我有很少的 nfcapd deamon捕获的NetFlow转储。有没有可能将它们转换为 .pcap 格式,以便我可以用我的软件分析它们?
答案 0 :(得分:1)
基本上没有;数据包中的大部分信息都会丢失,包括整个有效负载。 NetFlow总结了给定会话中所有数据包的标头信息:它可能是十几个或几千个。 NetFlow转储(对我的回忆)不包括部分更新。所以,你可以采用一种方式(从pcap转换为NetFlow),但不是另一种方式。
也就是说,如果分析所需的只是第一个数据包的IP头,那么你可能会伪造一些东西。但我不知道有任何工具可以做到这一点。