以下方法均是基于Wireshark
HTTP流提取
基于HTTP的播放有两种,一种是HLS,另一种是则是普通的HTTP播放。
HTTP流播放通过GET请求。
1、对于HLS来说,先过滤对应的请求对象(m3u8列表)
follow该请求,根据HLS协议,继续查找,直到ts请求
过滤ts请求,将ts保存下来。
注意根据ts分片序号,做好文件命名。如有需要,可以在linux上通过cat命令,将分片拼接为一段完整的流。
2、对于普通HTTP流,直接过滤请求对象(ts),保留下来即可,保存方法和上面一样。
组播流提取
组播基于UDP,如果是RTP封装类型,需要解析为RTP再保存,如果是无RTP封装,则直接follow保存即可。
1、 RTP封装
首先过滤出对应的UDP流出来,IP地址可以通过日志获取。如果网络包有加入组播的过程,过滤igmp也可获取IP地址及端口
follow该UDP流,选中一包,右键DecodeAs…选择RTP
选择电话–>RTP–>流分析
选择save–>保存raw数据,将后缀改为.ts
2、 UDP裸流
UDP裸流提取方法和上面类似,仅是不需要解码为RTP,follow完UDP流后,直接保存即可。
RTSP流提取
RTSP流的提取与组播流提取过程类似,但目前基RTSP载流方式为TCP的情况,还没有有效的流提取方法,待以后完善(可能需要再借助其他工具)。
RTSP UDP载流方式
分为RTP分支及UDP裸流的情况,流的保存和组播流保存方法一样,主要是流IP及端口的获取。
过滤出RTSP流,可以直接过滤rtsp,但因为rtsp端口如果不是554的情况,wireshark无法自动识别,所以最好过滤tcp contains “PLAY”
根据日志的IP请求,follow对应的流,确认是否为RTSP。
查看setup流程,流的IP和端口可以从前端回复的Transport:字段获取,注意:如果PLAY命令回复的RTP-Info: 字段与setup阶段的不一样,那么要以RTP-Info:为准(一般不会)。
一般只要顺着PLAY命令后的包,就能找到流,如下图。后面的提取方式,则和组播流一样。
