我需要嗅探特定Linux用户(UID)的流量。我正在用iptables/NFLOG(http://wiki.wireshark.org/CaptureSetup/NFLOG)很好用。
我的问题是NFLOG将pcap封装更改为“NFLOG”(从“以太网”),并且某些工具(如tcpflow)无法再读取它。
我的问题是:是否可以将这样的pcap转换为“旧式” pcap文件?
最佳答案
我遇到了一个相关的问题。这是我的解决方案:https://unix.stackexchange.com/a/527940/346609。
我使用NFQUEUE + tcpdump而不是NFLOG + tcpdump从iptables捕获数据包。在这种情况下,结果转储中的数据包只是原始ip数据包,也就是说,它们根本没有链接层头。我意识到这并不是您想要的,因为您希望在转储中出现以太网头。但是仍然,转储文件至少要小得多,并且您不需要遍历所有转储(可能为千兆字节长)并删除NFLOG header 。与NFLOG相比,NFQUEUE也没有TCP校验和问题(该问题也由链接描述)。