获取特定时间段的完整原始流量(PCAP)数据:NTM下载与分析问题
大家好,最近在使用网络流量监控(NTM)工具时,遇到了一个关于下载和分析原始流量数据的问题,希望能在这个论坛得到一些帮助和指导。
我主要的问题是关于通过NTM工具的Web界面进行溯源分析时,尽管可以查看到一段时间内的会话流量信息,但在下载PCAP(Packet Capture)文件后,并在其他系统上进行进一步的分析时,我注意到似乎缺失了一些流量数据包。特别是一些可能表明连接失败的SYN数据包似乎没有被包括在内。
我的目标是能够获取到一段特定时间内的完整流量数据,包括所有成功和未成功的连接尝试,以便于进行更深入的网络安全分析和故障排查。这对于理解网络行为和潜在的安全威胁是非常重要的。
我想请教的是:
是否存在一种方法可以确保从NTM下载的PCAP文件包含了指定时间段内的所有流量数据,包括那些未成功建立连接的尝试?
如果NTM本身无法实现这一点,是否有其他工具或方法可以辅助完成这一任务?
在分析这类数据时,通常需要注意哪些关键点,以确保数据的完整性和准确性?
任何关于如何获取和分析完整流量数据的建议都将非常有价值。非常感谢大家的时间和帮助!
期待大家的回复和建议。 首先,NTM本身可以记录与导出未成功的连接,但是这样导出,涉及的数据量太多的话,会耗费较长时间。
如果您是想在其他系统上分析数据的话,建议可以使用TAP分流器,将镜像流量无损复制给其他分析设备。
本帖最后由 fuchsia 于 2023-12-15 12:11 编辑
感谢回复,但实际导出数据量有问题,最多能导出1MB~2MB左右,尝试后台用tcpdump导出,会有一条报错:
tcpdump -s 0 -r pa_1702603095_1702604911_134217315_56.pcap 'host 10.65.11.100' -w a.pcap
reading from file pa_1702603095_1702604911_134217315_56.pcap, link-type EN10MB (Ethernet)
tcpdump: pcap_loop: invalid packet capture length 101197688, bigger than maximum of 262144
尝试了几个历史pcap包,都会报类似的错误。
产品版本如下:
NTM EX100C
版本信息:R8.20,Build date 2023-12-06 13:47:41
使用许可时间:可永久使用授权
页:
[1]