将PCAP跟踪转换为NetFlow格式

Question

我想将一些PCAP跟踪转换为Netflow格式，以便使用netflow工具进一步分析。有没有办法做到这一点？

具体来说，我想用“流出口”的工具，以便从网流痕迹提取所关注的一些领域如下：

$ flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS < mynetflow.trace 

在这种情况下，mynetflow.trace文件采取使用下列命令转换PCAP文件：

$ nfcapd -p 12345 -l ./ 

$ softflowd -n localhost:12345 -r mytrace.pcap 

这，产生一个网络流迹，但它不能被流出口正确使用，因为它是不正确的格式。我也尝试将以下命令的输出按如下流程输出：

$ flow-import -V1 -z0 -f0 <mynetflow.trace | flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS 

但第一个命令的输出生成零时间戳。

任何想法？

Answer 1

Netflow格式相当详细和丰富。准确的规格请看here。

Answer 2

我看了看流出口文档，并且发现了pcap实现中的一些公认错误。不知道他们是否已经修好。

根据您捕获的内容，您有几个其他选项： 如果您从链接捕获直接流量，并且希望将其转换为NetFlow格式，则可以下载免费的Netflow导出工具PCAP这里：

FlowTraq Free Exporter

或在这里：

NProbe

如果你拍摄的在途NetFlow流量（比如UDP/2055），那么你可以使用像'tcpreplay'这样的工具来重放它，可以在任何Linux发行版中使用。