如何将 pcap 文件转换为 nfcapd 文件

Question

我有一个大小为 1.4 GB 的 pcap 文件。我正在尝试将此文件转换为 nfcapd。但我无法转换它。

首先，我输入了

nfcapd -p 12345 -l ./

然后计算机不断创建一些 nfcapd 文件。我在 2 天前尝试过，计算机一直在创建 nfcapd 文件，直到今天。然后我停止了这个过程。然后我尝试了

softflowd -n localhost:12345 -r myFile.pcap

然后终端报错

不支持的数据链接类型 104

您有什么想法可以通过终端将其转换为 nfcapd 吗？

我正在使用 Debian Linux 64 位操作系统。

Answer 1

仅供参考，在我的 x86_64 Fedora 26 上，我需要使用 nfpcapd（注意额外的 p）将 pcap 文件转换为 netflow 文件。

$ mkdir sipp

$ nfpcapd -l sipp -r /usr/share/sipp/pcap/g711a.pcap
Add extension: 2 byte input/output interface index
Add extension: 4 byte input/output interface index
Add extension: 2 byte src/dst AS number
Add extension: 4 byte src/dst AS number
Add extension: 4 byte output bytes
Add extension: 8 byte output bytes
Add extension: NSEL Common block
Add extension: NSEL xlate ports
Add extension: NSEL xlate IPv4 addr
Add extension: NSEL xlate IPv6 addr
Add extension: NSEL ACL ingress/egress acl ID
Add extension: NSEL username
Add extension: NSEL max username
Add extension: NEL Common block
Startup.
[140499169166528] WaitDone() waiting
pcap_next_ex() end of file
Packet processing stats: Total: 236, Skipped: 0, Unknown: 0, Short snaplen: 0
Packet processing stats: Total: 236, Skipped: 0, Unknown: 0, Short snaplen: 0
Terminating packet dumping: exit: 0
[140499169166528] WaitDone() signal 10
Exit status thread[140498942019328]: 0
[140498950412032] Signal handler: 12
Nodes in use: 1, Flows: 1 CacheOverflow: 0
Ident: 'none' Flows: 1, Packets: 236, Bytes: 61360, Max Flows: 1
Terminating flow processng: exit: 0
Exit status thread[140498950412032]: 0
Terminating nfpcapd.

$ nfdump -v sipp/nfcapd.200207260815 
File    : sipp/nfcapd.200207260815
Version : 1 - not compressed
Blocks  : 1
 Type 1 : 0
 Type 2 : 1
 Type 3 : 0
Records : 2

Answer 2

您可以让 nfcapd 直接读取 pcap 文件并将其保存为您在配置中指定的内容（Netflow v5 或 v9。IPFIX 支持目前只是实验性的）。

根据nfcapd的手册页：

-f

从给定的 pcap_file 而不是网络中读取 netflow 数据包。这需要使用 pcap 选项编译 nfcapd，并且仅用于调试。

如果您通过数据包存储库安装了nfdump，则很有可能未使用所需的--enable-readpcap 标志（默认关闭）编译它。

尝试从here下载源代码并自己编译。