码流分析

[cmd]tcpdump –s 0 –i eth0 host 206.xxx.xxx.xxx and port 554 –vv –w name.pcap -c 5000
//监听网卡0，适用于大部分情况
//监听206.xxx.xxx.xxx:554
//只抓5000个报文，防止NVR oom

/*****************************  以下分析tcp报文  ******************************/

[wireshark]右键->follow tcp stream
//过滤一个tcp连接

[wireshark]analyze->expert information
//分析tcp层的异常，重点关注warn信息

[wireshark]statistics->tcp stream graphs->time sequence
//分析序列号是否异常，关注是否跳变（丢包）

[wireshark]statistics->I/O graph
//interval选择0.01sec
//分析码率是否异常，关注是否成方波（断流）、起伏（网络拥塞）

[cmd]./rtsp_to_udp.py -i name.pcap
//将tcp承载的rtp转换为udp承载

/*****************************  以下分析udp/rtp报文  **************************/

[wireshark]右键->decode as->current(rtp)
//按rtp协议解析报文
//注意观察DynamicRTP-Type-96，是否与rtsp协商携带的payload一致，不一致会丢包

[wireshark]telephony->rtp->stream analyze
//分析rtp层的异常，重点观察lost、seq errs值（丢包）

/*****************************  以下分析H264报文  *****************************/

[wireshark]edit->preferences->protocols(H264)->payload填写
//根据rtp协议解析的payload值填写

[wireshark]udp contains ed:b8:00:04:7c:85
//结合rtp最后一个关键字ssrc（例如0xedb80004），和H264头两个字节（例如0x7c85）
//可以过滤I帧（H264第二个字节为0x85），观察I帧间隔

/*****************************  以下分析裸码流  *******************************/

[wireshark]tools->export H264 to file
//导出成H264的裸流文件，用elecard播放，观察是否黑屏/卡顿