Comment utiliser libpcap pour analyser le fichier pcap.

Question

Je souhaite analyser uniquement les paquets RTP à partir d'un fichier .pcap généré à partir de WireShark à l'aide de la bibliothèque libpcap.
J'ai vu le nombre d'exemple qui fonctionne sur le périphérique pour obtenir les paquets en utilisant libpcap mais je ne suis pas en mesure de trouver un exemple qui peut extraire des paquets spécifiques à partir du fichier .pcap. Tout le monde connait un lien vers de tels exemples ou n'importe qui ayant un exemple de code pour le faire.

Merci.

Answer 1

libpcap utilise les fonctions pcap_compile et pcap_setfilter (décrit here avec le code d'exemple) pour filtrer les paquets avant de commencer la boucle de capture. La syntaxe du filtre est décrite dans le man page for TCPDump

Filtrer les paquets RTP présente un autre défi car ils ne sont pas envoyés sur un port standard et il n'y a pas d'autre méthode pratique pour détecter le protocole. Les ports utilisés pour RTP sont négociés par le protocole de canal de contrôle (tel que SIP) précédant l'installation RTP. This example contient un message SIP où la ligne rport = 5060 indique le port UDP utilisé pour RTP (voir ci-dessous).

La détection de RTP nécessite donc l'inspection des paquets de protocole SIP (ou autre protocole de signalisation pour comprendre les ports RTP pour filtrer.

SIP/2.0 200 OK 
Call-ID: 29858147-465b0752@29858051-465b07b2 
Contact: pel<sip:35104723@192.168.1.2:5060;line=7d36558f31367051>;q=0.500;expires=1200 
CSeq: 6 REGISTER 
From: <sip:35104723@sip.cybercity.dk>;tag=659abf 
P-Associated-URI: <sip:35104723@sip.cybercity.dk> 
To: <sip:35104723@sip.cybercity.dk>;tag=00-04087-1701bae7-76fb74995 
Via: SIP/2.0/UDP 192.168.1.2;received=80.230.219.70;rport=5060;branch=z9hG4bKnp6658824-465059f1192.168.1.2