Bir PCAP izini NetFlow biçimine dönüştürme

Question

Netflow araçlarıyla daha fazla analiz için bazı PCAP izlerini Netflow biçimine dönüştürmek istiyorum. Bunu yapmanın bir yolu var mı? aşağıdaki gibi

Özellikle, bir Netflow iz ilgi bazı alanları elde etmek amacıyla "akış ihracatı" aracını kullanmak istiyorum: Bu durumda

$ flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS < mynetflow.trace 

, mynetflow.trace dosyası tarafından alınır aşağıdaki komutları kullanan bir PCAP dosya dönüştürme:

$ nfcapd -p 12345 -l ./ 

$ softflowd -n localhost:12345 -r mytrace.pcap 

Bu, bir netflow iz oluşturur, ancak bunun doğru bir biçimde değil çünkü, doğru akım ihracat tarafından kullanılamaz.

$ flow-import -V1 -z0 -f0 <mynetflow.trace | flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS 

ancak ilk komut çıkış sıfır zaman damgalarını oluşturulur: aşağıdaki gibi akış-ihracat borusuna ayrıca aşağıdaki komutun çıkış denedik.

Herhangi bir fikrin var mı? Netflow formatı oldukça ayrıntılı ve zengindür.

Answer 1

Doğru özellikler için here'a bakın.

Answer 2

Akış ihracatı belgelerine baktım ve pcap uygulamasında bazı onaylanmış hatalar var. Henüz düzeltildiklerinden emin değilim.

Yakalama içeriğinize bağlı olarak, birkaç seçeneğiniz vardır: Bir bağlantıdan doğrudan trafiği yakaladıysanız ve bunu NetFlow biçimine dönüştürmek istiyorsanız, bunu okuyan ücretsiz bir netflow ihracatçısı aracını indirebilirsiniz. burada PCAP: burada

FlowTraq Free Exporter

ya: Eğer transit NetFlow trafik yakalanan Eğer

NProbe

(diyelim UDP/2055), daha sonra herhangi bir linux dağıtımında bulunan 'tcpreplay' gibi bir araçla tekrar oynatabilirsiniz.