我需要为特定的Linux用户(UID)嗅探流量。我正在用iptables / NFLOG(http://wiki.wireshark.org/CaptureSetup/NFLOG)来做这件事,效果很好。
我的问题是NFLOG将pcap封装更改为“NFLOG”(来自“以太网”),而某些工具(如tcpflow)无法再读取它。
我的问题是:是否可以将这样的pcap转换为“旧时尚”的pcap文件?
答案 0 :(得分:0)
我遇到了一个相关的问题。这是我的解决方法:https://unix.stackexchange.com/a/527940/346609。
我使用NFQUEUE + tcpdump而不是NFLOG + tcpdump从iptables捕获数据包。在这种情况下,结果转储中的数据包只是原始ip数据包,也就是说,它们根本没有链接层头。我意识到这并不是您想要的,因为您希望在转储中出现以太网头。但是仍然,转储文件至少要小得多,并且您不需要遍历所有转储(可能为千兆字节长)并删除NFLOG标头。与NFLOG相比,NFQUEUE也没有TCP校验和问题(该问题也由链接描述)。