是否有任何选项可以知道我的netflow数据的版本号。 我有使用tcpdump生成的pcap文件。然后使用一些开源(依赖于tshark)我将pcap数据转换为netflow。 我无法找出它所属的netflow版本? netflow v5或v7 ....或IPFIX 有没有办法通过查看数据来告诉netflow版本?
答案 0 :(得分:0)
如果您使用PCAP文件通过线路生成和导出NetFlow,则版本号位于UDP数据包有效负载的第二个字节中。值为5,7,9或'A'(在IPFIX的情况下)。
但是,如果您使用文本格式将记录转储到磁盘,那么在您以某种方式通过网络导出它们之前,它们在技术上并不是真正版本化的NetFlow。