抓包分析YY音频
YY的音频数据传输是P2P协议,音频的编码为AAC,下面抓去的音频编码的信息和频谱信息。
音频编码为AAC,采样为44K,码率24kb/s。音频编码在24kb/s码率能达到15K的音质。值得大家学习啊。
1.准备工具
procexp.exe 分析YY的进程信息
Procmon.exe 分析YY的网络数据包
wireshark.exe 分析网络包的内容
2.分析YY的进程信息
使用procexp分析YY的大致信息,比如进程号,网络连接等
3.分析YY的网络传输信息
使用procmon分析YY的网络数据,根据上面的得到的进程ID设置过滤,只接受YY的UDP数据包
过滤后得到数据包如下:
从上面的数据可以看到端口为8456的UDP接受数据最多,可以看出这个端口接受的就是P2P音频数据。
4.使用wireshark抓取P2P音频数据包
设置wireshark的过滤器,只抓去端口为8456的UDP数据包
抓去的数据如下:
查看UDP数据流,这里面存的就是YY的音频数据。从下面的数据看不出来具体的音频编码。
不急,我们多看几个数据包就会发现,他们都有固定的数据头,紧接着都刚好是0xff|0xf1(这个刚好是aac ADTS的同步头)。所以我们可以按照这个思路分析下去。
5. 使用代码分析pcap抓去的数据包
详细分析参考代码:
- #include <stdio.h>
- #include <stdlib.h>
- #include <WinSock2.h>
- #include <assert.h>
- ///
- typedef unsigned int bpf_u_int32;
- typedef unsigned char u_char;
- typedef unsigned short u_short;
- typedef unsigned int u_int;
- typedef int bpf_int32;
- /*
- Pcap文件分析如下:
- +-------+-------+-------+-------+-------+-------+-------+-------+-------+-------+
- |Pcap Header |Packet Header |Packet Body |Packet Header |Packet Body |
- +-------+-------+-------+-------+-------+-------+-------+-------+-------+-------+
- */
- /*
- Pcap文件头
- +-------+-------+-------+-------+
- | Magic 4B |
- +-------+-------+-------+-------+
- | Major 2B | Minor 2B |
- +-------+-------+-------+-------+
- | ThisZone 4B |
- +-------+-------+-------+-------+
- | SigFigs 4B |
- +-------+-------+-------+-------+
- | SnapLen 4B |
- +-------+-------+-------+-------+
- | LinkType 4B |
- +-------+-------+-------+-------+
- Pcap文件头24B各字段说明:
- Magic:4B:0x1A 2B 3C 4D:用来标示文件的开始
- Major:2B,0x02 00:当前文件主要的版本号
- Minor:2B,0x04 00当前文件次要的版本号
- ThisZone:4B当地的标准时间;全零
- SigFigs:4B时间戳的精度;全零
- SnapLen:4B最大的存储长度
- LinkType:4B链路类型
- 常用类型:
- 0 BSD loopback devices, except for later OpenBSD
- 1 Ethernet, and Linux loopback devices
- 6 802.5 Token Ring
- 7 ARCnet
- 8 SLIP
- 9 PPP
- */
- typedef struct pcap_file_header {
- bpf_u_int32 magic;
- u_short version_major;
- u_short version_minor;
- bpf_int32 thiszone;
- bpf_u_int32 sigfigs;
- bpf_u_int32 snaplen;
- bpf_u_int32 linktype;
- }pcap_file_header;
- /*
- Packet 包头和Packet数据组成
- +-------+-------+
- |Packet Header |
- +-------+-------+
- |Packet Body |
- +-------+-------+
- Paket 包头
- +-------+-------+-------+-------+
- | Timestamp 4B |
- +-------+-------+-------+-------+
- | Timestamp 4B |
- +-------+-------+-------+-------+
- | Caplen 4B |
- +-------+-------+-------+-------+
- | Len 4B |
- +-------+-------+-------+-------+
- 字段说明:
- Timestamp:时间戳高位,精确到seconds
- Timestamp:时间戳低位,精确到microseconds
- Caplen:当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。
- Len:离线数据长度:网络中实际数据帧的长度,一般不大于caplen,多数情况下和Caplen数值相等。
- Packet 数据:即 Packet(通常就是链路层的数据帧)具体内容,长度就是Caplen,这个长度的后面,就是当前PCAP文件中存放的下一个Packet数据包,也就 是说:PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串,下一组数据在文件中的起始位置。我们需要靠第一个Packet包确定。
- */
- typedef struct timestamp{
- bpf_u_int32 timestamp_s;
- bpf_u_int32 timestamp_ms;
- }timestamp;
- typedef struct pcap_header{
- timestamp ts;
- bpf_u_int32 capture_len;
- bpf_u_int32 len;
- }pcap_header;
- //help funtion
- void printPcapHeader(pcap_file_header * ph)
- {
- printf("=====================\n"
- "magic:0x%0x\n"
- "version_major:%u\n"
- "version_minor:%u\n"
- "thiszone:%d\n"
- "sigfigs:%u\n"
- "snaplen:%u\n"
- "linktype:%u\n"
- "=====================\n",
- ph->magic,
- ph->version_major,
- ph->version_minor,
- ph->thiszone,
- ph->sigfigs,
- ph->snaplen,
- ph->linktype);
- }
- void printPacketHeader(pcap_header * ph)
- {
- printf("=====================\n"
- "ts.timestamp_s:%u\n"
- "ts.timestamp_ms:%u\n"
- "capture_len:%u\n"
- "len:%d\n"
- "=====================\n",
- ph->ts.timestamp_s,
- ph->ts.timestamp_ms,
- ph->capture_len,
- ph->len);
- }
- //////////////////////////////////////////////////////////////////////////
- /*
- UDP包分析
- */
- /* 4字节的IP地址 */
- typedef struct ip_address{
- u_char byte1;
- u_char byte2;
- u_char byte3;
- u_char byte4;
- }ip_address;
- /* IPv4头 */
- typedef struct ip_header{
- u_char ver_ihl; // 版本 (4 bits) + 首部长度 (4 bits) /// 首部长度
- u_char tos; // 服务类型(Type of service)
- u_short tlen; // 总长(Total length)
- u_short identification; // 标识(Identification)
- u_short flags_fo; // 标志位(Flags) (3 bits) + 段偏移量(Fragment offset) (13 bits)
- u_char ttl; // 存活时间(Time to live)
- u_char proto; // 协议(Protocol)
- u_short crc; // 首部校验和(Header checksum)
- ip_address saddr; // 源地址(Source address)
- ip_address daddr; // 目的地址(Destination address)
- u_int op_pad; // 选项与填充(Option + Padding)
- }ip_header;
- /* UDP头 */
- typedef struct udp_header{
- u_short sport; // 源端口(Source port)
- u_short dport; // 目的端口(Destination port)
- u_short len; // UDP数据包长度(Datagram length) /// UDP总长度
- u_short crc; // 校验和(Checksum)
- }udp_header;
- u_char pkt_data[65536];
- int main()
- {
- FILE * fp = fopen("yy.p2p.packet_long.pcap", "rb");
- if (!fp)
- {
- fprintf(stderr, "open file error\n");
- return -1;
- }
- FILE * aacfp = fopen("yy.p2p.packet_long.pcap.aac", "wb");
- if (!fp)
- {
- fprintf(stderr, "open file error\n");
- return -1;
- }
- //1. Read pcap file header
- pcap_file_header pfh;
- fread(&pfh, 1, sizeof(pfh), fp);
- printPcapHeader(&pfh);
- //2. Read pcap packet
- while (!feof(fp))
- {
- pcap_header ph;
- if (fread(&ph, 1, sizeof(ph), fp) != sizeof(ph))
- break;
- printPacketHeader(&ph);
- if (fread(pkt_data, 1, ph.capture_len, fp) != ph.capture_len)
- break;
- //3. 分析消息包内容
- //fseek(fp, ph.capture_len, 1);
- // 获取IP数据包头的位置
- ip_header *ih = (ip_header *)(pkt_data + 14); // 14以太网头部长度
- // 只处理UDP包
- if (ih->proto != 0x11)
- continue;
- // 获取UDP首部的位置
- u_int ip_len = (ih->ver_ihl & 0x0f) * 4;
- udp_header * uh = (udp_header *)((u_char *)ih + ip_len);
- //
- u_short sport = ntohs(uh->sport);
- u_short dport = ntohs(uh->dport);
- u_short udplen = ntohs(uh->len);
- if(sport != 8455) // yy源端口为8455
- continue;
- /* 打印IP地址和UDP端口 */
- printf("%d.%d.%d.%d.%d -> %d.%d.%d.%d.%d\n",
- ih->saddr.byte1,
- ih->saddr.byte2,
- ih->saddr.byte3,
- ih->saddr.byte4,
- sport,
- ih->daddr.byte1,
- ih->daddr.byte2,
- ih->daddr.byte3,
- ih->daddr.byte4,
- dport);
- //
- u_char * udp_data = (u_char *)uh + 8;
- //u_char * aac_data = udp_data + 34;
- //u_short aac_len = udplen - 8 - 34;
- u_char * aac_data = pkt_data + 14 + ip_len + 8 + 34;
- int aac_len = ph.capture_len - (14 + ip_len + 8 + 34);
- //assert(aac_len > 0);
- if (aac_len <= 0) continue; /// 只有 yy头,没有aac数据
- assert(aac_len < ph.capture_len);
- printf("aac len = %d pkt_len = %d\n", aac_len, ph.capture_len);
- assert(aac_data[0] == 0xff && aac_data[1] == 0xf1);
- fwrite(aac_data, 1, aac_len, aacfp);
- }
- fclose(fp);
- fclose(aacfp);
- return 0;
- }