小工具,从wireshark中导出原始16进制数据,进而导出RTPPayload数据

最新推荐文章于 2025-07-08 22:46:09 发布
最新推荐文章于 2025-07-08 22:46:09 发布
阅读量1.4w 收藏 11
点赞数 1
CC 4.0 BY-SA版权
分类专栏: C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/C__Allen/article/details/9092119
本文详细介绍了如何使用Wireshark抓取的包数据,通过特定脚本提取RTP数据的payload部分,进而进行进一步的数据分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

wireshark抓到的包可以导出:file->export->file

在packet format下可以选择导出的格式,但如果需要的数据是多个包的组合那就麻烦了,因为导出的数据无论如何都会加上链路层、IP层和传输层的头信息,手动删除基本可能。

比如,我捕获了很多RTP包,但我只想取出RTP的payload来分析数据是否正确,我可以这样做:


首先导出packet byte格式的数据,我把该数据保存在RAW.dat中,数据的格式是这样的(一个wireshark中的包):



然后把其中的16进制数据提取出来,上代码:

#include "stdlib.h"
#include "stdio.h"


typedef enum state //状态机实现
{
	IGNORE,
	WAITCR,
	WAITLF,
	READY,
	READ_L,
	READ_H
}STATE;

int AToI(unsigned char *pData)
{
	unsigned char tmp[2];
	int ret;
	tmp[0] = *pData;
	tmp[1] = *(pData+1);
	for (int i=0; i<2; i++)
	{
		if (tmp[i] <= 0x39 && tmp[i] >= 0x30)
		{
			tmp[i] &= 0x0f;
		}
		else if(tmp[i] <= 0x66 && tmp[i] >= 0x61)
		{
			tmp[i] = 9 + tmp[i]&0x0f;
		}
		else
		{
			printf("Err\n");
			return -1;
		}
	}

	ret = tmp[0]*16 + tmp[1];
	return ret;
}

int main()
{
	FILE *FI, *FO;
	
	FI = fopen("RAW.dat", "rb");
	FO = fopen("RTP.dat", "wb");
	
	STATE stat=IGNORE;
	unsigned char tmp;
	int hex;
	unsigned char ch[2] = {0};
	int count = 0, line = 0;
	int blankCount = 0;
	bool bFalse = false;
	unsigned long PacketCount = 0;

	while(!feof(FI) && !bFalse)
	{
		tmp = fgetc(FI);

		switch(stat)
		{
		case IGNORE:
			if (tmp == 0x20)
			{
				stat = READY;
			}
			break;
		case WAITCR:
			if (tmp == 0x0d)
			{
				stat = WAITLF;
			}
			break;
		case WAITLF:
			if (tmp == 0x0a)
			{
				stat = IGNORE;
			}
			break;
		case READY:
			if(tmp != 0x20)
			{
				ch[0] = tmp;
				stat = READ_L;
				blankCount = 0;
			}
			else
			{
				if (++blankCount >= 2)
				{
					PacketCount++;
					blankCount = 0;
					count = 0;
					stat = WAITCR;
				}
			}
			break;
		case READ_L:
			ch[1] = tmp;
			stat = READ_H;
			break;
		case READ_H:
			hex = AToI(ch);
			if (hex < 0)
			{
				bFalse = true;
				break;
			}
			fputc(hex, FO);
			if (++count == 16)
			{
				count = 0;
				line++;
				stat = WAITCR;
			}
			else
			{
				stat = READY;
			}
			break;
		}
	}

	fclose(FI);
	fclose(FO);

	return 0;
}


因为我抓取的是RTP数据,因此我又写了个小工具,从上面提取的裸数据中在一起提取出RTP数据:

#include "stdlib.h"
#include "stdio.h"

#include <assert.h>

int main()
{
	FILE *FI, *FO;

	FI = fopen("raw.dat", "rb");
	FO = fopen("rtp.dat", "wb");
	if (!FI || !FO)
	{
		return -1;
	}

	int ret=0;
	unsigned long ToTalLen=0, PacketLen = 0;
	unsigned long count = 0;
	unsigned char *pBuf = new unsigned char[10 * 1024 *1024];
	unsigned char *pPos = pBuf;
	int paddingLen = 0;
	bool bHasPadding = false;

	do
	{
		ret = fread(pPos, 1, 1024*1024, FI);
		ToTalLen += ret;
		pPos += ret;
	}while(ret > 0);
	pPos = pBuf;

	do 
	{	
		while(ToTalLen > 0)
		{
			if(*pPos != 0x50 || *(pPos+1)!= 0xe5)
			{
				printf("Has decode %d\n", count);
				break;
			}
			PacketLen = (*(pPos+38)<<8) + *(pPos+39);
			PacketLen -= (8 + 12);
			if (PacketLen > 1460)
			{
				break;
			}

			pPos += (14 + 20 + 8 + 12);

			if (PacketLen != fwrite(pPos, 1, PacketLen, FO))
			{
				break;
			}
			count++;
			pPos += PacketLen;
			//如果RTP的payload是4, 那么以太网的包长度肯定为4 + 12 + 8 + 20 + 14 == 58 小于 60
			//因此会有2个字节是需要丢弃的
			if (PacketLen == 4)
			{
				pPos += 2;
			}
		}
	} while(0);
	
	delete []pBuf;
	fclose(FI);
	fclose(FO);
	return 0;
}

其他的传输层数据可以类似地提取,不用去掉RTP头长度(12)。


提取pcap payload为16进制形式存储
村中少年的专栏
08-14 2234
将pcap数据转换成对应的文本或者16进制输出
Wireshark抓包并通过WinHex进行数据提取
m0_62623551的博客
10-08 4169
就是一些很基础很简单的操作,希望能帮到大家。
使用Wireshark提取pcap文件的原始16进制编码数据包到text
Dlzjx的博客
03-07 1万+
做一个记录 想要实现的功能就是把 pcap 文件的原始16进制编码数据包转换为到txt文档中,只要这些数据做深度学习,花了点时间学习wireshark的命令行操作。 实现命令行如下: 1.以管理员的身份打开cmd,进入到wireshark的文件夹 2.完整代码:tshark -T text -x -r D:\111.pcap > D:\111.txt 3.参考的是: 4.转换后的txt文档内容格式如下: 5.由于不想要前面的标签和空格和后面的ASCII码,遂又写了个简短的..
wireshark RTP抓包 导出H.264 Payload 插件
11-10
一个wireshark插件,可以在打开包含H.264码流的抓包后,选菜单“Tools->Export H264 to file [HQX's plugins]”后,把抓包文件里的H.264码流自动导出到抓包文件所在目录(工作目录)里,名为from___to__.264的264裸码流文件里。(文件格式为每个NALU前加0x00000001分隔符)。 把h264_export.lua文件,放到wireshark安装目录下,然后修改wireshark安装目录下的init.lua文件: (1)若有disable_lua = true这样的行,则注释掉; (2)在文件末加入dofile("h264_export.lua") 重新打开wirekshark就能使用该功能了。
【2025最新】超详细Wireshark安装保姆级教程+Wireshark抓包(网络分析)!
最新发布
Button12138的博客
07-08 916
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示WireShark 主要分为这几个界面Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。
wireshark 十六进制过滤_如何从Wireshark复制捕获的数据包的十六进制数据
weixin_39722563的博客
12-20 1163
here is the examplethis is the captured packet data00000000 00 6e 0b 00 .n..00000004 4d 5a e8 00 00 00 00 5b 52 45 55 89 e5 ...
如何从wireshark 抓包中的RTP导出 H.264 PAYLOAD,变成可用暴风直接播放的H264 裸码流文件
11-27 1万+
wireshark里面透过 stream analysis,导出来的H264影像没法直接播放,是因为我们需要安装一个插件,Lua脚本如下: 抓取一个包含H.264 Payload RTP包的SIP会话或RTSP会话后,用Wireshark的Play功能只能播放声音,不能播放视频。把RTP payload直接导出成文件后也是不能直接播放的,因为H.264 over RTP封包是符合RFC3984
wireshark十六进制转储
OceanStar的博客
11-27 3753
什么是十六进制转储 在计算机中,十六进制转储是计算机数据十六进制视图(在屏幕或者纸上),来自RAM或者来自文件或者存储设备 查看十六进制数据转存通常是作为调试或者逆向工程的一部分来完成大的。 在十六进制转储中,每个字节(8位)表示为两位十六进制数。 十六进制转储通常被组织成8或者16进制的行,有时由空格分隔。 一些十六进制转储在开头具有十六进制存储器地址或者在每一行的末尾具有校验和字节 这个程序函数的一些常用名称是hexdump,od,xxd和简单转储甚至是D. hexdump hexdump命令一般
wireshark 十六进制过滤,如何从Wireshark复制捕获的数据包的十六进制数据
weixin_31510897的博客
12-20 1791
here is the examplethis is the captured packet data00000000 00 6e 0b 00 .n..00000004 4d 5a e8 00 00 00 00 5b 52 45 55 89 e5 ...
python wireshark_用python编写脚本从wireshark导出数据文件中提取数据
weixin_30124601的博客
02-03 2113
上篇文章搭建了一个UDP多播程序的基础,所谓基础,就是看着它,我可以写简单的多播程序了,可以在这个基础上面开始工作了。会多播了,多播的内容从哪里来,播出什么内容呢?呵呵,有个设备,没有通讯协议,用wireshark抓包,分析协议,编程实现之,这就是此次多播的任务。启动wireshark,抓取数据包,导出为文本文件,三五十兆的文件,ultraedit搜索,观察,眼睛都看直了,有设备通讯数据,还有上网...
使用wireshark分析原始数据包,
明天乌儿会歌唱
09-07 1833
使用QNX保护的以太网数据都是原始数据包,十六进制格式,怎么分析呢,找到个好办法,只可以通过wireshark的“从HEX转储导入”分析, 但是这个16进制的格式,必须是这样的, 0000 d8 c4 97 bf c9 0a 00 10 a1 86 95 11 08 00 45 00 0010 02 20 ad 30 40 00 40 11 2a 8e c0 a8 6f df c0 a8 0020 6f de 8d 4e c4 c8 02 0c 99 b0 00 03 00 01 32 ...
使用wireshark导出rtpdump文件步骤
11-17
使用Wireshark导出符合http://www.cs.columbia.edu/irt/software/rtptools/所指定的rtp流的步骤
wireshark特定rtp分组导出步骤
11-17
使用Wireshark快速导出特定ssrc的rtp分组,http://wiki.wireshark.org/Development/LibpcapFileFormat
tcpdump抓包并保存成cap文件 并用wireshark 从udp转成rtp, 导出rtp的payload信息, 生成ps文件
热门推荐
weixin_40592935的博客
07-06 1万+
亲测命令:tcpdump udp -i eno16777736 dst port 17002  -w eth1.cap首选介绍一下tcpdump的常用参数tcpdump采用命令行方式,它的命令格式为:   tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]           [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]  ...
Wireshark导出rtp音频数据并使用Audacity分析
gtychuashuiwang的博客
12-21 1687
wireshark rtp
wireshark 十六进制 查看_Linux tcpdump,十六进制(hex)报文直接转wireshark格式包(docsis链路层)...
weixin_28949743的博客
01-13 1718
1. 适用条件适用于难把tcpdump文件从linux设备中抓下来,可以通过远程获得十六进制报文,直接转为wireshark格式。2. 简略过程tcpdump -xx -tt 直接把报文用十六进制打印出来将报文导入软件TextToWiresharkFormat-v2.0.exe,转为wireshark报文对于看DOCSIS 层的包,减去报头。editcap -C 44 capture.pcap c...
wireshark 十六进制 查看_【路由交换】将16进制数据包转换成pcap的文件
weixin_28886359的博客
12-23 2491
这篇文章主要是为了介绍一下wireshark自带的小工具text2pcap,这个小工具可以帮助我们将16进制的文件转换为pcap文件,让我们可以直接用wireshark中打开。该工具存在wireshark安装目录下,无法直接打开,只能通过CMD运行.打开wireshark的安装目录,在安装目录下新建一个text文档,如下图所示将16进制数据按下图格式进行整合,注意前6个字节一定要对应MAC地址,...
如何根据已知的十六进制报文,用Wireshark进行分析
qq_40934390的博客
12-31 559
我们工作中经常会看到很多十六进制的报文,但是不知道如何去分析。
wireshark导出rtp码流、提取码流、码流
chongzi5059的博客
05-28 1578
红框里有一个rtp-流分析 出来这个框-左下角save
如何使用Wireshark解析16进制数据
03-10
<think>好的,用户现在想了解如何使用Wireshark解析16进制数据包。之前已经推荐过Wireshark作为图形界面工具之一,但用户可能希望得到更具体的步骤指导。首先,我需要确定用户的使用场景。他们可能是网络管理员、安全分析师,或者开发者,处理网络协议或自定义数据包。用户可能已经有原始十六进制数据,需要将其导入Wireshark进行分析。 接下来,我需要考虑用户可能的痛点。比如,如何将十六进制数据转换为Wireshark可识别的格式,比如pcap或pcapng。另外,用户可能不知道如何在Wireshark中查看和解析这些数据包的结构。需要详细说明导入步骤,以及如何使用内置的协议解析器。 另外,用户可能对高级功能感兴趣,比如手动设置协议或自定义解析器,但如果是新手,可能需要先从基础开始。所以,回答需要分步骤,结构清晰,从导入数据到分析,再到高级技巧,逐步深入。 还要注意可能的常见问题,例如数据格式转换是否正确,字节顺序的问题,或者如何识别未知协议。需要提供解决这些问题的方法,比如使用text2pcap工具,或者调整解析选项。 需要确保每个步骤都具体,比如具体的菜单路径,命令示例,以及截图或代码块的使用,让用户容易跟随。同时,提醒用户注意字节顺序、协议选择是否正确,以及校验和验证的重要性。 最后,总结使用Wireshark的优势,比如支持多种协议,可视化分析,以及社区支持,帮助用户理解为什么选择这个工具。确保语言简洁明了,避免技术术语过于复杂,适合不同层次的用户理解。</think>以下是使用 **Wireshark** 解析16进制数据包的详细步骤指南,涵盖从数据导入到协议分析的完整流程: --- ### **一、准备16进制数据包** 1. **数据格式要求** - 原始数据需为 **16进制字符串**,例如: `AA BB 01 00 00 01 00 00 00 00 00 00 03 77 77 77 05 62 61 69 64 75 03 63 6F 6D 00 00 01 00 01` - 若数据以其他形式(如二进制文件 `.bin`)存储,可直接导入Wireshark。 --- ### **二、将16进制数据转换为Wireshark可读格式** #### **方法1:使用`text2pcap`工具(命令行)** - **适用场景**:将纯文本格式的16进制字符串转换为 `.pcap` 文件。 - **操作步骤**: 1. 创建输入文件(如 `input.txt`),格式示例: ``` 0000 aa bb 01 00 00 01 00 00 00 00 00 00 03 77 77 77 0010 05 62 61 69 64 75 03 63 6f 6d 00 00 01 00 01 ``` (`0000` 表示偏移量,非必须但推荐添加) 2. 运行转换命令: ```bash text2pcap -l 1 input.txt output.pcap # -l 1表示链路层类型为以太网(可省略) ``` 3. 生成 `output.pcap` 文件,用Wireshark打开。 #### **方法2:直接导入二进制文件** - **操作步骤**: 1. 打开Wireshark → `文件` → `打开` → 选择二进制文件(如 `.bin`)。 2. Wireshark会自动解析为原始数据包(需手动指定协议类型)。 --- ### **三、在Wireshark中解析数据包** 1. **基础解析流程** - **步骤1**:打开 `.pcap` 文件后,主界面分为三部分: - **数据包列表**:显示捕获的所有数据包。 - **协议详情**:分层展示各协议字段(如以太网头、IP头、TCP负载)。 - **原始字节**:显示16进制和ASCII格式的原始数据。 - **步骤2**:右键点击目标数据包 → `Follow` → `TCP Stream`(或`UDP Stream`)查看完整会话内容。 2. **强制指定协议解析** - **适用场景**:当Wireshark未自动识别协议时(如自定义私有协议)。 - **操作步骤**: 1. 选中数据包 → 右键 → `Decode As...` 2. 在`Current`列选择协议类型(如`HTTP`、`DNS`或`Data`)。 ![decode_as](https://www.wireshark.org/docs/wsug_html_chunked/wsug_graphics/decode-as-dialog.png) 3. **查看16进制原始数据** - **操作**:点击数据包详情中的`原始数据`区域,下方将高亮显示对应的16进制字节。 - **快捷键**:`Ctrl+H` 切换16进制/ASCII显示模式。 --- ### **四、高级分析技巧** 1. **过滤特定字段** - **示例**: - 过滤所有包含字节`AA BB`的数据包: ```wireshark-filter frame contains aa:bb ``` - 过滤IP地址为`192.168.1.1`的流量: ```wireshark-filter ip.addr == 192.168.1.1 ``` 2. **自定义协议解析** - **使用Lua脚本**: 1. 编写Lua脚本定义协议字段(如解析帧头、长度、校验和)。 2 在Wireshark中加载脚本: `分析` → `启用的协议` → `Lua` → 选择脚本文件。 - **示例脚本片段**: ```lua local my_proto = Proto("MyProtocol", "My Custom Protocol") local fields = { header = ProtoField.bytes("myproto.header", "Header"), length = ProtoField.uint16("myproto.length", "Length", base.DEC) } my_proto.fields = fields function my_proto.dissector(buffer, pinfo, tree) local subtree = tree:add(my_proto, buffer(), "My Protocol Data") subtree:add(fields.header, buffer(0,2)) -- 解析前2字节为帧头 subtree:add(fields.length, buffer(2,2)) -- 解析3-4字节为长度 end DissectorTable.get("udp.port"):add(1234, my_proto) -- 绑定到UDP端口1234 ``` 3. **导出特定字段** - **操作**:右键点击协议字段 → `Export Packet Bytes` → 选择范围保存为文件。 --- ### **五、常见问题与解决** 1. **数据包显示为`[Malformed Packet]`** - **原因**:协议解析失败(如校验和错误、字段长度不匹配)。 - **解决**: - 检查原始数据是否完整。 - 通过`Analyze` → `Enabled Protocols` 禁用错误协议的解析。 2. **字节顺序问题(大端/小端)** - **调整方法**:在`协议详情`中右键字段 → `Switch Byte Order`。 3. **时间戳校正** - **操作**:`视图` → `时间显示格式` → 选择`UTC`或相对时间。 --- ### **六、关键优势总结** 1. **协议支持广泛**:内置3000+协议解析器(如HTTP、DNS、TLS)。 2. **可视化分析**:通过IO图表、流量统计等功能快速定位异常。 3. **社区支持**:通过[Wireshark官方Wiki](https://wiki.wireshark.org/)获取协议插件和脚本。 --- **示例截图**: ![Wireshark解析界面](https://www.wireshark.org/docs/wsug_html_chunked/wsug_graphics/ws-main-window.png) (图中展示典型的数据包分层解析视图) 通过以上步骤,您可高效利用Wireshark完成16进制数据包的解析、调试和逆向工程任务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值