將PCAP跟蹤轉換爲NetFlow格式

Question

我想將一些PCAP跟蹤轉換爲Netflow格式，以便使用netflow工具進一步分析。有沒有辦法做到這一點？

具體來說，我想用「流出口」的工具，以便從網流痕跡提取所關注的一些領域如下：

$ flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS < mynetflow.trace 

在這種情況下，mynetflow.trace文件採取使用下列命令轉換PCAP文件：

$ nfcapd -p 12345 -l ./ 

$ softflowd -n localhost:12345 -r mytrace.pcap 

這，產生一個網絡流跡，但它不能被流出口正確使用，因爲它是不正確的格式。我也嘗試將以下命令的輸出按如下流程輸出：

$ flow-import -V1 -z0 -f0 <mynetflow.trace | flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS 

但第一個命令的輸出生成零時間戳。

任何想法？

Answer 1

Netflow格式相當詳細和豐富。準確的規格請看here。

Answer 2

我看了看流出口文檔，並且發現了pcap實現中的一些公認錯誤。不知道他們是否已經修好。

根據您捕獲的內容，您有幾個其他選項： 如果您從鏈接捕獲直接流量，並且希望將其轉換爲NetFlow格式，則可以下載免費的Netflow導出工具PCAP這裏：

FlowTraq Free Exporter

或在這裏：

NProbe

如果你拍攝的在途NetFlow流量（比如UDP/2055），那麼你可以使用像'tcpreplay'這樣的工具來重放它，可以在任何Linux發行版中使用。