, если интересны, например, только заголовки канального уровня, сетевого уровня и транспортного уровня). Эта информация - это то, что является big-endian или little-endian; фактический пакет данные находятся в том порядке, в котором он был в сети (хотя метаданные пакета, такие как радиоинформация для 802.11, могут быть в стандартном порядке байтов, например, для малознакомых для radiotap радиоинформации или могут быть в хост-байтовый порядок, как в случае с метаданными Linux USB).
Файл захвата, прикрепленный к Wireshark Bug # 7221, является big-endian ... https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=7221 – willyo