码迷,mamicode.com
首页 > 其他好文 > 详细

抓包分析YY音频

时间:2014-06-14 08:51:29      阅读:524      评论:0      收藏:0      [点我收藏+]

标签:des   class   blog   http   tar   color   

YY的音频数据传输是P2P协议,音频的编码为AAC,下面抓去的音频编码的信息和频谱信息。

bubuko.com,布布扣

bubuko.com,布布扣

bubuko.com,布布扣

音频编码为AAC,采样为44K,码率24kb/s。音频编码在24kb/s码率能达到15K的音质。值得大家学习啊。

 

1.准备工具

procexp.exe      分析YY的进程信息

Procmon.exe      分析YY的网络数据包

wireshark.exe    分析网络包的内容

 

2.分析YY的进程信息

  使用procexp分析YY的大致信息,比如进程号,网络连接等

bubuko.com,布布扣

 

 bubuko.com,布布扣bubuko.com,布布扣

 

3.分析YY的网络传输信息

使用procmon分析YY的网络数据,根据上面的得到的进程ID设置过滤,只接受YY的UDP数据包

bubuko.com,布布扣bubuko.com,布布扣

 

过滤后得到数据包如下:

bubuko.com,布布扣

bubuko.com,布布扣
从上面的数据可以看到端口为8456的UDP接受数据最多,可以看出这个端口接受的就是P2P音频数据。

 

4.使用wireshark抓取P2P音频数据包

设置wireshark的过滤器,只抓去端口为8456的UDP数据包

bubuko.com,布布扣bubuko.com,布布扣

 

抓去的数据如下:

bubuko.com,布布扣

bubuko.com,布布扣

 

查看UDP数据流,这里面存的就是YY的音频数据。从下面的数据看不出来具体的音频编码。

bubuko.com,布布扣bubuko.com,布布扣

不急,我们多看几个数据包就会发现,他们都有固定的数据头,紧接着都刚好是0xff|0xf1(这个刚好是aac ADTS的同步头)。所以我们可以按照这个思路分析下去。

 

 bubuko.com,布布扣bubuko.com,布布扣

5. 使用代码分析pcap抓去的数据包

详细分析参考代码:

 

[cpp] view plaincopyprint?
    1. #include <stdio.h>  
    2. #include <stdlib.h>  
    3. #include <WinSock2.h>  
    4. #include <assert.h>  
    5.   
    6. ///  
    7. typedef unsigned int  bpf_u_int32;  
    8. typedef unsigned char u_char;  
    9. typedef unsigned short  u_short;  
    10. typedef unsigned int u_int;  
    11. typedef int bpf_int32;  
    12.   
    13. /* 
    14. Pcap文件分析如下: 
    15. +-------+-------+-------+-------+-------+-------+-------+-------+-------+-------+ 
    16. |Pcap Header    |Packet Header  |Packet Body    |Packet Header  |Packet Body    |        
    17. +-------+-------+-------+-------+-------+-------+-------+-------+-------+-------+ 
    18.  
    19. */  
    20. /* 
    21. Pcap文件头 
    22. +-------+-------+-------+-------+ 
    23. |       Magic 4B                | 
    24. +-------+-------+-------+-------+ 
    25. |   Major 2B    |  Minor 2B     | 
    26. +-------+-------+-------+-------+ 
    27. |       ThisZone 4B             | 
    28. +-------+-------+-------+-------+ 
    29. |       SigFigs 4B              | 
    30. +-------+-------+-------+-------+ 
    31. |       SnapLen 4B              | 
    32. +-------+-------+-------+-------+ 
    33. |       LinkType 4B             | 
    34. +-------+-------+-------+-------+ 
    35.  
    36. Pcap文件头24B各字段说明: 
    37. Magic:4B:0x1A 2B 3C 4D:用来标示文件的开始 
    38. Major:2B,0x02 00:当前文件主要的版本号      
    39. Minor:2B,0x04 00当前文件次要的版本号 
    40. ThisZone:4B当地的标准时间;全零 
    41. SigFigs:4B时间戳的精度;全零 
    42. SnapLen:4B最大的存储长度     
    43. LinkType:4B链路类型 
    44. 常用类型: 
    45. 0            BSD loopback devices, except for later OpenBSD 
    46. 1            Ethernet, and Linux loopback devices 
    47. 6            802.5 Token Ring 
    48. 7            ARCnet 
    49. 8            SLIP 
    50. 9            PPP 
    51. */  
    52. typedef struct pcap_file_header {  
    53.     bpf_u_int32 magic;  
    54.     u_short version_major;  
    55.     u_short version_minor;  
    56.     bpf_int32 thiszone;      
    57.     bpf_u_int32 sigfigs;     
    58.     bpf_u_int32 snaplen;     
    59.     bpf_u_int32 linktype;    
    60. }pcap_file_header;  
    61.   
    62. /* 
    63. Packet 包头和Packet数据组成 
    64. +-------+-------+ 
    65. |Packet Header  | 
    66. +-------+-------+ 
    67. |Packet Body    | 
    68. +-------+-------+ 
    69.  
    70. Paket 包头 
    71. +-------+-------+-------+-------+ 
    72. |       Timestamp 4B            | 
    73. +-------+-------+-------+-------+ 
    74. |       Timestamp 4B            | 
    75. +-------+-------+-------+-------+ 
    76. |       Caplen 4B               | 
    77. +-------+-------+-------+-------+ 
    78. |       Len 4B                  | 
    79. +-------+-------+-------+-------+ 
    80.  
    81. 字段说明: 
    82. Timestamp:时间戳高位,精确到seconds      
    83. Timestamp:时间戳低位,精确到microseconds 
    84. Caplen:当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。 
    85. Len:离线数据长度:网络中实际数据帧的长度,一般不大于caplen,多数情况下和Caplen数值相等。 
    86. Packet 数据:即 Packet(通常就是链路层的数据帧)具体内容,长度就是Caplen,这个长度的后面,就是当前PCAP文件中存放的下一个Packet数据包,也就 是说:PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串,下一组数据在文件中的起始位置。我们需要靠第一个Packet包确定。 
    87. */  
    88. typedef struct  timestamp{  
    89.     bpf_u_int32 timestamp_s;  
    90.     bpf_u_int32 timestamp_ms;  
    91. }timestamp;  
    92.   
    93. typedef struct pcap_header{  
    94.     timestamp ts;  
    95.     bpf_u_int32 capture_len;  
    96.     bpf_u_int32 len;  
    97.   
    98. }pcap_header;  
    99.   
    100. //help funtion  
    101. void  printPcapHeader(pcap_file_header * ph)      
    102. {  
    103.     printf("=====================\n"  
    104.        "magic:0x%0x\n"  
    105.        "version_major:%u\n"  
    106.        "version_minor:%u\n"  
    107.        "thiszone:%d\n"  
    108.        "sigfigs:%u\n"  
    109.        "snaplen:%u\n"  
    110.        "linktype:%u\n"  
    111.        "=====================\n",  
    112.        ph->magic,  
    113.        ph->version_major,  
    114.        ph->version_minor,  
    115.        ph->thiszone,  
    116.        ph->sigfigs,  
    117.        ph->snaplen,  
    118.        ph->linktype);  
    119. }  
    120.   
    121. void printPacketHeader(pcap_header * ph)  
    122. {  
    123.     printf("=====================\n"  
    124.         "ts.timestamp_s:%u\n"  
    125.         "ts.timestamp_ms:%u\n"  
    126.         "capture_len:%u\n"  
    127.         "len:%d\n"  
    128.         "=====================\n",  
    129.         ph->ts.timestamp_s,  
    130.         ph->ts.timestamp_ms,  
    131.         ph->capture_len,  
    132.         ph->len);  
    133. }  
    134. //////////////////////////////////////////////////////////////////////////  
    135. /* 
    136.     UDP包分析 
    137. */  
    138. /* 4字节的IP地址 */  
    139. typedef struct ip_address{  
    140.     u_char byte1;  
    141.     u_char byte2;  
    142.     u_char byte3;  
    143.     u_char byte4;  
    144. }ip_address;  
    145.   
    146. /* IPv4头 */  
    147. typedef struct ip_header{  
    148.     u_char  ver_ihl;        // 版本 (4 bits) + 首部长度 (4 bits)  /// 首部长度  
    149.     u_char  tos;            // 服务类型(Type of service)   
    150.     u_short tlen;           // 总长(Total length)   
    151.     u_short identification; // 标识(Identification)  
    152.     u_short flags_fo;       // 标志位(Flags) (3 bits) + 段偏移量(Fragment offset) (13 bits)  
    153.     u_char  ttl;            // 存活时间(Time to live)  
    154.     u_char  proto;          // 协议(Protocol)  
    155.     u_short crc;            // 首部校验和(Header checksum)  
    156.     ip_address  saddr;      // 源地址(Source address)  
    157.     ip_address  daddr;      // 目的地址(Destination address)  
    158.     u_int   op_pad;         // 选项与填充(Option + Padding)  
    159. }ip_header;  
    160.   
    161. /* UDP头 */  
    162. typedef struct udp_header{  
    163.     u_short sport;          // 源端口(Source port)  
    164.     u_short dport;          // 目的端口(Destination port)  
    165.     u_short len;            // UDP数据包长度(Datagram length)   /// UDP总长度  
    166.     u_short crc;            // 校验和(Checksum)  
    167. }udp_header;  
    168.   
    169. u_char pkt_data[65536];  
    170.   
    171. int main()  
    172. {  
    173.     FILE * fp = fopen("yy.p2p.packet_long.pcap""rb");  
    174.     if (!fp)  
    175.     {  
    176.         fprintf(stderr, "open file error\n");  
    177.         return -1;  
    178.     }  
    179.     FILE * aacfp = fopen("yy.p2p.packet_long.pcap.aac""wb");  
    180.     if (!fp)  
    181.     {  
    182.         fprintf(stderr, "open file error\n");  
    183.         return -1;  
    184.     }  
    185.   
    186.     //1. Read pcap file header  
    187.     pcap_file_header pfh;  
    188.     fread(&pfh, 1, sizeof(pfh), fp);  
    189.     printPcapHeader(&pfh);  
    190.       
    191.   
    192.     //2. Read pcap packet  
    193.     while (!feof(fp))  
    194.     {  
    195.         pcap_header ph;  
    196.         if (fread(&ph, 1, sizeof(ph), fp) != sizeof(ph))  
    197.             break;  
    198.         printPacketHeader(&ph);  
    199.           
    200.         if (fread(pkt_data, 1, ph.capture_len, fp) != ph.capture_len)  
    201.             break;  
    202.   
    203.         //3. 分析消息包内容  
    204.         //fseek(fp, ph.capture_len, 1);  
    205.         // 获取IP数据包头的位置  
    206.         ip_header *ih = (ip_header *)(pkt_data + 14); // 14以太网头部长度  
    207.               
    208.         // 只处理UDP包  
    209.         if (ih->proto != 0x11)  
    210.             continue;  
    211.   
    212.         // 获取UDP首部的位置  
    213.         u_int ip_len = (ih->ver_ihl & 0x0f) * 4;  
    214.         udp_header * uh = (udp_header *)((u_char *)ih + ip_len);  
    215.       
    216.         //   
    217.         u_short sport = ntohs(uh->sport);    
    218.         u_short dport = ntohs(uh->dport);  
    219.         u_short udplen = ntohs(uh->len);  
    220.   
    221.         if(sport != 8455) // yy源端口为8455  
    222.             continue;   
    223.         /* 打印IP地址和UDP端口 */  
    224.         printf("%d.%d.%d.%d.%d -> %d.%d.%d.%d.%d\n",  
    225.             ih->saddr.byte1,  
    226.             ih->saddr.byte2,  
    227.             ih->saddr.byte3,  
    228.             ih->saddr.byte4,  
    229.             sport,  
    230.             ih->daddr.byte1,  
    231.             ih->daddr.byte2,  
    232.             ih->daddr.byte3,  
    233.             ih->daddr.byte4,  
    234.             dport);  
    235.   
    236.         //  
    237.         u_char * udp_data = (u_char *)uh + 8;  
    238.         //u_char * aac_data = udp_data + 34;  
    239.         //u_short  aac_len = udplen - 8 - 34;  
    240.   
    241.         u_char * aac_data = pkt_data + 14 + ip_len + 8 + 34;  
    242.         int  aac_len = ph.capture_len - (14 + ip_len + 8 + 34);  
    243.         //assert(aac_len > 0);   
    244.         if (aac_len <= 0) continue;   /// 只有 yy头,没有aac数据  
    245.         assert(aac_len < ph.capture_len);  
    246.   
    247.         printf("aac len = %d pkt_len = %d\n", aac_len, ph.capture_len);  
    248.         assert(aac_data[0] == 0xff && aac_data[1] == 0xf1);  
    249.               
    250.         fwrite(aac_data, 1, aac_len, aacfp);  
    251.   
    252.     }  
    253.   
    254.     fclose(fp);  
    255.     fclose(aacfp);  
    256.     return 0;  
    257. }  

抓包分析YY音频,布布扣,bubuko.com

抓包分析YY音频

标签:des   class   blog   http   tar   color   

原文地址:http://www.cnblogs.com/fuland/p/3787825.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!