YY的音频数据传输是P2P协议,音频的编码为AAC,下面抓去的音频编码的信息和频谱信息。
音频编码为AAC,采样为44K,码率24kb/s。音频编码在24kb/s码率能达到15K的音质。值得大家学习啊。
1.准备工具
procexp.exe 分析YY的进程信息
Procmon.exe 分析YY的网络数据包
wireshark.exe 分析网络包的内容
2.分析YY的进程信息
使用procexp分析YY的大致信息,比如进程号,网络连接等
3.分析YY的网络传输信息
使用procmon分析YY的网络数据,根据上面的得到的进程ID设置过滤,只接受YY的UDP数据包
过滤后得到数据包如下:
从上面的数据可以看到端口为8456的UDP接受数据最多,可以看出这个端口接受的就是P2P音频数据。
4.使用wireshark抓取P2P音频数据包
设置wireshark的过滤器,只抓去端口为8456的UDP数据包
抓去的数据如下:
查看UDP数据流,这里面存的就是YY的音频数据。从下面的数据看不出来具体的音频编码。
不急,我们多看几个数据包就会发现,他们都有固定的数据头,紧接着都刚好是0xff|0xf1(这个刚好是aac ADTS的同步头)。所以我们可以按照这个思路分析下去。
5. 使用代码分析pcap抓去的数据包
详细分析参考代码:
#include <stdio.h>
#include <stdlib.h>
#include <WinSock2.h>
#include <assert.h>
///
typedef unsigned int bpf_u_int32;
typedef unsigned char u_char;
typedef unsigned short u_short;
typedef unsigned int u_int;
typedef int bpf_int32;
/*
Pcap文件分析如下:
+-------+-------+-------+-------+-------+-------+-------+-------+-------+-------+
|Pcap Header |Packet Header |Packet Body |Packet Header |Packet Body |
+-------+-------+-------+-------+-------+-------+-------+-------+-------+-------+
*/
/*
Pcap文件头
+-------+-------+-------+-------+
| Magic 4B |
+-------+-------+-------+-------+
| Major 2B | Minor 2B |
+-------+-------+-------+-------+
| ThisZone 4B |
+-------+-------+-------+-------+
| SigFigs 4B |
+-------+-------+-------+-------+
| SnapLen 4B |
+-------+-------+-------+-------+
| LinkType 4B |
+-------+-------+-------+-------+
Pcap文件头24B各字段说明:
Magic:4B:0x1A 2B 3C 4D:用来标示文件的开始
Major:2B,0x02 00:当前文件主要的版本号
Minor:2B,0x04 00当前文件次要的版本号
ThisZone:4B当地的标准时间;全零
SigFigs:4B时间戳的精度;全零
SnapLen:4B最大的存储长度
LinkType:4B链路类型
常用类型:
0 BSD loopback devices, except for later OpenBSD
1 Ethernet, and Linux loopback devices
6 802.5 Token Ring
7 ARCnet
8 SLIP
9 PPP
*/
typedef struct pcap_file_header {
bpf_u_int32 magic;
u_short version_major;
u_short version_minor;
bpf_int32 thiszone;
bpf_u_int32 sigfigs;
bpf_u_int32 snaplen;
bpf_u_int32 linktype;
}pcap_file_header;
/*
Packet 包头和Packet数据组成
+-------+-------+
|Packet Header |
+-------+-------+
|Packet Body |
+-------+-------+
Paket 包头
+-------+-------+-------+-------+
| Timestamp 4B |
+-------+-------+-------+-------+
| Timestamp 4B |
+-------+-------+-------+-------+
| Caplen 4B |
+-------+-------+-------+-------+
| Len 4B |
+-------+-------+-------+-------+
字段说明:
Timestamp:时间戳高位,精确到seconds
Timestamp:时间戳低位,精确到microseconds
Caplen:当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。
Len:离线数据长度:网络中实际数据帧的长度,一般不大于caplen,多数情况下和Caplen数值相等。
Packet 数据:即 Packet(通常就是链路层的数据帧)具体内容,长度就是Caplen,这个长度的后面,就是当前PCAP文件中存放的下一个Packet数据包,也就 是说:PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串,下一组数据在文件中的起始位置。我们需要靠第一个Packet包确定。
*/
typedef struct timestamp{
bpf_u_int32 timestamp_s;
bpf_u_int32 timestamp_ms;
}timestamp;
typedef struct pcap_header{
timestamp ts;
bpf_u_int32 capture_len;
bpf_u_int32 len;
}pcap_header;
//help funtion
void printPcapHeader(pcap_file_header * ph)
{
printf("=====================\n"
"magic:0x%0x\n"
"version_major:%u\n"
"version_minor:%u\n"
"thiszone:%d\n"
"sigfigs:%u\n"
"snaplen:%u\n"
"linktype:%u\n"
"=====================\n",
ph->magic,
ph->version_major,
ph->version_minor,
ph->thiszone,
ph->sigfigs,
ph->snaplen,
ph->linktype);
}
void printPacketHeader(pcap_header * ph)
{
printf("=====================\n"
"ts.timestamp_s:%u\n"
"ts.timestamp_ms:%u\n"
"capture_len:%u\n"
"len:%d\n"
"=====================\n",
ph->ts.timestamp_s,
ph->ts.timestamp_ms,
ph->capture_len,
ph->len);
}
//
/*
UDP包分析
*/
/* 4字节的IP地址 */
typedef struct ip_address{
u_char byte1;
u_char byte2;
u_char byte3;
u_char byte4;
}ip_address;
/* IPv4头 */
typedef struct ip_header{
u_char ver_ihl; // 版本 (4 bits) + 首部长度 (4 bits) /// 首部长度
u_char tos; // 服务类型(Type of service)
u_short tlen; // 总长(Total length)
u_short identification; // 标识(Identification)
u_short flags_fo; // 标志位(Flags) (3 bits) + 段偏移量(Fragment offset) (13 bits)
u_char ttl; // 存活时间(Time to live)
u_char proto; // 协议(Protocol)
u_short crc; // 首部校验和(Header checksum)
ip_address saddr; // 源地址(Source address)
ip_address daddr; // 目的地址(Destination address)
u_int op_pad; // 选项与填充(Option + Padding)
}ip_header;
/* UDP头 */
typedef struct udp_header{
u_short sport; // 源端口(Source port)
u_short dport; // 目的端口(Destination port)
u_short len; // UDP数据包长度(Datagram length) /// UDP总长度
u_short crc; // 校验和(Checksum)
}udp_header;
u_char pkt_data[65536];
int main()
{
FILE * fp = fopen("yy.p2p.packet_long.pcap", "rb");
if (!fp)
{
fprintf(stderr, "open file error\n");
return -1;
}
FILE * aacfp = fopen("yy.p2p.packet_long.pcap.aac", "wb");
if (!fp)
{
fprintf(stderr, "open file error\n");
return -1;
}
//1. Read pcap file header
pcap_file_header pfh;
fread(&pfh, 1, sizeof(pfh), fp);
printPcapHeader(&pfh);
//2. Read pcap packet
while (!feof(fp))
{
pcap_header ph;
if (fread(&ph, 1, sizeof(ph), fp) != sizeof(ph))
break;
printPacketHeader(&ph);
if (fread(pkt_data, 1, ph.capture_len, fp) != ph.capture_len)
break;
//3. 分析消息包内容
//fseek(fp, ph.capture_len, 1);
// 获取IP数据包头的位置
ip_header *ih = (ip_header *)(pkt_data + 14); // 14以太网头部长度
// 只处理UDP包
if (ih->proto != 0x11)
continue;
// 获取UDP首部的位置
u_int ip_len = (ih->ver_ihl & 0x0f) * 4;
udp_header * uh = (udp_header *)((u_char *)ih + ip_len);
//
u_short sport = ntohs(uh->sport);
u_short dport = ntohs(uh->dport);
u_short udplen = ntohs(uh->len);
if(sport != 8455) // yy源端口为8455
continue;
/* 打印IP地址和UDP端口 */
printf("%d.%d.%d.%d.%d -> %d.%d.%d.%d.%d\n",
ih->saddr.byte1,
ih->saddr.byte2,
ih->saddr.byte3,
ih->saddr.byte4,
sport,
ih->daddr.byte1,
ih->daddr.byte2,
ih->daddr.byte3,
ih->daddr.byte4,
dport);
//
u_char * udp_data = (u_char *)uh + 8;
//u_char * aac_data = udp_data + 34;
//u_short aac_len = udplen - 8 - 34;
u_char * aac_data = pkt_data + 14 + ip_len + 8 + 34;
int aac_len = ph.capture_len - (14 + ip_len + 8 + 34);
//assert(aac_len > 0);
if (aac_len <= 0) continue; /// 只有 yy头,没有aac数据
assert(aac_len < ph.capture_len);
printf("aac len = %d pkt_len = %d\n", aac_len, ph.capture_len);
assert(aac_data[0] == 0xff && aac_data[1] == 0xf1);
fwrite(aac_data, 1, aac_len, aacfp);
}
fclose(fp);
fclose(aacfp);
return 0;
}
652
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
