Как найти номер версии данных netflow?

Question

Есть ли возможность узнать номер версии моих данных netflow. У меня есть файл pcap, созданный с помощью tcpdump. Затем, используя некоторый openource (который зависит от tshark), я преобразовал данные pcap в netflow. Я не могу узнать, в какую версию netflow он находится? netflow v5 или v7 .... или IPFIX.
Есть ли способ сказать netflow версию, глядя на данные?

Answer 1

Если вы используете файл PCAP для создания и экспорта NetFlow по проводу, то номер версии находится во втором байте полезной нагрузки UDP-пакета. Значение будет 5, 7, 9 или «A» (в случае IPFIX).

Однако, если вы использовали текстовый формат для выгрузки записей на диск, то они технически не были версией NetFlow с версией до тех пор, пока вы не экспортируете их каким-либо образом по проводу.