在 wireshark 上捕获 H460 数据时(在多路复用模式下),wireshark 无法正确解析 RTP 数据。它应该丢弃任何 RTP 数据包的前 4 个字节。寻找提示如何做到这一点
谢谢阿米特
Shark(与 wireshark 一起打包)内置了这个功能。
确保 wireshark/tshark 在你的 PATH 变量中,如果你刚刚设置了它,打开一个新的命令行窗口。让我知道如果你想让我在那里更清楚。
如果您想即时丢弃前 4 个 rtp 数据包:
tcpdump -i eth0 port ! 5060 and dst 192.168.1.101 -T rtp -n -s0 -w- | editcap -F libpcap -C 4 - - | tcpdump -nlvvv -r - -w output.pcap
对于已经捕获的文件(capture.pcap):
tcpdump -r capture.pcap | editcap -F libpcap -C 4 - - | tcpdump -nlvvv -r - -w output.pcap
或者
editcap capture.pcap output.pcap -C 4
我自己并没有测试这些确切的例子,但我认为 tshark 的“chop”(-C)选项可能是您正在寻找的。