Conversione di una traccia PCAP in formato NetFlow

Question

Vorrei convertire alcune tracce PCAP in formato Netflow per ulteriori analisi con gli strumenti netflow. C'è un modo per farlo?

In particolare, voglio usare "flow-export" strumento al fine di estrarre alcuni campi di interesse da una traccia NetFlow come segue:

$ flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS < mynetflow.trace 

In questo caso, il file è preso da mynetflow.trace conversione di un file PCAP utilizzando i seguenti comandi:

$ nfcapd -p 12345 -l ./ 

$ softflowd -n localhost:12345 -r mytrace.pcap 

Questo, genera una traccia NetFlow, ma non può essere utilizzato da flow-export correttamente, dato che non è nel formato corretto. Ho provato anche inviare l'output del comando successivo al flusso-export come segue:

$ flow-import -V1 -z0 -f0 <mynetflow.trace | flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS 

ma l'uscita del primo comando generato nullo timestamp.

Qualche idea?

Answer 1

Il formato Netflow è abbastanza dettagliato e ricco. Guarda here per specifiche accurate.

Answer 2

Ho dato un'occhiata alla documentazione di esportazione del flusso e ci sono alcuni bug riconosciuti con l'implementazione di pcap. Non sono sicuro se sono ancora corretti.

A seconda del contenuto della cattura, si hanno un paio di altre opzioni: Se si acquisisce il traffico diretto da un collegamento e si desidera trasformarlo in formato NetFlow, è possibile scaricare uno strumento di esportazione netflow gratuito che legge PCAP qui:

FlowTraq Free Exporter

o qui:

NProbe

Se avete catturato il traffico NetFlow in transito (ad esempio UDP/2055), quindi puoi riprodurlo con uno strumento come 'tcpreplay', disponibile in qualsiasi distribuzione Linux.