如何将pcap文件转换为nfcapd文件
How to convert pcap file to nfcapd file
我有一个大小为 1.4 GB 的 pcap 文件。我正在尝试将此文件转换为 nfcapd。但我无法转换它。
首先,我输入了
nfcapd -p 12345 -l ./
然后电脑不断地创建一些nfcapd文件。我在 2 天前尝试过,直到今天计算机一直在创建 nfcapd 文件。然后我停止了这个过程。然后我试了
softflowd -n localhost:12345 -r myFile.pcap
然后终端报错
Unsupported data link type 104
你有办法通过终端将其转换为 nfcapd 吗?
我正在使用 Debian Linux 64 位 OS。
您可以让 nfcapd 直接读取 pcap 文件 并按照您在配置中指定的方式保存它(Netflow v5 或 v9。IPFIX 支持目前只是实验性的)。
根据 nfcapd 的手册页:
-f <pcap_file>
Read netflow packets from a give pcap_file instead of the network. This requires nfcapd to be compiled with the pcap option and is intended for debugging only.
如果您通过数据包存储库安装了 nfdump,则很可能未使用所需的 --enable-readpcap 标志(默认关闭)对其进行编译。
尝试从 here 下载源代码并自行编译。
仅供参考,在我的 x86_64 Fedora 26 上,我需要使用 nfpcapd(注意额外的 p)将 pcap 文件转换为 netflow 文件。
$ mkdir sipp
$ nfpcapd -l sipp -r /usr/share/sipp/pcap/g711a.pcap
Add extension: 2 byte input/output interface index
Add extension: 4 byte input/output interface index
Add extension: 2 byte src/dst AS number
Add extension: 4 byte src/dst AS number
Add extension: 4 byte output bytes
Add extension: 8 byte output bytes
Add extension: NSEL Common block
Add extension: NSEL xlate ports
Add extension: NSEL xlate IPv4 addr
Add extension: NSEL xlate IPv6 addr
Add extension: NSEL ACL ingress/egress acl ID
Add extension: NSEL username
Add extension: NSEL max username
Add extension: NEL Common block
Startup.
[140499169166528] WaitDone() waiting
pcap_next_ex() end of file
Packet processing stats: Total: 236, Skipped: 0, Unknown: 0, Short snaplen: 0
Packet processing stats: Total: 236, Skipped: 0, Unknown: 0, Short snaplen: 0
Terminating packet dumping: exit: 0
[140499169166528] WaitDone() signal 10
Exit status thread[140498942019328]: 0
[140498950412032] Signal handler: 12
Nodes in use: 1, Flows: 1 CacheOverflow: 0
Ident: 'none' Flows: 1, Packets: 236, Bytes: 61360, Max Flows: 1
Terminating flow processng: exit: 0
Exit status thread[140498950412032]: 0
Terminating nfpcapd.
$ nfdump -v sipp/nfcapd.200207260815
File : sipp/nfcapd.200207260815
Version : 1 - not compressed
Blocks : 1
Type 1 : 0
Type 2 : 1
Type 3 : 0
Records : 2
我有一个大小为 1.4 GB 的 pcap 文件。我正在尝试将此文件转换为 nfcapd。但我无法转换它。
首先,我输入了
nfcapd -p 12345 -l ./
然后电脑不断地创建一些nfcapd文件。我在 2 天前尝试过,直到今天计算机一直在创建 nfcapd 文件。然后我停止了这个过程。然后我试了
softflowd -n localhost:12345 -r myFile.pcap
然后终端报错
Unsupported data link type 104
你有办法通过终端将其转换为 nfcapd 吗?
我正在使用 Debian Linux 64 位 OS。
您可以让 nfcapd 直接读取 pcap 文件 并按照您在配置中指定的方式保存它(Netflow v5 或 v9。IPFIX 支持目前只是实验性的)。
根据 nfcapd 的手册页:
-f <pcap_file>
Read netflow packets from a give pcap_file instead of the network. This requires nfcapd to be compiled with the pcap option and is intended for debugging only.
如果您通过数据包存储库安装了 nfdump,则很可能未使用所需的 --enable-readpcap 标志(默认关闭)对其进行编译。
尝试从 here 下载源代码并自行编译。
仅供参考,在我的 x86_64 Fedora 26 上,我需要使用 nfpcapd(注意额外的 p)将 pcap 文件转换为 netflow 文件。
$ mkdir sipp
$ nfpcapd -l sipp -r /usr/share/sipp/pcap/g711a.pcap
Add extension: 2 byte input/output interface index
Add extension: 4 byte input/output interface index
Add extension: 2 byte src/dst AS number
Add extension: 4 byte src/dst AS number
Add extension: 4 byte output bytes
Add extension: 8 byte output bytes
Add extension: NSEL Common block
Add extension: NSEL xlate ports
Add extension: NSEL xlate IPv4 addr
Add extension: NSEL xlate IPv6 addr
Add extension: NSEL ACL ingress/egress acl ID
Add extension: NSEL username
Add extension: NSEL max username
Add extension: NEL Common block
Startup.
[140499169166528] WaitDone() waiting
pcap_next_ex() end of file
Packet processing stats: Total: 236, Skipped: 0, Unknown: 0, Short snaplen: 0
Packet processing stats: Total: 236, Skipped: 0, Unknown: 0, Short snaplen: 0
Terminating packet dumping: exit: 0
[140499169166528] WaitDone() signal 10
Exit status thread[140498942019328]: 0
[140498950412032] Signal handler: 12
Nodes in use: 1, Flows: 1 CacheOverflow: 0
Ident: 'none' Flows: 1, Packets: 236, Bytes: 61360, Max Flows: 1
Terminating flow processng: exit: 0
Exit status thread[140498950412032]: 0
Terminating nfpcapd.
$ nfdump -v sipp/nfcapd.200207260815
File : sipp/nfcapd.200207260815
Version : 1 - not compressed
Blocks : 1
Type 1 : 0
Type 2 : 1
Type 3 : 0
Records : 2