Преобразование трассировки PCAP в формат NetFlow

Question

Я хотел бы преобразовать некоторые трассировки PCAP в формат Netflow для дальнейшего анализа с помощью инструментов netflow. Есть ли способ сделать это?

В частности, я хочу использовать инструмент «потока-экспорта» для извлечения некоторых областей интереса из трассировки сетевого потока следующим образом:

$ flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS < mynetflow.trace

В этом случае файл mynetflow.trace берется путем преобразования файла PCAP с помощью следующих команд:

$ nfcapd -p 12345 -l ./ 

$ softflowd -n localhost:12345 -r mytrace.pcap

При этом генерируется трассировка сетевого потока, но она не может быть правильно использована при экспорте потока, поскольку она имеет неправильный формат. Я также попытался перенаправить вывод следующей команды в поток-экспорт следующим образом:

$ flow-import -V1 -z0 -f0 <mynetflow.trace | flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS

но вывод первой команды сгенерировал нулевые временные метки.

Есть идеи?

Answer 1

Я взглянул на документацию по экспорту потока, и есть некоторые признанные ошибки в реализации pcap.Не уверен, что они еще исправлены.

В зависимости от содержимого вашего захвата, у вас есть несколько других вариантов: если вы захватили прямой трафик по ссылке и хотите превратить его в формат NetFlow, выВы можете скачать бесплатный инструмент экспорта Netflow, который читает PCAP здесь:

FlowTraq Free Exporter

или здесь:

NProbe

Если вы перехватывали трафик NetFlow в пути (скажем, UDP / 2055), вы можете воспроизвести его с помощью инструмента, такого как 'tcpreplay', доступного в любом дистрибутиве Linux.