1
nfcapd 데몬으로 캡처 한 NetFlow 덤프가 거의 없습니다. .pcap 형식으로 변환 할 수 있습니까? 그렇다면 소프트웨어로 분석 할 수 있습니까?pcap 변환에 Nfcapd?
A
답변
1
기본적으로 아니오; 전체 페이로드를 포함하여 패킷의 대부분의 정보가 손실됩니다. NetFlow는 주어진 세션에서 모든 패킷의 헤더 정보를 요약합니다. 수십 또는 수천 개가 될 수 있습니다. NetFlow 덤프는 부분 업데이트를 포함하지 않습니다 (내 기억으로). 그래서, 당신은 한 방향으로 갈 수 있지만 (pcap에서 NetFlow로 변환) 다른 방법은 아닙니다.
즉, 첫 번째 패킷의 IP 헤더가 분석에 필요한 경우 무엇인가 가짜 일 수 있습니다. 그러나 나는 그것을하는 도구를 모른다.