Как интерпретировать поля в выводе yaf_mediator (netflow)
Я захватил некоторый трафик с помощью wirehark и экспортировал его как pcap. Затем я использовал yaf (еще один расходомер), чтобы преобразовать его в файл ipfix, чтобы получить netflow. Используя yaf_super_mediator для получения удобочитаемого файла, я получаю следующее:
2020-04-30 14:23:23.447|2020-04-30 14:23:23.500| 0.053| 0.023| 6| 192.168.1.218|57804| 5| 773|00|00:00:00:00:00:00| 172.217.23.99| 443| 3| 2840|00|00:00:00:00:00:00| S| APRF| AS| AP|d5f464f4|9cdd271c| 0| 0|000| 0| 00| |C1
2020-04-30 14:23:23.517|2020-04-30 14:23:23.517| 0.000| 0.000| 6| 172.217.23.99| 443| 1| 52|00|00:00:00:00:00:00| 192.168.1.218|57804| 1| 40|00|00:00:00:00:00:00| AF| 0| R| 0|9cdd3191|d5f466fb| 0| 0|000| 0| 00| |C1
2020-04-30 14:23:23.677|2020-04-30 14:23:26.720| 3.043| 0.040| 6| 172.217.16.68| 443| 2| 104|00|00:00:00:00:00:00| 192.168.1.218|50358| 2| 104|00|00:00:00:00:00:00| AF| A| AF| A|316bb7b7|32572711| 0| 0|000| 0| 00| |C1
2020-04-30 14:23:18.851|2020-04-30 14:23:20.851| 2.000| 0.000| 17| 192.168.1.218| 5353| 2| 136|01|00:00:00:00:00:00| 224.0.0.251| 5353| 0| 0|00|00:00:00:00:00:00| 0| 0| 0| 0|00000000|00000000| 0| 0|000| 0| 00| eof|C1
2020-04-30 14:23:23.446|2020-04-30 14:23:23.447| 0.001| 0.001| 17| 192.168.1.218|55614| 1| 72|00|00:00:00:00:00:00| 192.168.1.1| 53| 1| 88|00|00:00:00:00:00:00| 0| 0| 0| 0|00000000|00000000| 0| 0|000| 0| 00| eof|C1
2020-04-30 14:23:23.447|2020-04-30 14:23:23.601| 0.154| 0.017| 6| 192.168.1.218|57802| 88| 5655|00|00:00:00:00:00:00| 172.217.23.99| 443| 107| 167817|00|00:00:00:00:00:00| S| AP| AS| AP|2d40a655|ca34e2fd| 0| 0|000| 0| 00| eof|C1
2020-04-30 14:23:26.699|2020-04-30 14:23:26.721| 0.022| 0.002| 6| 192.168.1.218|43834| 9| 1119|00|00:00:00:00:00:00| 130.149.133.150| 443| 7| 6791|00|00:00:00:00:00:00| S| AP| AS| AP|0169862e|d147820d| 0| 0|000| 0| 00| eof|C1
2020-04-30 14:23:26.699|2020-04-30 14:23:27.499| 0.800| 0.002| 6| 192.168.1.218|43832| 19| 2991|00|00:00:00:00:00:00| 130.149.133.150| 443| 17| 21207|00|00:00:00:00:00:00| S| AP| AS| AP|94cf16bd|9db6ce8a| 0| 0|000| 0| 00| eof|C1
2020-04-30 14:23:28.631|2020-04-30 14:23:28.677| 0.046| 0.046| 17| 192.168.1.218|40604| 1| 51|00|00:00:00:00:00:00| 172.217.16.68| 443| 1| 49|00|00:00:00:00:00:00| 0| 0| 0| 0|00000000|00000000| 0| 0|000| 0| 00| eof|C1
2020-04-30 14:23:28.669|2020-04-30 14:23:28.716| 0.047| 0.047| 17| 192.168.1.218|52760| 1| 51|00|00:00:00:00:00:00| 216.58.210.13| 443| 1| 48|00|00:00:00:00:00:00| 0| 0| 0| 0|00000000|00000000| 0| 0|000| 0| 00| eof|C1
stats|10|269|0|10|0|0|3|7|127.0.1.1|0|5232|140763|C1
Моя проблема: я понимаю только некоторые поля, и документация не помогает (или я не смог найти нужное?). Первое поле - первое появление, второе - последнее. Тогда продолжительность | X | X | начать IP | длина пакета? | X... | IP-адрес назначения | X... | и шестнадцатеричные данные кажутся некоторыми зашифрованными данными приложения, поскольку трафик был зашифрован. Но что мне говорят другие поля (Xs)?