Nemos

Для того, чтобы обрабатывать данные о потоках Netflow, собираемые с помощью Flow-tools, была написана библиотека FlowBrook. Краткое описание доступно на странице FlowBrook на этом сайте. Код библиотеки опубликован под лицензией LGPL и доступен на хостинге проектов bitbucket.

К сожалению бинарный формат файлов, в которых flow-tools хранит собранную информацию о потоках, не документирован, поэтому весь разбор писался глядя на исходники flow-tools. В принципе, ничего хитрого – структуры для заголовков и самих данных описаны в lib/ftlib.h, откомментированы хорошо. Особенности обработки файлов можно посмотреть в функции ftio_read, в файле lib/ftio.c.

Очень помогла эта статья из блога Shiny Ideas. В ней написано с чего начать при изучении формата данных flow-tools.

Библиотека предполагает поддержку и других форматов хранения данных Netflow. Предполагается даже, что с помощью этой библиотеки можно сделать свой Netflow capture.