将NFLOG pcap转换为以太网pcap

Question

我需要嗅探特定linux用户(UID)的流量。我正在使用iptables/NFLOG (http://wiki.wireshark.org/CaptureSetup/NFLOG)来做这件事，它工作得很好。

我的问题是，NFLOG将pcap封装更改为"NFLOG“(从"Ethernet")，并且一些工具(如tcpflow)无法再读取它。

我的问题是:有没有可能把这样的pcap转换成“老式”的pcap文件？

Answer 1

我遇到了一个相关的问题。这是我的解决方案：https://unix.stackexchange.com/a/527940/346609。

我使用NFQUEUE+tcpdump而不是NFLOG+tcpdump从iptables捕获数据包。在这种情况下，结果转储中的数据包只是原始ip数据包，也就是说，它们根本没有链路层报头。我意识到这并不是您想要的，因为您希望在转储中出现以太网报头。但是，转储文件至少要小得多，您不需要遍历所有转储(可能有几go长)并删除NFLOG标头。与NFLOG相反，NFQUEUE也不存在TCP校验和问题(该问题也由链接描述)。