为什么过滤 rtmpt 而不是 rtmp？

一 背景

在 rtmp 推流时，有时需要通过 wireshark 工具抓包，而在过滤搜索中会搜索 rtmpt，那么 rtmpt 是什么含义，和 rtmp 又有什么关系？

二 rtmpt

2.1 含义

rtmpt 全称 RTMP over HTTP Tunneling（Tunneling 中文隧道技术）是一种封装技术，是 RTMP 协议的一种传输方式，允许将原始的 RTMP 数据流嵌套在 HTTP 请求和响应中进行传输。核心目的是绕过防火墙或代理的限制。

2.2 工作原理

有些网络环境可能会阻止非标准端口的流量，比如 rtmp 默认的 1935 端口，但通常会允许 HTTP 端口（80）或 HTTPS（443）流量通过，而 RTMP 正是利用这一特点。客户端会与服务器建立一个 HTTP 连接，然后将原本要通过 TCP 端口 1935 发送的 RTMP 数据包作为 HTTP 请求的载荷（Payload） 发送出去。服务器端接收到这个 HTTP 请求后，会解封装出里面的 RTMP 数据包进行处理，并将响应再以 HTTP 响应的形式封装起来发回给客户端。

2.3 数据包特征

在 Wireshark 抓包时，在没有过滤的情况下外层是标准的 HTTP 协议，内层也就是 HTTP 载荷部分才是真实的 RTMP 二进制数据，Wireshark 能够智能地解析这种封装，并显示出 rtmpt 协议。

三 为什么过滤 rtmpt 而不是 rtmp？

如果过滤 RTMP， 窗口不会显示任何内容或者只会匹配那些最内层、真正的 RTMP 协议数据包，如果一个 RTMP 数据流是通过纯 TCP（端口 1935）传输的，过滤 rtmp 会抓到它们。但如果它是通过 HTTP 隧道（rtmpt）传输的，这些内层的 RTMP 数据包被外层的 HTTP 包裹着，直接过滤 rtmp 可能会错过建立隧道本身的初始握手和控制包，或者显示不完整。而过滤 rtmpt，则会显示所有的 RTMP 协议内容，会匹配所有被标识为“使用 HTTP 隧道传输”的 RTMP 流量。这包括了建立隧道的 HTTP 请求/响应以及隧道内的所有 RTMP 数据。它抓住了整个通信的“通道”。

这也涉及到 Wireshark 的解析和显示过滤器的逻辑。刚才说到，当流量通过 rtmp 传输时，网络上传输的实际是 HTTP 数据包，而 Wireshark 的协议解析器（Dissector） 非常强大。当它遇到一个 HTTP 数据包，并且其内容看起来像是 RTMP 流量时，它会进行“深度解析”。

3.1 Wireshark 如何工作

1. 数据包首先被其识别为 http。

2. 然后它检查 HTTP 的载荷（Payload），发现里面是 RTMP 数据。

3. 它会在协议栈中额外添加一层 rtmpt 协议，来表示“这个 HTTP 载荷里封装了 RTMP”。这只是一个标签，用于告诉我们封装方式。

4. 最后，它会继续解析载荷中最内层的实际 RTMP 数据，并为它打上 rtmp 协议的标签。

在 wireshark 过滤 rtmpt 后，点击一条数据，可以看到协议栈

Frame (物理层帧)Ethernet II (数据链路层)Internet Protocol Version 4 (网络层 IP)Transmission Control Protocol (传输层 TCP)Real Time Messaging Protocol  <- 实时消息协议可以看到 RTMP 的 Header 和 Body

小结

在本篇文章中，了解到 RTMPT 是一种封装技术，是 RTMP 协议的一种传输方式，当抓包 RTMP 流时，过滤 RTMPT 展示的 RTMP 信息更加全面。