Как преобразовать файл pcap в файл nfcapd

У меня есть файл pcap размером 1,4 ГБ. Я пытаюсь преобразовать этот файл в nfcapd. Но я не могу преобразовать его.

Прежде всего, я напечатал

nfcapd -p 12345 -l ./

Затем компьютер непрерывно создает некоторый файл nfcapd. Я попробовал это 2 дня назад, и компьютер продолжает создавать файл nfcapd до сегодняшнего дня. Тогда я остановил процесс. Затем я попытался

softflowd -n localhost:12345 -r myFile.pcap

Затем терминал выдает ошибку

Неподдерживаемый тип канала передачи данных 104

У вас есть идея преобразовать это в nfcapd через терминал?

Я использую 64-битную ОС Debian Linux.


pcap netflow
person Dhruba Jyoti Borah    schedule 14.11.2015    source источник
comment
Возможно, вам следует попробовать некоторые из упомянутых здесь команд/инструментов: stackoverflow.com/questions/7523366/   -  person vially    schedule 14.11.2015
comment
Я пробовал. Но не удалось получить решение.   -  person Dhruba Jyoti Borah    schedule 14.11.2015
comment
Может быть полезно предоставить дополнительную информацию с вашей стороны: что именно вы пробовали? Какой был результат?   -  person flohei    schedule 14.11.2015
comment
Прежде всего, я набрал nfcapd -p 12345 -l ./ . Затем компьютер непрерывно создает некоторый файл nfcapd. Я попробовал это 2 дня назад, и компьютер продолжает создавать файл nfcapd до сегодняшнего дня. Тогда я остановил процесс. Затем я попробовал softflowd -n localhost:12345 -r myFile.pcap . Затем терминал выдает ошибку Unsupported data link type 104.   -  person Dhruba Jyoti Borah    schedule 14.11.2015
comment
Добавил информацию из комментария в вопрос.   -  person Egor Rogov    schedule 14.11.2015
comment
Неподдерживаемый тип канала передачи данных 104 Что произойдет, если вы выполните команду file myFile.pcap?   -  person    schedule 14.11.2015
comment
Если я запускаю файл Myfile.pcap, он дает следующий вывод: Myfile.pcap:tcpdump файл захвата (с прямым порядком байтов) — версия 2.4 (BSD/OS Cisco HDLC, длина захвата 48)   -  person Dhruba Jyoti Borah    schedule 15.11.2015

Ответы (2)


arrow_upward
3
arrow_downward

Вы можете заставить nfcapd прочитать файл pcap напрямую и сохранить его, как вы укажете в своей конфигурации (Netflow v5 или v9. Поддержка IPFIX в настоящее время является экспериментальной).

Согласно справочной странице nfcapd:

-f ‹файл_pcap›

Читать пакеты netflow из заданного pcap_file вместо сети. Для этого требуется, чтобы nfcapd был скомпилирован с параметром pcap, и он предназначен только для отладки.

Если вы установили nfdump через репозиторий пакетов, высока вероятность того, что он не скомпилирован с требуемым флагом --enable-readpcap (который по умолчанию отключен).

Попробуйте загрузить исходный код с здесь и скомпилируйте его самостоятельно.

person toringe    schedule 03.03.2016

arrow_upward
3
arrow_downward

К вашему сведению, на моей x86_64 Fedora 26 мне нужно использовать nfpcapd (обратите внимание на дополнительные p) для преобразования файла pcap в файл netflow.

$ mkdir sipp

$ nfpcapd -l sipp -r /usr/share/sipp/pcap/g711a.pcap
Add extension: 2 byte input/output interface index
Add extension: 4 byte input/output interface index
Add extension: 2 byte src/dst AS number
Add extension: 4 byte src/dst AS number
Add extension: 4 byte output bytes
Add extension: 8 byte output bytes
Add extension: NSEL Common block
Add extension: NSEL xlate ports
Add extension: NSEL xlate IPv4 addr
Add extension: NSEL xlate IPv6 addr
Add extension: NSEL ACL ingress/egress acl ID
Add extension: NSEL username
Add extension: NSEL max username
Add extension: NEL Common block
Startup.
[140499169166528] WaitDone() waiting
pcap_next_ex() end of file
Packet processing stats: Total: 236, Skipped: 0, Unknown: 0, Short snaplen: 0
Packet processing stats: Total: 236, Skipped: 0, Unknown: 0, Short snaplen: 0
Terminating packet dumping: exit: 0
[140499169166528] WaitDone() signal 10
Exit status thread[140498942019328]: 0
[140498950412032] Signal handler: 12
Nodes in use: 1, Flows: 1 CacheOverflow: 0
Ident: 'none' Flows: 1, Packets: 236, Bytes: 61360, Max Flows: 1
Terminating flow processng: exit: 0
Exit status thread[140498950412032]: 0
Terminating nfpcapd.

$ nfdump -v sipp/nfcapd.200207260815 
File    : sipp/nfcapd.200207260815
Version : 1 - not compressed
Blocks  : 1
 Type 1 : 0
 Type 2 : 1
 Type 3 : 0
Records : 2
person rickhg12hs    schedule 20.04.2018