我有一个大小为1.4 GB的pcap文件。我想将此文件转换为nfcapd。但我不能转换它。
首先,我输入了
nfcapd -p 12345 -l ./
然后计算机连续创建一些nfcapd文件。我在2天前尝试过,计算机一直在创建nfcapd文件,直到今天。然后我停止了这个过程。然后我试了
softflowd -n localhost:12345 -r myFile.pcap
然后终端发出错误
不支持的数据链接类型104
您是否有任何想法通过终端将其转换为nfcapd?
我使用的是Debian Linux 64位操作系统。
答案 0 :(得分:3)
您可以让nfcapd直接读取pcap文件并按照您在配置中指定的方式保存它(Netflow v5或v9.IPFIX支持目前只是实验性的)。
根据nfcapd的手册页:
-f< pcap_file>
从给定的pcap_file而不是网络中读取netflow数据包。这需要使用pcap选项编译nfcapd,仅用于调试。
如果您通过数据包存储库安装了nfdump,则很可能没有使用所需的--enable-readpcap标志(默认情况下关闭)进行编译。
尝试从here下载源代码并自行编译。
答案 1 :(得分:1)
仅供参考,在我的x86_64 Fedora 26上,我需要使用nfpcapd(注意额外的p)将pcap文件转换为netflow文件。
$ mkdir sipp
$ nfpcapd -l sipp -r /usr/share/sipp/pcap/g711a.pcap
Add extension: 2 byte input/output interface index
Add extension: 4 byte input/output interface index
Add extension: 2 byte src/dst AS number
Add extension: 4 byte src/dst AS number
Add extension: 4 byte output bytes
Add extension: 8 byte output bytes
Add extension: NSEL Common block
Add extension: NSEL xlate ports
Add extension: NSEL xlate IPv4 addr
Add extension: NSEL xlate IPv6 addr
Add extension: NSEL ACL ingress/egress acl ID
Add extension: NSEL username
Add extension: NSEL max username
Add extension: NEL Common block
Startup.
[140499169166528] WaitDone() waiting
pcap_next_ex() end of file
Packet processing stats: Total: 236, Skipped: 0, Unknown: 0, Short snaplen: 0
Packet processing stats: Total: 236, Skipped: 0, Unknown: 0, Short snaplen: 0
Terminating packet dumping: exit: 0
[140499169166528] WaitDone() signal 10
Exit status thread[140498942019328]: 0
[140498950412032] Signal handler: 12
Nodes in use: 1, Flows: 1 CacheOverflow: 0
Ident: 'none' Flows: 1, Packets: 236, Bytes: 61360, Max Flows: 1
Terminating flow processng: exit: 0
Exit status thread[140498950412032]: 0
Terminating nfpcapd.
$ nfdump -v sipp/nfcapd.200207260815
File : sipp/nfcapd.200207260815
Version : 1 - not compressed
Blocks : 1
Type 1 : 0
Type 2 : 1
Type 3 : 0
Records : 2