那些遇到过的问题

将PCAP跟踪转换为NetFlow格式

Reg*_*sor 9 linux network-programming traffic pcap netflow

我想将一些PCAP跟踪转换为Netflow格式,以便使用netflow工具进行进一步分析.有没有办法做到这一点?

具体来说,我想使用"flow-export"工具,以便从netflow跟踪中提取一些感兴趣的字段,如下所示: 

$ flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS < mynetflow.trace
Run Code Online (Sandbox Code Playgroud)

在这种情况下,通过使用以下命令转换PCAP文件来获取mynetflow.trace文件:

$ nfcapd -p 12345 -l ./ 

$ softflowd -n localhost:12345 -r mytrace.pcap
Run Code Online (Sandbox Code Playgroud)

这会生成一个netflow跟踪,但流量导出无法正确使用,因为它的格式不正确.我还尝试将以下命令的输出传递给flow-export,如下所示:

$ flow-import -V1 -z0 -f0 <mynetflow.trace | flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS
Run Code Online (Sandbox Code Playgroud)

但是第一个命令的输出生成了零时间戳.

有任何想法吗?

Vin*_*erk 4

我查看了流导出文档,发现 pcap 实现存在一些公认的错误。不确定它们是否已修复。

根据捕获的内容,您还有其他几个选项: 如果您从链接捕获直接流量并且希望将其转换为 NetFlow 格式,您可以下载一个免费的 Netflow 导出工具,该工具可在此处读取 PCAP:

FlowTraq 免费导出器

或在这里:

纳米探针

如果您捕获了传输中的 NetFlow 流量(例如 UDP/2055),那么您可以使用“tcpreplay”之类的工具重播它,该工具在任何 Linux 发行版中都可用。

归档时间:

查看次数:

16860 次

最近记录:

12 年,5 月 前
相关归档
你如何用sed"调试"正则表达式? 33
是否有可能使计算机充当蓝牙HID设备? 31
在Alpine docker中安装软件包 26
为什么kcachegrind不显示调用图? 18
我可以获得比/ dev/null更快的输出管道吗? 12
是否可以在Linux中使用9位串行通信? 11
使用sed删除文本文件中的所有前导/后续空格 10
listen()在c中的socket编程中的队列长度? 9
将txt数据包数据转换为pcap格式,以便通过Wireshark打开它 8
这部分代码在做什么? 1
难疑归档
如何检查数组是否包含JavaScript中的对象? 3778
将文本垂直对齐到UILabel中的顶部 2141
从Git提交中删除文件 1484
Python字符串格式:%vs. .format 1323
如何将字节数组转换为十六进制字符串,反之亦然? 1313
如何为所有浏览器垂直居中div? 1310
在Python中将整数转换为字符串? 1282
关闭特定行的eslint规则 1214
无法绑定到'ngModel',因为它不是'input'的已知属性 1173
UTF-8一路走来 1146