Chuyển đổi theo dõi PCAP sang định dạng NetFlow

Question

Tôi muốn chuyển đổi một số dấu vết PCAP sang định dạng Netflow để phân tích thêm với các công cụ netflow. Có cách nào để làm điều đó?

Cụ thể, tôi muốn sử dụng "dòng chảy xuất khẩu" công cụ để trích xuất một số lĩnh vực quan tâm từ một dấu vết NetFlow như sau:

$ flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS < mynetflow.trace 

Trong trường hợp này, các tập tin mynetflow.trace được thực hiện bởi chuyển đổi một tập tin pcap sử dụng các lệnh sau:

$ nfcapd -p 12345 -l ./ 

$ softflowd -n localhost:12345 -r mytrace.pcap 

này, tạo ra một dấu vết NetFlow nhưng nó không thể được sử dụng bởi dòng chảy xuất khẩu một cách chính xác, vì nó không có trong định dạng phù hợp. Tôi cũng cố gắng kết nối đầu ra của lệnh sau để lưu chuyển luồng như sau:

nhưng đầu ra của lệnh đầu tiên tạo ra dấu thời gian bằng không.

Bất kỳ ý tưởng nào?

Answer 1

Định dạng luồng Net khá chi tiết và phong phú. Hãy xem here để biết thông số chính xác.

Answer 2

Tôi đã xem xét tài liệu về luồng xuất và có một số lỗi được thừa nhận với việc triển khai PCAP. Không chắc chắn chúng đã được sửa chưa.

Tùy thuộc vào nội dung chụp, bạn có một vài tùy chọn khác: Nếu bạn đã chụp lưu lượng truy cập thẳng từ liên kết và bạn muốn chuyển thành định dạng NetFlow, bạn có thể tải xuống công cụ xuất khẩu ròng miễn phí pcap đây:

FlowTraq Free Exporter

hoặc ở đây:

NProbe

Nếu bạn đã chụp giao thông NetFlow trên đường vận chuyển (nói UDP/2055), sau đó bạn có thể phát lại nó bằng một công cụ như 'tcpreplay', có sẵn trong bất kỳ bản phân phối Linux nào.