您的位置:首页 → 安卓游戏 → 经营养成 → PCAPdroid
PCAPdroid是一款专业的开源数据分析工具,为用户提供便捷的抓包功能,助力用户更顺畅地进行在线抓包与数据捕获。它具备实时流量监控、HTTP/TLS解密、DNS查询提取以及防火墙规则配置等实用特性,致力于为用户打造高效的网络管理服务。
1、实时抓包
显示为就绪状态后,点击就绪或上面的开始按钮:arrow_forward:便可开始捕获,之后到连接页面可以实时查看所有的连接:
不难发现,这些连接会标注是哪些进程产生,并显示目的域名、协议、端口,以及连接状态等基本信息。
1)过滤特定目标
左图借助搜索框筛选特定目标主机,能看到这些连接当前处于关闭状态(CLOSED),这是由于采用的是短连接场景;随意选取一个连接可查看概览信息,涵盖连接持续时长、访问的URL、协议、进程及进程ID,还有产生的流量大小与载荷长度。
2)查看HTTP请求和载荷
此外,HTTP以及载荷选项可以清晰看到这条TCP连接,所请求的内容和响应的内容:
这些文本可以任意复制或导出。
甚至可以显示为十六进制格式,点击右上角的格式转换即可,如右图所示:
2、保存为PCAPNG格式进行分析
1)解锁并启用PCAPNG格式转储选项
存储为PCAPNG格式,付费后解锁的功能,目前价格是13港币即可解锁,并且解锁后允许进行TLS解密,在设置里面勾选即可:
2)设置数据包转储
数据包转储分为三类:
HTTP服务器转储:安卓将会启动一个HTTP服务,提供PCAP包的;
PCAP文件:直接以PCAP格式文件存储到手机;
UDP导出器:发送PCAP文件到一个远程UDP接收器。
没有特殊需求,最直截了当的方式建议选择第二种。
3)实时抓包并保存为pcapng格式
以第二种转储方式为例,点击就绪进行抓包,会以时间格式对数据包文件进行命名:
之后暂停抓包,在文件管理器里找到我们转储的抓包文件:
导出到电脑上使用wireshark打开看看
打开后呈现的是标准数据包格式与完整交互报文,涵盖TCP握手、DNS查询、TLS握手等内容,仅这一步就几乎超越了当前市面上所有的安卓端抓包软件。
ICMP和UDP也能全部捕获到
4)wireshark安装lua插件显示名称
可选项,提供了一个lua脚本,在wireshark中启用此脚本后,可以看到每一个数据帧对应的进程是谁
前提:
①开启了PCAPdroid Trailer选项,并禁用了PCAPNG格式(禁用PCAPNG格式依然不影响你转储PCAP格式文件):
3、解密https/tls报文
解密HTTPS/TLS报文,前提需要安装一个附加组件,并且使用这个附加组件来启动。
1)安装PCAPdroid-mitm
在设置页面勾选TLS解密,点击下一步会提示你如何安装附加组件:
2)导出并安装CA证书
PCAPdroid mitm借助mitmproxy来代理TLS会话,所以要导出PCAPdroid mitmproxy的CA证书,还要在安卓系统设置中安装该证书,证书的名称可以自行设定。
3)启用TLS解密功能
安装完毕后,使用PCAPdroid mitm打开PCAPdropid,在设置里便可成功勾选启用TLS解密功能:
1、进入连接页面点击要查看的应用程序的ip活跃连接
2、然后就可以看到ip地址了
1、能够实时显示当前设备上的所有网络活动,包括HTTP、HTTPS等协议的数据包。
2、提供详细的包信息视图,支持多种过滤器以帮助用户专注于感兴趣的流量部分。
3、支持将捕获的数据包导出为标准的PCAP或PCAPNG格式文件。
1、客户端不信任代理的证书,如何修复?
对于大多数应用程序,您需要已 root 的设备才能成功解密 TLS 流量。
2、如何从应用程序中提取URL?
您可以点击HTTP连接查看其详细信息,这其中包含请求的URL。不过,多数应用程序采用的是HTTPS,这种情况下要提取URL,就得借助中间人攻击(MITM)来解密连接。想了解更多细节,可参考TLS解密部分。要是应用有网页版本,那就不用解密连接了,直接在电脑浏览器里打开应用,通过浏览器的开发者工具查看连接数据会更简单。
3、为什么要求我创建 VPN?
为了达成无需 root 权限即可运行的目标,这款应用借助 Android VpnService API 在设备本地完成数据包的收集工作。所有数据都不会离开设备。
4、我可以捕获网络中其他设备的流量吗?
不可以。仅捕获其运行的 Android 设备的流量。
5、为什么我会看到 IP 为 10.215.173.1/.2 的连接?
10.215.173.1 是所创建虚拟接口的 IP 地址。因为该接口承担代理功能,所以所有连接的源地址均为此 IP。而 10.215.173.2 则是 PCAPdroid 用来捕获 DNS 流量的虚拟 IP 地址。
6、我可以捕获热点/网络共享流量吗?
这要根据您所用操作系统的具体实现情况来定。一般而言,要是没有 root 权限,这件事是没办法做到的。更详细的说明,您可以参考链接 https://github.com/emanuele-f/PCAPdroid/issues/20 。不过有个变通办法,能只对 HTTP/S 流量进行捕获,具体操作是在 Android 手机上安装 HTTP 代理,然后让客户端设备设置使用这个代理。
7、我连接到 Android 设备,但未被捕获
在非root模式下,仅由Android设备主动发起的出口连接会被路由至VPNService并被捕获。若从其他设备向局域网发起连接(如ping操作),这类连接不会在其中显示。由于多数网络处于NAT或防火墙之后,实际能进入的连接仅限设备连接到您的局域网的情况。
查看
查看
查看
角色扮演 115.7MB
角色扮演 156.5MB
角色扮演 167.0MB
