用 WIRESHARK 分析 RTP 流

Wireshark 是一个强大的抓包及网络分析软件，可以用来嗅探和分析多种网络协议的数据包和流，RTP 和 RTCP 也是其中的两种。

对 RTP 流的分析过程，在 Wireshark 的 Wiki 上讲得很清楚，下面我只是记录一下我在使用过程中的一些经验：

1. 要想分析 RTP 流，首先要把抓到的 UDP 包用 RTP 协议而不是默认的 UDP 协议 decode； Wireshark 默认只对选中的流（由端口区分）进行 decode，所以对 audio 和 video 流要分别 decode。

2. 直接从菜单中选择 RTP 的 Stream Analysis... 才是对双向的流进行分析，从 Show All Streams 中再分析只是单向的 RTP 流。

3. 不要过度相信 Wireshark 的能力，尤其是在无线网络或者网卡驱动不是很合适的情况下，Wireshark 也会有丢包，所以说 Wireshark 对 RTP 流的分析也是“仅供参考”——除非经过严格测试 Wireshark 不会错过任何包。

4. 这个页面上提到的 Sun 的 JMF JMstudio 的 Linux 版本状况很糟糕。首先其安装文件中使用的 tail 参数和 bash 中的 tail 参数不一样，导致执行安装文件不仅不会安装，反而会清除安装文件的内容。由于其将安装脚本和二进制文件写入到同一个文件中，所以最好是在外部手工用 tail 提取二进制文件的内容；其次无论如何配置，该程序运行时会去监听 IPv6 地址的端口而不是 v4 的端口——我一直想不通是什么原因，所以该程序可以说是基本不可用。

5. rtptools 是个好东西。我们可以先用 Wireshark 录制一段 RTP 流，保存成 rtpdump 格式，就可以用 rtpplay 不断地重放它，用来测试网络状况很方便。原本应该用 JMStudio 收听的，既然它不可用，只有用 rtpdump 在另一端收听了。