如何将 RTP 数据包与其他数据包分开

Question

我有一个带有 voip 对话的 pcap 文件，如何将 RTP 数据包与其他数据包分开？

我可以获取 sip 数据包，但无法区分 RTP 数据包和其他数据包。

Answer 1

在文件中搜索 RFC3550 中定义的 RTP 标头。或者更好地使用 pcap-filter，例如使用 this wiki（查找“Q：什么是好的过滤器”仅捕获 SIP 和 RTP 数据包？”）。

Answer 2

查看 @macs 关于 PCap 过滤器的建议。如果这不能满足您的需求（例如，您需要过滤掉特定 SIP 会话的 RTP 数据包），则没有简单的方法。您需要解析 SIP 消息、检索 RTP 端口号、在特定时间段获取进出这些端口的数据包，并（可选）通过检查其标头（标头中的幻数）来检查这些数据包是否为 RTP ）

Answer 3

从 pcap 文件中提取 RTP/RTCP 数据包的开源软件是：

• rtpbreak: http: //dallachiesa.com/code/rtpbreak/doc/rtpbreak_en.html
• xplico: http://www.xplico.org

从源代码中您可以查看并了解所使用的方法。

我可以获取sip数据包，但无法区分RTP数据包
从其余的。

如果您能够解码 SIP，那么您可以找到（在 INVITE 消息中）SDP 消息。如果对其进行解码，您可以找到 RTP“流”的 IP 和端口（以及 RTCP => 端口 + 1）。通过这些信息，您可以唯一地识别 RTP 和 RTCP 数据包。请记住，经常有一些带有 STUN 协议的包（具有相同的 IP 端口）必须与 RTP 分开。
你必须考虑数据包捕获在哪里（网络上下文和约束），你可能会考虑 NAT。

Answer 4

如果您想在wireshark中查看RTP流量，则：

1. 选择分析->显示过滤器...
2. 选择“UDP”，确定
3. 右键单击任何UDP数据包并选择“解码为...”
4. 从列表中选择“RTP” , OK
5. 现在你可以看到所有的RTP数据包了。

希望有帮助。 :)

ps 编辑后注意到这是针对 Wireshark 的。感谢评论者指出这一点！