如何找到我的netflow数据版本号？

Question

是否有任何选项可以知道我的netflow数据的版本号。我使用tcpdump生成了pcap文件。然后，我使用一些开源软件(依赖于tshark)将pcap数据转换为netflow。我找不到它在哪个版本的netflow中？netflow v5或v7....or IPFIX.

有没有办法通过查看数据来判断netflow版本？

Answer 1

如果您使用PCAP文件通过网络生成和导出NetFlow，则版本号位于UDP包的有效负载的第二个字节中。该值将是5、7、9或'A‘(对于IPFIX)。

但是，如果您使用文本格式将记录转储到磁盘，那么在以某种方式通过网络导出记录之前，从技术上讲，它们并不是真正的版本化NetFlow。