wireshark抓包数据提取TCP_UDP_RTP负载数据方法
1 背景
在视频抓包分析过程中,有时候需要从TCP、UDP、RTP中直接提取payload数据,比如较老的摄像机,有一些直接通过TCP/UDP传输视频裸流,或者PS打包的视频流,通过提取TCP和UDP的负载数据就可以直接组成裸流或者PS流文件,通过视频分析工具(Elecard StreamEye Tools,可关注公众号壹零仓,发送视频流分析的消息)分析视频流数据是否正常。GB28181视频传输时通过RTP携带PS流的方式传输,因此通过提取RTP负载数据,形成的文件即是PS流文件,可通过分析工具直接分析PS流。
2 TCP和UDP负载提取方式
TCP和UDP提取其负载数据比较简单,他们提取方法很相似,如下:
-
UDP负载数据提取方法:在UDP包数据列表中右键->Follow->UDP Stream,打开Udp Stream对话框,对话框中集合了所有你选择的数据包的四元组上的通讯数据,默认显示为ASCII,右下角show data as 选择raw,点击save as 保存成二进制文件,文件中数据即为UDP负载数据
-
TCP负载数据提取方法:与UDP方式类似,在TCP包数据列表中右键->Follow->TCP Stream,打开TCP Stream对话框,对话框中集合了所有你选择的数据包TCP连接上所有的通讯数据,默认显示为ASCII,右下角show data as 选择raw,点击save as 保存成二进制文件,文件中数据即为TCP负载数据。
3 RTP负载提取方式
现在的视频采集终端基本不会直接通过TCP或者UDP传输裸流,比较常用的是通过RTP方式来传输裸流或者PS流,RTP方式传输H264或者H265裸流的提取方式可以通过关注公众号壹零仓,发送wiresahrk的消息,获取提取方式,这里详细介绍直接提取RTP负载,不做任何组包操作,这里以PS over rtp流的包为例,从此包中提取RTP流的方式。
-
打开样例的抓包文件gb28181_h264_rtp_udp.pcapng,可自己抓一个PS over RTP的包,也可关注公众号壹零仓,发送视频流分析,获取。
-
在数据包列表中,最新版应该会自动识别,如果传输的PS流未解码成RTP协议,可以选择PS流数据包右键->decode as…,在current属性列表中选择rtp,解码成rtp包,如果未视频成rtp可通过此步骤解码,此时包的协议类型wei2rtp,可以看到其payload type。
-
选择菜单栏Telephony->RTP->RTP Player,打开RTP Player
-
选择RTP的视频链路,选择export->payload,保存rtp负载,这里保存文件名为111.raw
-
保存的RTP负载文件,为PS流二进制文件,可通过Elecard StreamEye Tools进行分析,如下:
