今天我们简单聊一聊使用镜像交换机抓包。
我们知道,机顶盒的所有 IPTV 流量都是通过 机顶盒 ↔ 光猫 这条链路走的。如果直接在电脑上运行 Wireshark,只能看到自己主机的流量,看不到机顶盒的数据。
👉 解决办法:在 机顶盒和光猫之间 加一个 镜像交换机,把机顶盒的所有网络数据复制一份,送到抓包电脑。
-
一台支持 Port Mirroring(端口镜像) 的交换机(如 TP-Link 、H3C、小米部分智能交换机)
-
一台运行 Wireshark 的电脑
-
IPTV 机顶盒 + 光猫
-
光猫 ↔ 交换机 Port1(被镜像口)
-
机顶盒 ↔ 交换机 Port2
-
抓包用的电脑 ↔ 交换机 Port3(镜像口)
进入交换机管理页面,设置 端口镜像:
-
把 Port1(光猫口)的进出流量,镜像到 Port3
-
保存并重启交换机
这样,抓包电脑就能完整看到机顶盒 ↔ 光猫的所有通信。
参考以下拓扑图(源于网络): -
⚠️ 注意:不同交换机配置可能不一样,例如有些交换机是固定的Port2为镜像口,需按实际的进行连接
-
在电脑上打开 Wireshark,选择连接到交换机镜像口的本地网卡。
-
启动抓包 → 打开 IPTV 机顶盒 → 等待进入系统 → 进入直播
→ 切换几个频道播放。
-
在 Wireshark 停止抓包,点击 文件 → 保存,导出为
.pcapng文件。
抓包数据分析 🔎
-
用 Wireshark 打开刚保存的
.pcapng文件。 -
在 过滤器工具栏 输入:http
-
针对 HTTP 请求,按
Ctrl+F→ 选择「字符串」搜索channel。-
在 Info 列找到
HTTP/1.1 200 OK (text/html)的响应包。 -
右键 → 导出对象 → HTTP。
-
-
在导出的对象列表中找到类似
frameset_builder.jsp的文件(通常有两个,选较大的那个)。 -
保存到本地 → 用记事本打开 → 里面就是完整的 频道列表。
-
组播地址(igmp://239.x.x.x:port) → 对应直播流
-
RTSP 地址(rtsp://…) → 对应点播/回放
-
HTTP 鉴权请求 → 机顶盒认证逻辑
-
频道列表 → 可分析 IPTV 节目编排
-
IPTV 属于运营商专网业务,破解/盗用属于违规行为
-
本教程仅供 学习研究、实验室环境 使用
-
运营商会定期更新加密/鉴权方式,抓到的地址不一定长期可用
