小工具,从wireshark中导出原始16进制数据,进而导出RTPPayload数据

最新推荐文章于 2024-06-04 14:34:05 发布
最新推荐文章于 2024-06-04 14:34:05 发布
阅读量1.3w 收藏 8
点赞数 1
分类专栏: C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C__Allen/article/details/9092119
版权

wireshark抓到的包可以导出:file->export->file

在packet format下可以选择导出的格式,但如果需要的数据是多个包的组合那就麻烦了,因为导出的数据无论如何都会加上链路层、IP层和传输层的头信息,手动删除基本可能。

比如,我捕获了很多RTP包,但我只想取出RTP的payload来分析数据是否正确,我可以这样做:


首先导出packet byte格式的数据,我把该数据保存在RAW.dat中,数据的格式是这样的(一个wireshark中的包):



然后把其中的16进制数据提取出来,上代码:

#include "stdlib.h"
#include "stdio.h"


typedef enum state //状态机实现
{
	IGNORE,
	WAITCR,
	WAITLF,
	READY,
	READ_L,
	READ_H
}STATE;

int AToI(unsigned char *pData)
{
	unsigned char tmp[2];
	int ret;
	tmp[0] = *pData;
	tmp[1] = *(pData+1);
	for (int i=0; i<2; i++)
	{
		if (tmp[i] <= 0x39 && tmp[i] >= 0x30)
		{
			tmp[i] &= 0x0f;
		}
		else if(tmp[i] <= 0x66 && tmp[i] >= 0x61)
		{
			tmp[i] = 9 + tmp[i]&0x0f;
		}
		else
		{
			printf("Err\n");
			return -1;
		}
	}

	ret = tmp[0]*16 + tmp[1];
	return ret;
}

int main()
{
	FILE *FI, *FO;
	
	FI = fopen("RAW.dat", "rb");
	FO = fopen("RTP.dat", "wb");
	
	STATE stat=IGNORE;
	unsigned char tmp;
	int hex;
	unsigned char ch[2] = {0};
	int count = 0, line = 0;
	int blankCount = 0;
	bool bFalse = false;
	unsigned long PacketCount = 0;

	while(!feof(FI) && !bFalse)
	{
		tmp = fgetc(FI);

		switch(stat)
		{
		case IGNORE:
			if (tmp == 0x20)
			{
				stat = READY;
			}
			break;
		case WAITCR:
			if (tmp == 0x0d)
			{
				stat = WAITLF;
			}
			break;
		case WAITLF:
			if (tmp == 0x0a)
			{
				stat = IGNORE;
			}
			break;
		case READY:
			if(tmp != 0x20)
			{
				ch[0] = tmp;
				stat = READ_L;
				blankCount = 0;
			}
			else
			{
				if (++blankCount >= 2)
				{
					PacketCount++;
					blankCount = 0;
					count = 0;
					stat = WAITCR;
				}
			}
			break;
		case READ_L:
			ch[1] = tmp;
			stat = READ_H;
			break;
		case READ_H:
			hex = AToI(ch);
			if (hex < 0)
			{
				bFalse = true;
				break;
			}
			fputc(hex, FO);
			if (++count == 16)
			{
				count = 0;
				line++;
				stat = WAITCR;
			}
			else
			{
				stat = READY;
			}
			break;
		}
	}

	fclose(FI);
	fclose(FO);

	return 0;
}


因为我抓取的是RTP数据,因此我又写了个小工具,从上面提取的裸数据中在一起提取出RTP数据:

#include "stdlib.h"
#include "stdio.h"

#include <assert.h>

int main()
{
	FILE *FI, *FO;

	FI = fopen("raw.dat", "rb");
	FO = fopen("rtp.dat", "wb");
	if (!FI || !FO)
	{
		return -1;
	}

	int ret=0;
	unsigned long ToTalLen=0, PacketLen = 0;
	unsigned long count = 0;
	unsigned char *pBuf = new unsigned char[10 * 1024 *1024];
	unsigned char *pPos = pBuf;
	int paddingLen = 0;
	bool bHasPadding = false;

	do
	{
		ret = fread(pPos, 1, 1024*1024, FI);
		ToTalLen += ret;
		pPos += ret;
	}while(ret > 0);
	pPos = pBuf;

	do 
	{	
		while(ToTalLen > 0)
		{
			if(*pPos != 0x50 || *(pPos+1)!= 0xe5)
			{
				printf("Has decode %d\n", count);
				break;
			}
			PacketLen = (*(pPos+38)<<8) + *(pPos+39);
			PacketLen -= (8 + 12);
			if (PacketLen > 1460)
			{
				break;
			}

			pPos += (14 + 20 + 8 + 12);

			if (PacketLen != fwrite(pPos, 1, PacketLen, FO))
			{
				break;
			}
			count++;
			pPos += PacketLen;
			//如果RTP的payload是4, 那么以太网的包长度肯定为4 + 12 + 8 + 20 + 14 == 58 小于 60
			//因此会有2个字节是需要丢弃的
			if (PacketLen == 4)
			{
				pPos += 2;
			}
		}
	} while(0);
	
	delete []pBuf;
	fclose(FI);
	fclose(FO);
	return 0;
}

其他的传输层数据可以类似地提取,不用去掉RTP头长度(12)。


C__Allen
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Wireshark提取pcap文件的原始16进制编码数据包到text
Dlzjx的博客
03-07 1万+
做一个记录 想要实现的功能就是把 pcap 文件的原始16进制编码数据包转换为到txt文档,只要这些数据做深度学习,花了点时间学习wireshark的命令行操作。 实现命令行如下: 1.以管理员的身份打开cmd,进入到wireshark的文件夹 2.完整代码:tshark -T text -x -r D:\111.pcap > D:\111.txt 3.参考的是: 4.转换后的txt文档内容格式如下: 5.由于不想要前面的标签和空格和后面的ASCII码,遂又写了个简短的..
wireshark 十六进制过滤_如何从Wireshark复制捕获的数据包的十六进制数据
weixin_39722563的博客
12-20 876
here is the examplethis is the captured packet data00000000 00 6e 0b 00 .n..00000004 4d 5a e8 00 00 00 00 5b 52 45 55 89 e5 ...
Wireshark网络抓包工具的使用
hhxxyz的博客
02-14 2577
实验目的 1、熟悉网络监听的原理与技术,实现捕捉HTTP等协议的数据包,以理解TCP/IP协议协议的数据结构,通过实验了解HTTP等协议明文传输的特性。 2、熟悉Wireshark软件的使用,加深对TCP/IP协议的理解; 3、了解网络安全的重要性,加强自己的网络安全意识。 实验工具 Wireshark:网络抓包工具,Winhex:十六进制编辑器。 实验原理 运用Wireshark软件,设置过滤器,以捕获本台主机与服务器之间通信的数据包。分析Wireshark捕获的数据包。由于一些服务没有对用户名、口令和
【电子取证】Wireshark教程:从流量包导出文件
最新发布
longxintec的博客
06-04 1373
在某些情况下,消息是使用未加密的SMTP发送的,我们可以从感染主机的流量导出这些邮件消息。使用wireshark打开例1.pacp文件,使用http.request过滤流量包,找到两个GET请求,第一个请求以doc文件结束,第二个请求以exe文件结束。在进行网络流量分析,往往需要从获取到的流量包导出文件,进行更仔细的检查。使用wireshark打开例3.pacp文件,点击文件—导出对象—SMB,就可以导出SMB流量的文件。保存后的eml文件,可以使用邮件客户端进行查看,或者使用文本编辑器进行查看。
使用wireshark分析原始数据包,
假不假,生来只为写代码
09-07 1505
使用QNX保护的以太网数据都是原始数据包,十六进制格式,怎么分析呢,找到个好办法,只可以通过wireshark的“从HEX转储导入”分析, 但是这个16进制的格式,必须是这样的, 0000 d8 c4 97 bf c9 0a 00 10 a1 86 95 11 08 00 45 00 0010 02 20 ad 30 40 00 40 11 2a 8e c0 a8 6f df c0 a8 0020 6f de 8d 4e c4 c8 02 0c 99 b0 00 03 00 01 32 ...
wireshark十六进制转储
OceanStar的博客
11-27 3058
什么是十六进制转储 在计算机十六进制转储是计算机数据十六进制视图(在屏幕或者纸上),来自RAM或者来自文件或者存储设备 查看十六进制数据转存通常是作为调试或者逆向工程的一部分来完成大的。 在十六进制转储,每个字节(8位)表示为两位十六进制数。 十六进制转储通常被组织成8或者16进制的行,有时由空格分隔。 一些十六进制转储在开头具有十六进制存储器地址或者在每一行的末尾具有校验和字节 这个程序函数的一些常用名称是hexdump,od,xxd和简单转储甚至是D. hexdump hexdump命令一般
wireshark 十六进制 查看_Linux tcpdump,十六进制(hex)报文直接转wireshark格式包(docsis链路层)...
weixin_28949743的博客
01-13 1495
1. 适用条件适用于难把tcpdump文件从linux设备抓下来,可以通过远程获得十六进制报文,直接转为wireshark格式。2. 简略过程tcpdump -xx -tt 直接把报文用十六进制打印出来将报文导入软件TextToWiresharkFormat-v2.0.exe,转为wireshark报文对于看DOCSIS 层的包,减去报头。editcap -C 44 capture.pcap c...
Wireshark-win64-2.9.0网路抓包数据分析工具
01-07
Wireshark具有强大的数据解析能力,它可以将捕获到的原始数据包解析成易于理解的格式,如显示每个数据包的头部信息、时间戳、协议层次结构和数据内容。这有助于分析网络性能、检测异常流量、查找安全漏洞或解决网络...
wiresharkRTP提取出H264裸流数据脚本
10-24
Wireshark是一款强大的网络封包分析...通过Wireshark的Lua脚本功能,我们可以实现从网络流量提取并处理这些编码的视频数据,这对于视频通信、监控系统或者在线流媒体服务的开发者和维护者来说是非常有价值的工具
pcaper 报文16进制打印转pcap数据
09-09
Pcaper可以把报文的16进制输出(可包含回车空格)转换成wireshark可以识别的pcap格式报文。
wireshark数据分析
04-04
数据分析教程
wireshark RTP抓包 导出H.264 Payload 插件
11-10
一个wireshark插件,可以在打开包含H.264码流的抓包后,选菜单“Tools->Export H264 to file [HQX's plugins]”后,把抓包文件里的H.264码流自动导出到抓包文件所在目录(工作目录)里,名为from___to__.264的264裸码流文件里。(文件格式为每个NALU前加0x00000001分隔符)。 把h264_export.lua文件,放到wireshark安装目录下,然后修改wireshark安装目录下的init.lua文件: (1)若有disable_lua = true这样的行,则注释掉; (2)在文件末加入dofile("h264_export.lua") 重新打开wirekshark就能使用该功能了。
wireshark特定rtp分组导出步骤
11-17
使用Wireshark快速导出特定ssrc的rtp分组,http://wiki.wireshark.org/Development/LibpcapFileFormat
使用wireshark导出rtpdump文件步骤
11-17
使用Wireshark导出符合http://www.cs.columbia.edu/irt/software/rtptools/所指定的rtp流的步骤
LTE 4G RLC PDU数据 16进制转换为文本
01-11
这个工具会读取16进制形式的RLC PDU数据,并输出相应的文本格式。 在实际操作,RLC PDU的解析可能需要专用的协议分析工具,例如Wireshark,它支持多种网络协议的解析,包括LTE RLC。通过这些工具,可以详细查看...
wireshark 十六进制 查看_【路由交换】将16进制数据包转换成pcap的文件
weixin_28886359的博客
12-23 2233
这篇文章主要是为了介绍一下wireshark自带的小工具text2pcap,这个小工具可以帮助我们将16进制的文件转换为pcap文件,让我们可以直接用wireshark打开。该工具存在wireshark安装目录下,无法直接打开,只能通过CMD运行.打开wireshark的安装目录,在安装目录下新建一个text文档,如下图所示将16进制数据按下图格式进行整合,注意前6个字节一定要对应MAC地址,...
wireshark导出rtp码流、提取码流、码流
chongzi5059的博客
05-28 1246
红框里有一个rtp-流分析 出来这个框-左下角save
tcpdump抓包并保存成cap文件 并用wireshark 从udp转成rtp, 导出rtppayload信息, 生成ps文件
热门推荐
weixin_40592935的博客
07-06 1万+
亲测命令:tcpdump udp -i eno16777736 dst port 17002  -w eth1.cap首选介绍一下tcpdump的常用参数tcpdump采用命令行方式,它的命令格式为:   tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]           [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]  ...
如何从wireshark解压出RTP包并播放音视频
手机游戏开发
08-04 4495
文章目录问题方法:用wireshark 插件解出RTP包再用mplayer 播放。播放原始H.264文件将H.264文件转换为mp4 问题 有时候我们解决问题时,发现接收端没有视频,其一个办法就是抓包然后看包里面视频是否正确,下面是如何实现抓包的方法。 方法:用wireshark 插件解出RTP包再用mplayer 播放。 wireshark 插件是国外一个人写的,安装如下所示: 在/App...
Wireshark 数据字节显示16进制和ASCII?
05-05
Wireshark是一款网络协议分析工具,它可以对网络数据包进行捕获、分析和显示。在Wireshark数据字节可以以16进制或ASCII码的形式显示。 要在Wireshark显示数据字节的16进制和ASCII码,可以按照以下步骤操作: 1. 打开Wireshark并选择要分析的网络接口。 2. 开始捕获数据包并选择要查看的数据包。 3. 在数据包详细信息窗口,选择要查看的数据包的数据字节部分。 4. 在数据字节部分,右键单击并选择“Copy”。 5. 打开文本编辑器并粘贴剪贴板的内容。 6. 在文本编辑器数据字节将以16进制和ASCII码的形式显示。 例如,以下是一个包含16进制和ASCII码的数据字节示例: ``` 0000 48 65 6C 6C 6F 20 57 6F 72 6C 64 21 Hello World! ``` 其,左侧列显示了数据字节的偏移量,间的列显示了16进制值,右侧的列显示了ASCII码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值