传输流基础及抓包分析.ppt

传输流基础及抓包分析李玉涛 2011.9.10主要内容• 传输流基础• Wireshark和vlc的简单使用• 抓包分析高速产品的编码格式：MPEG-2：利用图像中的两种特性：空间相关性和时间相关性，多用于数字电视 H.264：MPEG-4的第10层，视频监控行业 应用较多传输流基础Ø ES（elementary stream）流：图像和 声音信号经编码后生成各自的基本业务 流 Ø PES（packet elemental stream ）流： 将ES流分成长度不等的数据包，并加上 包头进行打包系统编码的两种方法：TS、PS两 者的区别在于TS流的包结构是固定长度 的，PS流的包结构是可变长度的传输流基础PES包的组成：包头和载荷组成基本流特有信息中含有PTS和DTS.传输流基础TS包结构：TS包由包头和包数据2部分 组成，其中包头还可以包括扩展的自适 用区 标准TS包是以0x47开始，每个包 长都是188个字节 传输流基础TS流的封装格式：TS视频码流采用UDP+TS+NAL格式封装 视频编码器输出原始数据流后，首先用 NAL层工具，在码流前加上NAL包头，再按 照TS封装方法，封装成固定长度的TS包。

TS数据包的具体封装格式如下图所示 传输流基础TS头 字节流NAL头NAL头 NAL体数据根据标准网络协议，UDP的包头为8字 节，IP包头为20~60字节链路层最大传 输单元为1500字节去掉UDP/IP头开销 后，可用的最大数据传输量为1472字节 TS包长度为188字节，因此，一个最大 传输单元最多只能封装7个TS包如下图 ：传输流基础IP 头 UDP 头 视频 TS1 视频 TS2视频 TS3视频 TS4视频 TS5视频 TS6 视频 TS7 Ts包数据所传送的信息包括4种类型：（1）视频、音频的ES包以及辅助数据； （2）描述单路节目信息的节目映射表、描 述多路节目信息的节目关联表、条件访问 表； （3）各种业务信息表 （4）数据广播信息、数据管道、同步、多 协议封装等信息传输流基础• 解码过程：在ts流中，携带PAT的码流PID值总是被设定为0，首先从PAT中找出携带所需节目的PMT的码流的PID值，并找出所需节目的PMT码流，从PMT中找出视音频的PID值，由此解出视频和音频传输流基础Wireshark的应用特性： • 在接口实时捕捉包 • 能详细显示包的详细协议信息 • 可以打开/保存捕捉的包 • 可以导入导出其他捕捉程序支持的包数据格式 • 可以通过多种方式过滤包 • 多种方式查找包 • 通过过滤以多种色彩显示包 • 创建多种统计分析 • 直接分析协议包的负载数据（咱们平常用的比 较多的部分）Wireshark的简单使用Wieshark可以将捕捉文件输出为多种 其他捕捉软件支持的格式，通常为 *.pcap或*.cap文件。

可以支持许多协议的解码(在 Wireshark中可能被称为解剖)比如其 可以直接分析TS层的数据如果IP包中 的负载是标准TS数据，那么其可以分析 TS数据的PID,TS包是否连续等Wireshark的简单使用对包的过滤筛选 ：在显示过滤器中 输入指令，选择 另存为，选中 displayed，命名 并保存Wireshark的简单使用Wireshark的简单使用选中某一个IP包，点击右键如图所示，会自动 按照所选包的格式进行过滤将抓包中的UDP包里的净荷保存成ts格式的文件：点 击右键，选择“follow udp stream”右图所示选择另存 为.Wireshark的简单使用硬件抓包分析选中某一个IP包，下面的封包详细信息中会显示 该IP包的协议，IP地址、端口和负载数据的信息 等1个IP封包详细信息包括：所选包的序号及长度；在OSI各层的数据； 负载的7个TS包硬件抓包分析在网络层和传输层可以看到源IP和源端口、目 的IP和目的端口硬件抓包分析如果负载数据是标 准的TS数据，则 wireshark可以分析出 其中的pid值，连续计 数值等图中视频PID为0x3A ，CC值是IP包中同一 个PID值的连续计数值 ，由0-15不停循环， 有缺少则表示丢包。

硬件抓包分析对于采用TS包 作为负载的IP包数 据来说，如果存在 丢包，则会显示红 色右图中PID为3a 的TS数据存在丢包 硬件抓包分析右图为非对齐的TS 数据，对齐的TS数据 为47开头，右图中的 IP包不是标准的TS包 ，可能是非对齐的TS 数据，也可能不是TS 包（如ES包）硬件抓包分析判断负载数据是否标 准的TS包：（1）在下面详细数据 中寻找47数据2）标准的ts包中，两 个相邻的47中间有188 个字节.（3）根据47后面的数 据判断出视频和音频的 PID.硬件抓包分析软件抓包主要分析云台控制命令和sip信令是否正常 软件抓包分析Byte 1Byte 2 Byte 3 Byte 4 Byte 5 Byte 6 Byte 7 同步字地址码码命令字1命令字2数据1数据2校验码验码以pelco-d协议为例，它的格式如下：Bit 7Bit 6Bit 5Bit 4Bit 3Bit 2Bit 1Bit 0命令字1Sence码码为为0为为0自动动/手动动 扫扫描摄摄像机打 开/关闭闭光圈关闭闭光圈打开焦距拉近命令字2焦距拉远远视视角变宽变宽视视角变变窄上下左右为为0命令字1和命令字2的设置如下：软件抓包分析右图的Data字段 就是我们发的云台 的指令：其长度是 7个字节，以ff开头 ，因此我们判断其 是Pelco-D的协议 。

根据上面协议对 照，我们可以分析 出这个命令是摄像 头向上的命令软件抓包分析下图为注册请求的信令 软件抓包分析下图为视频请求的抓包：选中“视图”中的“高 级控制”，点击红色 按钮开始录制VLC使用工具栏中的编码 器详细信息显示该 视频流的视音频编 码格式、PID及视频 的分辨率VLC码流分析统计信息中显示的 是丢失的缓冲和帧 数，另外还可以查 看视频流的码率（ 输入位率）VLC码流分析使用VLC查看是否丢包，在工具栏选消息VLC码流分析冗长等级选择2 ，当播放视频文 件时，会打印如 右图所示信息， 选中部分表示 PID=58的TS数 据存在丢包VLC码流分析谢谢！。