我需要嗅探特定Linux用户(UID)的流量。我正在用iptables/NFLOG(http://wiki.wireshark.org/CaptureSetup/NFLOG)很好用。

我的问题是NFLOG将pcap封装更改为“NFLOG”(从“以太网”)，并且某些工具(如tcpflow)无法再读取它。

我的问题是:是否可以将这样的pcap转换为“旧式” pcap文件？

我遇到了一个相关的问题。这是我的解决方案:https://unix.stackexchange.com/a/527940/346609。

我使用NFQUEUE + tcpdump而不是NFLOG + tcpdump从iptables捕获数据包。在这种情况下，结果转储中的数据包只是原始ip数据包，也就是说，它们根本没有链接层头。我意识到这并不是您想要的，因为您希望在转储中出现以太网头。但是仍然，转储文件至少要小得多，并且您不需要遍历所有转储(可能为千兆字节长)并删除NFLOG header 。与NFLOG相比，NFQUEUE也没有TCP校验和问题(该问题也由链接描述)。