小工具,从wireshark中导出原始16进制数据,进而导出RTPPayload数据

最新推荐文章于 2025-07-08 22:46:09 发布
原创 最新推荐文章于 2025-07-08 22:46:09 发布 · 1.4w 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何使用Wireshark抓取的包数据,通过特定脚本提取RTP数据的payload部分,进而进行进一步的数据分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

wireshark抓到的包可以导出:file->export->file

在packet format下可以选择导出的格式,但如果需要的数据是多个包的组合那就麻烦了,因为导出的数据无论如何都会加上链路层、IP层和传输层的头信息,手动删除基本可能。

比如,我捕获了很多RTP包,但我只想取出RTP的payload来分析数据是否正确,我可以这样做:


首先导出packet byte格式的数据,我把该数据保存在RAW.dat中,数据的格式是这样的(一个wireshark中的包):



然后把其中的16进制数据提取出来,上代码:

#include "stdlib.h"
#include "stdio.h"


typedef enum state //状态机实现
{
	IGNORE,
	WAITCR,
	WAITLF,
	READY,
	READ_L,
	READ_H
}STATE;

int AToI(unsigned char *pData)
{
	unsigned char tmp[2];
	int ret;
	tmp[0] = *pData;
	tmp[1] = *(pData+1);
	for (int i=0; i<2; i++)
	{
		if (tmp[i] <= 0x39 && tmp[i] >= 0x30)
		{
			tmp[i] &= 0x0f;
		}
		else if(tmp[i] <= 0x66 && tmp[i] >= 0x61)
		{
			tmp[i] = 9 + tmp[i]&0x0f;
		}
		else
		{
			printf("Err\n");
			return -1;
		}
	}

	ret = tmp[0]*16 + tmp[1];
	return ret;
}

int main()
{
	FILE *FI, *FO;
	
	FI = fopen("RAW.dat", "rb");
	FO = fopen("RTP.dat", "wb");
	
	STATE stat=IGNORE;
	unsigned char tmp;
	int hex;
	unsigned char ch[2] = {0};
	int count = 0, line = 0;
	int blankCount = 0;
	bool bFalse = false;
	unsigned long PacketCount = 0;

	while(!feof(FI) && !bFalse)
	{
		tmp = fgetc(FI);

		switch(stat)
		{
		case IGNORE:
			if (tmp == 0x20)
			{
				stat = READY;
			}
			break;
		case WAITCR:
			if (tmp == 0x0d)
			{
				stat = WAITLF;
			}
			break;
		case WAITLF:
			if (tmp == 0x0a)
			{
				stat = IGNORE;
			}
			break;
		case READY:
			if(tmp != 0x20)
			{
				ch[0] = tmp;
				stat = READ_L;
				blankCount = 0;
			}
			else
			{
				if (++blankCount >= 2)
				{
					PacketCount++;
					blankCount = 0;
					count = 0;
					stat = WAITCR;
				}
			}
			break;
		case READ_L:
			ch[1] = tmp;
			stat = READ_H;
			break;
		case READ_H:
			hex = AToI(ch);
			if (hex < 0)
			{
				bFalse = true;
				break;
			}
			fputc(hex, FO);
			if (++count == 16)
			{
				count = 0;
				line++;
				stat = WAITCR;
			}
			else
			{
				stat = READY;
			}
			break;
		}
	}

	fclose(FI);
	fclose(FO);

	return 0;
}


因为我抓取的是RTP数据,因此我又写了个小工具,从上面提取的裸数据中在一起提取出RTP数据:

#include "stdlib.h"
#include "stdio.h"

#include <assert.h>

int main()
{
	FILE *FI, *FO;

	FI = fopen("raw.dat", "rb");
	FO = fopen("rtp.dat", "wb");
	if (!FI || !FO)
	{
		return -1;
	}

	int ret=0;
	unsigned long ToTalLen=0, PacketLen = 0;
	unsigned long count = 0;
	unsigned char *pBuf = new unsigned char[10 * 1024 *1024];
	unsigned char *pPos = pBuf;
	int paddingLen = 0;
	bool bHasPadding = false;

	do
	{
		ret = fread(pPos, 1, 1024*1024, FI);
		ToTalLen += ret;
		pPos += ret;
	}while(ret > 0);
	pPos = pBuf;

	do 
	{	
		while(ToTalLen > 0)
		{
			if(*pPos != 0x50 || *(pPos+1)!= 0xe5)
			{
				printf("Has decode %d\n", count);
				break;
			}
			PacketLen = (*(pPos+38)<<8) + *(pPos+39);
			PacketLen -= (8 + 12);
			if (PacketLen > 1460)
			{
				break;
			}

			pPos += (14 + 20 + 8 + 12);

			if (PacketLen != fwrite(pPos, 1, PacketLen, FO))
			{
				break;
			}
			count++;
			pPos += PacketLen;
			//如果RTP的payload是4, 那么以太网的包长度肯定为4 + 12 + 8 + 20 + 14 == 58 小于 60
			//因此会有2个字节是需要丢弃的
			if (PacketLen == 4)
			{
				pPos += 2;
			}
		}
	} while(0);
	
	delete []pBuf;
	fclose(FI);
	fclose(FO);
	return 0;
}

其他的传输层数据可以类似地提取,不用去掉RTP头长度(12)。


提取pcap payload为16进制形式存储
村中少年的专栏
08-14 2233
将pcap数据转换成对应的文本或者16进制输出
Wireshark抓包并通过WinHex进行数据提取
m0_62623551的博客
10-08 4169
就是一些很基础很简单的操作,希望能帮到大家。
使用Wireshark提取pcap文件的原始16进制编码数据包到text
Dlzjx的博客
03-07 1万+
做一个记录 想要实现的功能就是把 pcap 文件的原始16进制编码数据包转换为到txt文档中,只要这些数据做深度学习,花了点时间学习wireshark的命令行操作。 实现命令行如下: 1.以管理员的身份打开cmd,进入到wireshark的文件夹 2.完整代码:tshark -T text -x -r D:\111.pcap > D:\111.txt 3.参考的是: 4.转换后的txt文档内容格式如下: 5.由于不想要前面的标签和空格和后面的ASCII码,遂又写了个简短的..
wireshark RTP抓包 导出H.264 Payload 插件
11-10
一个wireshark插件,可以在打开包含H.264码流的抓包后,选菜单“Tools->Export H264 to file [HQX's plugins]”后,把抓包文件里的H.264码流自动导出到抓包文件所在目录(工作目录)里,名为from___to__.264的264裸码流文件里。(文件格式为每个NALU前加0x00000001分隔符)。 把h264_export.lua文件,放到wireshark安装目录下,然后修改wireshark安装目录下的init.lua文件: (1)若有disable_lua = true这样的行,则注释掉; (2)在文件末加入dofile("h264_export.lua") 重新打开wirekshark就能使用该功能了。
【2025最新】超详细Wireshark安装保姆级教程+Wireshark抓包(网络分析)!
最新发布
Button12138的博客
07-08 892
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示WireShark 主要分为这几个界面Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。
wireshark 十六进制过滤_如何从Wireshark复制捕获的数据包的十六进制数据
weixin_39722563的博客
12-20 1163
here is the examplethis is the captured packet data00000000 00 6e 0b 00 .n..00000004 4d 5a e8 00 00 00 00 5b 52 45 55 89 e5 ...
如何从wireshark 抓包中的RTP导出 H.264 PAYLOAD,变成可用暴风直接播放的H264 裸码流文件
11-27 1万+
wireshark里面透过 stream analysis,导出来的H264影像没法直接播放,是因为我们需要安装一个插件,Lua脚本如下: 抓取一个包含H.264 Payload RTP包的SIP会话或RTSP会话后,用Wireshark的Play功能只能播放声音,不能播放视频。把RTP payload直接导出成文件后也是不能直接播放的,因为H.264 over RTP封包是符合RFC3984
wireshark十六进制转储
OceanStar的博客
11-27 3751
什么是十六进制转储 在计算机中,十六进制转储是计算机数据十六进制视图(在屏幕或者纸上),来自RAM或者来自文件或者存储设备 查看十六进制数据转存通常是作为调试或者逆向工程的一部分来完成大的。 在十六进制转储中,每个字节(8位)表示为两位十六进制数。 十六进制转储通常被组织成8或者16进制的行,有时由空格分隔。 一些十六进制转储在开头具有十六进制存储器地址或者在每一行的末尾具有校验和字节 这个程序函数的一些常用名称是hexdump,od,xxd和简单转储甚至是D. hexdump hexdump命令一般
wireshark 十六进制过滤,如何从Wireshark复制捕获的数据包的十六进制数据
weixin_31510897的博客
12-20 1791
here is the examplethis is the captured packet data00000000 00 6e 0b 00 .n..00000004 4d 5a e8 00 00 00 00 5b 52 45 55 89 e5 ...
python wireshark_用python编写脚本从wireshark导出数据文件中提取数据
weixin_30124601的博客
02-03 2113
上篇文章搭建了一个UDP多播程序的基础,所谓基础,就是看着它,我可以写简单的多播程序了,可以在这个基础上面开始工作了。会多播了,多播的内容从哪里来,播出什么内容呢?呵呵,有个设备,没有通讯协议,用wireshark抓包,分析协议,编程实现之,这就是此次多播的任务。启动wireshark,抓取数据包,导出为文本文件,三五十兆的文件,ultraedit搜索,观察,眼睛都看直了,有设备通讯数据,还有上网...
使用wireshark分析原始数据包,
明天乌儿会歌唱
09-07 1832
使用QNX保护的以太网数据都是原始数据包,十六进制格式,怎么分析呢,找到个好办法,只可以通过wireshark的“从HEX转储导入”分析, 但是这个16进制的格式,必须是这样的, 0000 d8 c4 97 bf c9 0a 00 10 a1 86 95 11 08 00 45 00 0010 02 20 ad 30 40 00 40 11 2a 8e c0 a8 6f df c0 a8 0020 6f de 8d 4e c4 c8 02 0c 99 b0 00 03 00 01 32 ...
使用wireshark导出rtpdump文件步骤
11-17
使用Wireshark导出符合http://www.cs.columbia.edu/irt/software/rtptools/所指定的rtp流的步骤
wireshark特定rtp分组导出步骤
11-17
使用Wireshark快速导出特定ssrc的rtp分组,http://wiki.wireshark.org/Development/LibpcapFileFormat
tcpdump抓包并保存成cap文件 并用wireshark 从udp转成rtp, 导出rtp的payload信息, 生成ps文件
热门推荐
weixin_40592935的博客
07-06 1万+
亲测命令:tcpdump udp -i eno16777736 dst port 17002  -w eth1.cap首选介绍一下tcpdump的常用参数tcpdump采用命令行方式,它的命令格式为:   tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]           [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]  ...
Wireshark导出rtp音频数据并使用Audacity分析
gtychuashuiwang的博客
12-21 1683
wireshark rtp
wireshark 十六进制 查看_Linux tcpdump,十六进制(hex)报文直接转wireshark格式包(docsis链路层)...
weixin_28949743的博客
01-13 1718
1. 适用条件适用于难把tcpdump文件从linux设备中抓下来,可以通过远程获得十六进制报文,直接转为wireshark格式。2. 简略过程tcpdump -xx -tt 直接把报文用十六进制打印出来将报文导入软件TextToWiresharkFormat-v2.0.exe,转为wireshark报文对于看DOCSIS 层的包,减去报头。editcap -C 44 capture.pcap c...
wireshark 十六进制 查看_【路由交换】将16进制数据包转换成pcap的文件
weixin_28886359的博客
12-23 2487
这篇文章主要是为了介绍一下wireshark自带的小工具text2pcap,这个小工具可以帮助我们将16进制的文件转换为pcap文件,让我们可以直接用wireshark中打开。该工具存在wireshark安装目录下,无法直接打开,只能通过CMD运行.打开wireshark的安装目录,在安装目录下新建一个text文档,如下图所示将16进制数据按下图格式进行整合,注意前6个字节一定要对应MAC地址,...
如何根据已知的十六进制报文,用Wireshark进行分析
qq_40934390的博客
12-31 556
我们工作中经常会看到很多十六进制的报文,但是不知道如何去分析。
wireshark导出rtp码流、提取码流、码流
chongzi5059的博客
05-28 1577
红框里有一个rtp-流分析 出来这个框-左下角save
如何使用Wireshark解析16进制数据
03-10
以下是使用 **Wireshark** 解析16进制数据包的详细步骤指南,涵盖从数据导入到协议分析的完整流程: --- ### **一、准备16进制数据包** 1. **数据格式要求** - 原始数据需为 **16进制字符串**,例如: `AA BB ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值