Hoy necesitaba ver el contenido de unos mensajes de netflow en mi portátil y no quería ver la salida que me da nfsen, quería ver exactamente qué contenido traía el paquete de netflow, así que he pensado en lo más fácil, abro un wireshark y ya está, pero no, no es tan fácil, hay que ver cómo leer con wireshark netflow.
Voy a contaros paso a paso qué es lo que he hecho:
Obtener el tráfico de netflow
Para ello me he contectado por ssh al netflow de turno y he generado un fichero pcap con el tráfico que quería capturar que era el que enviaba uno de los routers:
tcpdump -i eth1 src 10.0.0.0.1 -w mi_router.pcap
Con esto generamos el fichero mi_router.pcap, obviamente en mi caso el fichero no se llama así y la IP tampoco es esa, cada uno tendrá que poner los datos que le correspondan, pero la 10.0.0.1 es la IP origen desde la que se generan los flujos con dirección al netflow.
Ahora bajamos ese fichero con un scp o lo que sea al ordenador local, en mi caso un portátil.
Abrimos Wireshark
Ahora abrimos ese fichero con wireshark, entramos en cualquier paquete y oh, sorpresa, no se puede ver nada de nada:
El tráfico de Netflow viene en la parte de abajo, dentro del Data de UDP, así que si habéis llegado hasta aquí que sepáis que aún os queda un paso.
Decodificar
Ahora vamos a la sección de arriba y con el botón derecho le damos a «Decode as» y en la columna Current seleccionamos CFLOW.
Le damos aceptar y mágicamente ya podemos ver la información de Netflow, en este caso podéis ver una respuesta a una petición de DNS: