NetFlow in Wireshark "sichtbar" machen

Um NetFlow Traffic aus einem Mitschnitt/tcpdump in Wireshark sichtbar/durchsuchbar zu machen bedarf es nur ein paar kleiner Handkniffe.

Zunächst soltle natürlich der Mitschnitt mit dem NetFlow-Stream in Wireshark geladen werden. Als nächstes wird über die Funktion Analyse -> Dekodieren als (Dateileiste) ein manueller Filter gesetzt.

Hier habe ich zunächst ein neuen Filter angelegt (kleines +-Zeichen unterhalb der Tabelle) und als Referenz UDP Port ausgewählt auf dem die NetFlow-Pakete reintropfen sowie dessen Port in der Wert hinterlegt. Dies soll nun als CFLOW interpretiert werden.

Nun sind die NetFlow-Pakete in einem human readable Format und können weiter analysiert werden. 🎉 tada.wav

This article was updated on 4 Mai 2021