एक PCAP फ़ाइल के खिलाफ फ़ाइल आदेश चल रहा है की तर्ज पर कुछ बाहर प्रिंट होगा एक ऑनलाइन का नमूना, लेकिन कोई फायदा नहीं हुआ।PCAP फ़ाइलें और endianness
मैं भी उलझन में हूं कि वास्तव में एक पेप में क्या होता है जो छोटे-छोटे या बड़े-एंडियन होता है। यह मेरी समझ थी कि libpcap ने तार पर जो देखा वह कब्जा कर लिया।
ठीक है, ऐसा करने का एक तरीका टीसीपीडम्प या वायर्सहार्क को एक बड़े-एंडियन मशीन पर चलाने के लिए होगा; उदाहरण के लिए, एक पुराना पावरपीसी-आधारित मैक चल रहा ओएस एक्स
इसके अलावा, उन्हें प्राप्त करने का एकमात्र तरीका यह देखने के लिए होगा कि the Wireshark Wiki's SampleCaptures page यह देखने के लिए कि क्या कोई कैप्चर वर्णित है या नहीं एक एसपीएआरसी आधारित मशीन या एक पावरपीसी आधारित मशीन (या एक एसजीआई मशीन, लेकिन एक डीईसी मशीन नहीं है) पर, या the Wireshark bug database में एक बग की तलाश करें जिसमें एक कैप्चर होता है एक बड़ी एंडियन मशीन पर। libpcap/WinPcap होस्ट बाइट ऑर्डर में कैप्चर फाइलें लिखता है - लक्ष्य लाइव कैप्चर लिखते समय बाइट-स्वैपिंग ओवरहेड को खत्म करना है, फाइल को पढ़ने के लिए बोझ को स्थानांतरित करना।
और, हाँ, libpcap/WinPcap कब्जा क्या वे तार पर देखा, लेकिन वे एक फ़ाइल शीर्षक देने जोड़ने के लिए, उदाहरण के लिए, पैकेट के लिए लिंक परत हैडर प्रकार, और प्रत्येक के लिए जोड़ एक पैकेट शीर्षक पैकेट पैकेट के लिए एक समय टिकट, नेटवर्क पर दिखाई देने वाले पैकेट की लंबाई, और कब्जे वाले बाइट्स की संख्या (यदि कैप्चरिंग प्रोग्राम को अधिकतम आकार में पैकेट को "टुकड़ा" करने के लिए कहा गया था, तो कम करने के लिए कैप्चर करते समय सीपीयू और आई/ओ बैंडविड्थ, उदाहरण के लिए, केवल लिंक-लेयर, नेटवर्क-लेयर, और ट्रांसपोर्ट-लेयर हेडर दिलचस्प हैं)। कि जानकारी है जो बड़े एंडियन या छोटे-एंडियन है; वास्तविक पैकेट डेटा नेटवर्क पर जो भी ऑर्डर था (हालांकि पैकेट मेटाडाटा, जैसे कि 802.11 के लिए रेडियो जानकारी, मानक बाइट ऑर्डर में हो सकती है, जैसे radiotap रेडियो जानकारी के लिए छोटे-एंडियन, या हो सकता है मेजबान बाइट ऑर्डर, जैसा कि लिनक्स यूएसबी मेटाडाटा के मामले में है)।
बेशर्म प्लग, लेकिन मैं एक उपयोगिता है कि धर्मान्तरित PCAP फ़ाइलों के endianness लिखा है:
परिवर्तित करने के लिए एक PCAP फ़ाइल के endianness, आप भी wireshark या tcpdump उपयोग कर सकते हैं:
वायरसहार्क के साथ, बस फ़ाइल खोलें और संशोधन के बिना इसे सहेजें। सहेजी गई फ़ाइल में आपके कंप्यूटर का एक ही अंतहीनता होगा।
या tcpdump के साथ, बस इस तरह से आप अपने कंप्यूटर की तुलना में एक ही endianess के लिए एक PCAP फ़ाइल में बदल सकते हैं "outputpcapfile sudo tcpdump -r inputpcapfile डब्ल्यू "
है। कहें कि क्या आपका कंप्यूटर थोड़ा एंडियन का उपयोग करता है और पॅक फ़ाइल बड़ी एंडियन है, सहेजी गई फाइल कम एंडियन का उपयोग करेगी। यह केवल एक ही तरीके से काम करता है, यह आपके कंप्यूटर की तुलना में अन्य अंतहीनता में परिवर्तित करने के लिए इसका उपयोग करना संभव नहीं है।
वायरशर्क बग # 7221 से जुड़ी कैप्चर फ़ाइल बड़ी-अंत है ... https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=7221 – willyo