“Wireshark的RTP流分析功能實戰(zhàn)。”

在VOIP協(xié)議的分析過程中，常常會遇到一些標(biāo)準(zhǔn)協(xié)議承載的語音傳輸，如以SIP、H.323為控制協(xié)商協(xié)議，RTP為語音數(shù)據(jù)協(xié)議的VOIP傳輸情況。

在語音協(xié)議的分析過程中，需要提取的一個重要項是語音內(nèi)容，但是，語音內(nèi)容不像文本那樣，在流量中可以肉眼觀察到，而是需要使用耳朵的聽來進(jìn)行語音內(nèi)容的判斷，有沒有便捷的工具，來完成二進(jìn)制流到聲音的轉(zhuǎn)換呢？有，協(xié)議分析常用的工具Wireshark就具備這個功能。

Wireshark已經(jīng)很好地對標(biāo)準(zhǔn)協(xié)議進(jìn)行了支持，并且支持了部分標(biāo)準(zhǔn)的音頻編碼格式，所以當(dāng)VOIP的控制協(xié)商協(xié)議為SIP、H.323等，數(shù)據(jù)協(xié)議為RTP時，可以直接使用Wireshark的相關(guān)功能，將語音流播放，或者導(dǎo)出成可播放的音頻文件。

下面將使用實例說明如何使用Wireshark對VOIP通話中RTP承載的音頻流進(jìn)行解碼及提取。

首先，我們得準(zhǔn)備一個含音頻流的pcap文件，可以到Wireshark官網(wǎng)去下載，然后使用Wireshark打開這個pcap。

第二步，點(diǎn)擊菜單“電話-->RTP-->RTP流”。

如果我們的Wireshark焦點(diǎn)剛好在一個RTP報文上，則可以直接使用“RTP流”下的“流分析”菜單，二者最終目的是一致的。

第三步，選中要分析的RTP流，一般語音都是雙向的，因此我們可以點(diǎn)擊按鈕“查找反向流”來選中另一個方向的RTP流，這在一個pcap中有很多條RTP流的情況下能很大地提高分析效率。選中流后，點(diǎn)擊按鈕“分析”進(jìn)入下一步RTP流分析界面。

第四步，在RTP流分析界面，界面左側(cè)可見RTP的數(shù)據(jù)情況分析，右側(cè)則為RTP報文的列表，上下行的RTP報文列表各占一個tab頁。在這個界面下方點(diǎn)擊按鈕“播放流”，即可進(jìn)入RTP播放器，在播放器中可對RTP流進(jìn)行播放。

第五步，在RTP播放器中，可點(diǎn)擊“播放圖像”按鈕進(jìn)行播放，就能聽到音頻數(shù)據(jù)的實際內(nèi)容了。

在RTP播放器界面的上方，為上下行兩個方向的音頻波形圖，界面中間則為兩個方向的RTP報文情況。兩個方向音頻的播放是按照RTP的時序進(jìn)行的。

如果僅僅能進(jìn)行播放，這是不夠的，我們還能將RTP音頻數(shù)據(jù)導(dǎo)出。

在RTP流分析界面內(nèi)，下方的按鈕“save”包含一系列功能菜單，可以將RTP流內(nèi)的音頻按不同要求保存，如上下行存為同一個文件，存為不同文件等，之間的區(qū)別可以逐個實操體會。

選中一項菜單，如“不同步的正向音頻”菜單，則進(jìn)入保存界面，和其他軟件的保存功能用法相同，這里可以存為.au音頻格式和.raw原始數(shù)據(jù)兩種文件格式，當(dāng)然，原始數(shù)據(jù)是沒法直接播放的，而au格式是可以播放的。保存之后，到目的路徑就能看見結(jié)果了。

這里只介紹了使用Wireshark的RTP音頻分析功能的一條路徑。在菜單“電話”下，還有很多路徑可以達(dá)到對RTP音頻流進(jìn)行分析的功能，如“VOIP通話”：

這些功能，可以舉一反三，都有待大家去發(fā)掘。

Wireshark提取音頻流的功能就介紹到這里了，學(xué)習(xí)協(xié)議分析的知識和工具使用，關(guān)注公眾號《協(xié)議分析與還原》準(zhǔn)沒錯。

長按進(jìn)行關(guān)注。

接下來，該過節(jié)了，明年再在這里相聚，在此提前給各位兄弟姐妹拜個早年，祝各位技術(shù)精進(jìn)，工資翻番，事業(yè)順利，闔家幸福。