我想将一些 PCAP 跟踪转换为 Netflow 格式,以便使用 netflow 工具进行进一步分析。有什么办法可以做到这一点吗?
具体来说,我想使用“flow-export”工具从 netflow 跟踪中提取一些感兴趣的字段,如下所示:
$ flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS < mynetflow.trace
在本例中,mynetflow.trace 文件是通过使用以下命令转换 PCAP 文件来获取的:
$ nfcapd -p 12345 -l ./
$ softflowd -n localhost:12345 -r mytrace.pcap
这会生成一个网络流跟踪,但它无法被流导出正确使用,因为它的格式不正确。我还尝试将以下命令的输出通过管道传输到 flow-export,如下所示:
$ flow-import -V1 -z0 -f0 <mynetflow.trace | flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS
但第一个命令的输出生成零时间戳。
有任何想法吗?
我查看了流导出文档,发现 pcap 实现存在一些公认的错误。不确定它们是否已修复。
根据捕获的内容,您还有其他几个选项:
如果您从链接捕获直接流量并且想要将其转换为 NetFlow 格式,您可以下载一个免费的 Netflow 导出工具,该工具在此处读取 PCAP:
FlowTraq 免费导出器
or here:
NProbe
如果您捕获了传输中的 NetFlow 流量(例如 UDP/2055),那么您可以使用“tcpreplay”之类的工具重播它,该工具在任何 Linux 发行版中都可用。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
