将PCAP跟踪转换为NetFlow格式

我想将一些PCAP跟踪转换为Netflow格式,以便使用netflow工具进一步分析。 有没有办法做到这一点?

具体来说,我想使用“stream量导出”工具来从networkingstream量跟踪中提取一些感兴趣的领域,如下所示:

$ flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS < mynetflow.trace 

在这种情况下,mynetflow.trace文件是通过使用以下命令转换PCAP文件获取的:

 $ nfcapd -p 12345 -l ./ $ softflowd -n localhost:12345 -r mytrace.pcap 

这会生成一个networkingstream量跟踪,但是由于它的格式不正确,无法正确使用stream量导出。 我也尝试pipe道输出以下命令stream出口,如下所示:

 $ flow-import -V1 -z0 -f0 <mynetflow.trace | flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS 

但第一个命令的输出生成零时间戳。

有任何想法吗?

我查看了流出口文档,并且发现了pcap实现中的一些公认的错误。 不知道他们是否修好了。

根据捕获的内容,您可以选择其他两种方法:如果您从链接捕获了直接流量,并且希望将其转换为NetFlow格式,则可以下载一个免费的Netflow导出工具来读取PCAP:

FlowTraq免费出口商

或在这里:

NProbe

如果您捕获了NetFlow流量(如UDP / 2055),那么您可以使用像任何Linux发行版中的“tcpreplay”这样的工具来重放它。

Netflow格式相当详细和丰富。 在这里寻找准确的规格。