传输流基础及抓包分析课件.pptVIP

传输流基础及抓包分析李玉涛

主要内容a传输流基础bWireshark和vlc的简单使用c抓包分析

传输流基础高速产品的编码格式：MPEG-2：利用图像中的两种特性：空间相关性和时间相关性，多用于数字电视。H.264：MPEG-4的第10层，视频监控行业应用较多。

传输流基础?ES（elementarystream）流：图像和声音信号经编码后生成各自的基本业务流。?PES（packetelementalstream）流：将ES流分成长度不等的数据包，并加上包头进行打包。系统编码的两种方法：TS、PS。两者的区别在于TS流的包结构是固定长度的，PS流的包结构是可变长度的。

传输流基础PES包的组成：包头和载荷组成。基本流特有信息中含有PTS和DTS.

传输流基础TS包结构：TS包由包头和包数据2部分组成，其中包头还可以包括扩展的自适用区。标准TS包是以0x47开始，每个包长都是188个字节。

传输流基础TS流的封装格式：TS视频码流采用UDP+TS+NAL格式封装。视频编码器输出原始数据流后，首先用NAL层工具，在码流前加上NAL包头，再按照TS封装方法，封装成固定长度的TS包。TS数据包的具体封装格式如下图所示。TS头字节流NAL头NAL头NAL体数据

传输流基础根据标准网络协议，UDP的包头为8字节，IP包头为20~60字节。链路层最大传输单元为1500字节。去掉UDP/IP头开销后，可用的最大数据传输量为1472字节。TS包长度为188字节，因此，一个最大传输单元最多只能封装7个TS包。如下图：IP头UDP视频视频视频视频视频视频视频头TS1TS2TS3TS4TS5TS6TS7

传输流基础Ts包数据所传送的信息包括4种类型：（1）视频、音频的ES包以及辅助数据；（2）描述单路节目信息的节目映射表、描述多路节目信息的节目关联表、条件访问表；（3）各种业务信息表（4）数据广播信息、数据管道、同步、多协议封装等信息。

传输流基础?解码过程：在ts流中，携带PAT的码流PID值总是被设定为0，首先从PAT中找出携带所需节目的PMT的码流的PID值，并找出所需节目的PMT码流，从PMT中找出视音频的PID值，由此解出视频和音频。

Wireshark的简单使用Wireshark的应用特性：?在接口实时捕捉包?能详细显示包的详细协议信息?可以打开/保存捕捉的包?可以导入导出其他捕捉程序支持的包数据格式?可以通过多种方式过滤包?多种方式查找包?通过过滤以多种色彩显示包?创建多种统计分析?直接分析协议包的负载数据（咱们平常用的比较多的部分）

Wireshark的简单使用Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式，通常为*.pcap或*.cap文件。可以支持许多协议的解码(在Wireshark中可能被称为解剖)。比如其可以直接分析TS层的数据。如果IP包中的负载是标准TS数据，那么其可以分析TS数据的PID,TS包是否连续等。

Wireshark的简单使用对包的过滤筛选：在显示过滤器中输入指令，选择另存为，选中displayed，命名并保存。

Wireshark的简单使用选中某一个IP包，点击右键如图所示，会自动按照所选包的格式进行过滤。

Wireshark的简单使用将抓包中的UDP包里的净荷保存成ts格式的文件：点击右键，选择“followudpstream”。右图所示选择另存为.

硬件抓包分析选中某一个IP包，下面的封包详细信息中会显示该IP包的协议，IP地址、端口和负载数据的信息等。

硬件抓包分析1个IP封包详细信息包括：所选包的序号及长度；在OSI各层的数据；负载的7个TS包。

硬件抓包分析在网络层和传输层可以看到源IP和源端口、目的IP和目的端口。

硬件抓包分析如果负载数据是标准的TS数据，则wireshark可以分析出其中的pid值，连续计数值等。图中视频PID为0x3A，CC值是IP包中同一个PID值的连续计数值，由0-15不停循环，有缺少则表示丢包。

硬件抓包分析对于采用TS包作为负载的IP包数据来说，如果存在丢包，则会显示红色。右图中PID为3a的TS数据存在丢包。

硬件抓包分析右图为非对齐的TS数据，对齐的TS数据为47开头，右图中的IP包不是标准的TS包，可能是非对齐的TS数据，也可能不是TS包（如ES包）

硬件抓包分析判断负载数据是否标准的TS包：（1）在下面详细数据中寻找47数据。（2）标准的ts包中，两个相邻的47中间有188个字节.（3）根据47后面的数据判断出视频和音频的PID.

软件抓包分析软件抓包主要分析云台控制命令和sip信令是否正常。以pelco-d协议为例，它的格式如下：Byte1Byte2Byte