问题标签 [netflow]

我需要从 nfcapd 二进制文件中获取有关源 IP 和目标 IP 的信息。问题在于文件的大小。我知道使用 io 或 os 包打开和读取非常大（超过 1 GB）的文件是不可取的。

这是我的黑客和草稿开始：

我想将文件拆分为具有 24 个流的块，并在使用netflow 包读取后同时处理它。但我不知道如何在除法期间不丢失任何数据的情况下做到这一点。

如果我错过了代码或描述中的某些内容，请修复我。我花了很多时间在网上搜索我的解决方案并考虑另一种可能的实现。

任何帮助和/或建议将不胜感激。

文件具有以下属性（file -I <file_name>终端中的命令）：

file_name: application/octet-stream; charset=binary

命令后文件的输出nfdump -r <file_name>具有以下结构：

每个属性都在自己的列上。

更新 1： 不幸的是，由于二进制文件结构的差异，通过 nfcapd 将文件保存到磁盘后，无法使用 netflow 包解析文件。这个答案是由nfdump贡献者之一给出的。

现在唯一的方法是在诸如 pynfdump 之类的 go 程序中从终端运行nfdump。

未来另一个可能的解决方案是使用gopacket。

我已经捕获了.silk文件。

是否可以使用 SiLK utils 计算每个流的最小、中值和最大字节数？

如果是，请您指出正确的方向。

我需要获取 csv 格式的 netflow 记录，但由于网络中有大量流量，nfdump 以 MBytes 为单位返回信息。我别无选择，只能使用 NFDUMP 中的一个选项来获取以字节为单位的流量信息。

我当前的命令是：

确定 NetFlow 数据包中流的绝对时间的最佳方法是什么？看起来流程中仅包含相对时间信息（流程开始和结束时的 SysUpTime）。

对于 Netflow v5 和 v9，可以通过数据包头中的 Unix Seconds 和 SysUptime 字段来计算它：UnixSeconds - SysUptime + FlowStartSysUptime。但是 UnixSeconds 字段只有一秒的精度..

在 IPFIX (v10) 中，标头仅包含创建数据包时的系统时间，而不包含系统正常运行时间。

给定 NetFlow 数据，我想尽可能多地推断有关节点的端口信息。例如关闭了哪些端口，正在使用哪些端口进行连接，以及打开了哪些端口。如何才能做到这一点？我认为可以假设我的 netflow 数据带有 TCP 标志信息。

有人知道用于 DDOS 和隧道的 Netflow 异常检测的任何开源代码吗？我是这个领域的新手。我在 github 上确实发现很少，但是任何有更多经验的人都可以提供建议。

只是想尝试一些来了解它们是如何工作的，所以 python 或 r 或 c++ 语言都可以

我得到一个 netflow 流量源，我需要识别与 IP 关联的应用程序。是否有任何类型的全球数据库可以使用将全球 IP 与它所服务的应用程序进行映射？例如：亚马逊 Prime 的 IP A 亚马逊网络服务的 IP B 亚马逊购物的 IP C

所有 IP A、B 和 C 均归亚马逊所有。

移动运营商能否使用与有线运营商相同的 Netflow 来深入了解用户行为。我问这个问题的原因是因为网络类型非常不同。

我最近遇到了一个问题，我的 netflow Analyzer 报告接口的利用率超过 100%。查看 pcap 中的一些数据包后，我可以看到一些“流”似乎是重复的。您可以看到附加的一个示例（IP 信息已清理），其中绿色的所有信息在两个流之间都是相同的，唯一的区别是以红色突出显示的两个字段（填充和 IP ToS）。附件是针对 ICA 会话的，但我也可以看到其他协议的相同行为，因此它不是特定于 ICA 的。

这样的netflow引擎报告两次相同的流量是否正常？如果是这样，原因是什么？根据下面的 URL，填充字段是保留的，应该始终为零：

https://www.plixer.com/support/netflow-v5/

所以这只会留下 IP ToS 字段，但为什么会像这样报告两次呢？是因为数据包在通过设备上的 ToS 引擎之前和之后都被记录了吗？这可能是设备上的错误配置，还是分析仪应该处理的问题？

抱歉，我的netflow知识不是很深；我做了一些研究，但根本没有发现其他人报告这一点。

其他人在 CentOS 6.7 上安装 nfsen 有问题吗？安装了所需的每个软件包，但我仍然有一个错误：

尝试从 soruce 安装 nfsen 时收到的消息代码....

有谁知道如何解决问题？