Ver tráfico de Netflow en Wireshark

Hoy necesitaba ver el contenido de unos mensajes de netflow en mi portátil y no quería ver la salida que me da nfsen, quería ver exactamente qué contenido traía el paquete de netflow, así que he pensado en lo más fácil, abro un wireshark y ya está, pero no, no es tan fácil, hay que ver cómo leer con wireshark netflow.

Voy a contaros paso a paso qué es lo que he hecho:

Obtener el tráfico de netflow

Para ello me he contectado por ssh al netflow de turno y he generado un fichero pcap con el tráfico que quería capturar que era el que enviaba uno de los routers:

tcpdump -i eth1 src 10.0.0.0.1 -w mi_router.pcap

Con esto generamos el fichero mi_router.pcap, obviamente en mi caso el fichero no se llama así y la IP tampoco es esa, cada uno tendrá que poner los datos que le correspondan, pero la 10.0.0.1 es la IP origen desde la que se generan los flujos con dirección al netflow.

Ahora bajamos ese fichero con un scp o lo que sea al ordenador local, en mi caso un portátil.

Abrimos Wireshark

Ahora abrimos ese fichero con wireshark, entramos en cualquier paquete y oh, sorpresa, no se puede ver nada de nada:

Wireshark
El wireshark no nos permite ver el tráfico de Netflow

El tráfico de Netflow viene en la parte de abajo, dentro del Data de UDP, así que si habéis llegado hasta aquí que sepáis que aún os queda un paso.

Decodificar

Ahora vamos a la sección de arriba y con el botón derecho le damos a «Decode as» y en la columna Current seleccionamos CFLOW.

Decode
Decode

Le damos aceptar y mágicamente ya podemos ver la información de Netflow, en este caso podéis ver una respuesta a una petición de DNS:

Decode Netflow
Decode Netflow