tshark/wireshark/tcpdump实战笔记(更新中...)_tcpdump rtsp

注意Wireshark表示意义：
Source: 发送方IP   
Destination: 接收方IP
Protoco: 协议
Length: 这里显示的物理层(Frame)数据长度,Frame层长度最长，因为每层都要加上包头。
info: 显示发送和接收数据的状态
 
//安装tshark和wireshark
# sudo apt-get install tshark
# sudo apt-get install wireshark
 
一、wireshark/tcpdump
0.抓所有网卡数据包
# tcpdump -i any -vv -s0 -w ss.pcap
 
1.只抓每个包前80个字节
# tcpdump -I eth0 -s 80 -w tcpdump_01.pcap
 
2.只抓IP为：10.60.201.243的数据包
# tcpdump -i en0 host 10.60.201.243 -w ss_01.pcap
 
3.指定ping次数和包的大小.(ping 1次1个字节)
# ping -c 1 -s 1  www.baidu.com
 
指定wlan0抓全包
# tcpdump -i wlan0 -vv -s0 -w ss.pcap
 
4.过滤
【Crtl+F:可选：显示过滤器、十六进制、字符串、正则表达式来过滤.】
 
<1> ip.addr==10.60.201.243 
<2> ip.addr==10.60.201.243&&tcp.port==22
<3> ip.src == 10.60.220.125
<4> rtsp or rtcp or rtp
 
5.最容易上手的搜索功能
Ctrl + F:搜索关键字，怀疑包里有”error”，就用“字符串”模式搜索即可。
 
二、tshark实战笔记
6.抓包写文件
# tshark -i en0 -w test_01.pcap
 
2.解析抓到的包
# tshark -r test_01.pcap | grep "10.60.200.164"
 
3.tcpdump + ssh + wirshark实时远程抓包
# ssh ubuntu@10.211.55.9 "sudo tcpdump -vv -s0 -w - 'not port 22'" | wireshark -k -i -

三、RTSP抓包
1.tcpdump抓包
# tcpdump -i br0 -vv -s0 -w test_01.pcap
 
2.wireshark将tcp解析为rtsp
tcp.port==60854 && rtsp
tcp.port==60554
注意：因为rtsp默认端口为554，所以会将554端口的数据解析为rtsp，可以将tcp端口60854的端口解码为rtsp协议.
然后输入：rtsp or rtp or rtcp
 
最后查看rtsp协议的指令：
1、OPTIONS
获取服务器/客户端支持的能力集
 
2、DESCRIBE
从服务器获取流媒体文件格式信息
从服务器获取流媒体文件传输信息
Content-Type：一般是SDP
Content-length：一般是SDP的长度
 
3.SETUP
与服务器协商流媒体传输方式
此过程中，建立RTP通道
 
4、PLAY
与服务器协商流媒体播放
 
5、TEARDOWN
主要功能：拆除连接
 
6、PAUSE
暂停流媒体播放
 
7、GET PARAMETER
从服务器获取参数，目前主要获取时间范围
保持RTSP连接（发送空的GET_PARAMETER）
 
四、wireshark操作流状态
查看RTSP流整个状态(快捷键：Ctrl + Alt + Shift + T)
--->选中RTSP任意一个ip数据
 --->追踪流
  --->TCP流