抱歉我的英语 . 这可能令人困惑 .
我正在做Visual Analytics的功课并分析一些pcap文件 . 作业只是2011 VAST Challenge所以pcap可以下载here .
我使用softflowd和nfcapd将pcap转换为流量,这样我就可以更轻松地分析流量 . 但是当我用nfdump读取结果时,我有很多TCP和UDP数据包,其源端口和目标端口都是0.这让我很困惑 .
这些都是我做的 .
nfcapd -D -l ./netflow -P nfcapd.pid
我使用python启动softflowd来读取31个pcap文件 . 有效载荷是:
softflowd -r xxxxx.pcap -n 127.0.0.1:9995
无缘无故,我在处理完每个pcap后也将python设为 sleep(100)
,并使用nfdump来读取流文件 .
nfdump -R ./netflow
我有一些这样的好结果:
2018-03-23 10:40:48.526 11.332 TCP 192.168.1.2:445 -> 192.168.2.172:1299 44 5036 1
2018-03-23 10:40:48.526 11.332 TCP 192.168.2.172:1299 -> 192.168.1.2:445 48 14668 1
但其中很多都是这样的:
2018-03-25 20:18:37.986 7199.173 TCP 192.168.2.174:0 -> 192.168.2.96:0 20563 945898 1
2018-03-25 20:18:37.986 7199.173 TCP 192.168.2.174:0 -> 192.168.2.97:0 20562 945852 1
为什么会这样?