如何在 Android 手機上實現抓包?

我想知道某個應用究竟在數據提交到哪裡,提交了什麼。

網上的教程太複雜,不想麻煩。有沒有快速的方式實現在android網路抓包?比如手機流量類監控軟體是否已經實現可否借鑒?


安裝 Packet Capture https://play.google.com/store/apps/details?id=app.greyshirts.sslcapture 這個 App 直接在手機上做抓包應該是比較簡單的:

  1. 不需要 root(用 VPNService 這個介面實現的本地代理)

  2. 有 MITM Proxy,可以查看 https 流量(有這條還要什麼三輪車&>_&<)
  3. 適用於不走系統代理的 App

順帶一提,這個 App 也是我見到的第一個實際使用 Kotlin 來寫的 App

如果還需要簡單改下 http request,可以考慮試試 HTTP Injector https://play.google.com/store/apps/details?id=com.evozi.injector 這個 App

,同樣的它也不需要 root

如果有更複雜的需求,當然還是 Fiddler / Charles 比較好


GitHub - JZ-Darkal/AndroidHttpCapture: AndroidHttpCapture網路診斷工具 是一款針對於移動流量劫持而開發的手機抓包軟體 主要功能包括:手機端抓包、PING/DNS/TraceRoute診斷、抓包HAR數據上傳分享。你也可以看成是Android版的"Fiddler" (^o^)/~

不需要root許可權

下載地址:http://h5.darkal.cn/har/demo.apk

下載地址:http://h5.darkal.cn/har/demo.apk


tcpdump是最快捷方便的抓包方式,還可以加深對網路協議的理解。android下可以通過如下方式抓包:

1 Android上啟動tcpdump

Android設備可以把tcpdump的可執行文件上傳到android設備上,然後通過mac遠程登錄android設備運行tcpdump,前提是這台android設備必須已經root過。步驟如下:

下載android版本的tcpdump

從這個鏈接: http://www.androidtcpdump.com/android-tcpdump/downloads 可以下載到專門為android系統編譯的tcpdump版本。

通過adb將tcpdump上傳到android設備

通過adb push將tcpdump文件上傳到特定的目錄,這裡我們選擇/sdcard/data目錄。

在android設備上運行tcpdump

通過adb shell登陸設備,並執行tcpdump,最後一步執行./tcpdump即可。

2. 分析tcpdump輸出

經過上面的步驟成功運行tcpdump之後,接下來就可以分析輸出的網路包內容了,iOS設備和Android設備的輸出是一致的。我們先來解析下幾個基本的格式:

圖中紅色方框內的部分是一個ip包的詳細記錄,類似的紀錄還有好幾條。這裡我們著重分析第一條的各部分欄位含義。

14:37:41.615018 很簡單,是該包接收到的時間。

17.143.164.37.5223 是發送方的ip地址及埠號(5223是埠號)。

10.29.44.140.58036 是我android的ip地址及埠號。

Flags [P.] 是tcp包header部分的第14個位元組的P位。這個位元組所包含的幾個flag很重要,後面我會單獨詳細講解。這裡P位表示接受方需要馬上將包push到應用層。

seq 1:54 tcp包的seq號,1是起始值,54結束值。tcp之所以被認為是流,是因為tcp包所攜帶的每一個位元組都有標號(seq號)。1:54表明總共有54個位元組被接受,其中一個位元組是三次握手階段所使用,所以一共發送的長度是53位元組。

ack 101 tcp包的ack號,ack 101表明seq號為100的位元組已被確認收到,下一個期望接收的seq號從101開始。

win 255 win表示的是tcp包發送方,作為接受方還可以接受的位元組數。這裡win 255表明ip為17.143.164.37的主機還可以接受255個位元組。

options [nop,nop,…] options[…]表示的是該tcp包的options區域,nop是no opertion的縮寫,沒什麼實際用途,主要是用做padding,因為options區域按協議規定必須是4位元組的倍數。

options[… TS val 2381386761] ts val這個值是tcp包的時間戳,不過這個時間戳和設備的系統時間沒啥關係,剛開始是隨機值,後面隨著系統時鐘自增長。這個時間戳主要用處是seq序列號越界從0重新開始後,可以確認包的順序。

options[… ecr 427050796] ts ecr這個值主要用來計算RTT。比如A發送一個tcp包給B,A會在包裡帶上TS val,B收到之後在ack包里再把這個值原樣返回,A收到B的ack包之後再根據本地時鐘就可以計算出RTT了。這個值只在ack包里有效,非ack包ecr的值就為0.

length 53 這個length是應用層傳過來的數據大小,不包括tcp的header。這個值和我們上面分析的seq 1:54是一致的。

以上就是一個基本的tcp包結構,大家可以按照上面的分析再把其他幾個包理解下。我們在做應用的時候面對的更多是http協議,但對一個http請求是怎麼通過tcp/ip分解成一個個的packet,然後怎麼在網路上穩定可靠的傳輸,要有個基本的印象。下面我們再看下tcpdump更多的功能,這些功能都是基於對tcp/ip協議的理解,遇到不理解的建議多google下相關的技術概念。

3. tcpdump知識拓展

再繼續深入tcpdump之前,先貼上一張tcp header格式圖,常看常新。

[https://github.com/music4kid/music4kid.github.io/blob/master/images/tcpheader.png?raw=true](https://github.com/music4kid/music4kid.github.io/blob/master/images/tcpheader.png?raw=true)" w="1056">

3.1 TCP Flags(tcp header第十四個位元組)

我們再仔細看下上面提到的flags概念,flags位於tcp header的第十四個位元組,包含8個比特位,也就是上圖的CWR到FIN。這8個比特位都有特定的功能用途,分別是:CWR,ECE,URG,ACK,PSH,RST,SYN,FIN。

CWR ,ECE 兩個flag是用來配合做congestion control的,一般情況下和應用層關係不大。發送方的包ECE(ECN-Echo)為0的時候表示出現了congestion,接收方回的包里CWR(Congestion Window Reduced)為1表明收到congestion信息並做了處理。我們重點看其他六個flag。

URG URG代表Urgent,表明包的優先順序高,需要優先傳送對方並處理。像我們平時使用terminal的時候經常ctrl+c來結束某個任務,這種命令產生的網路數據包就需要urgent。

ACK 也就是我們所熟悉的ack包,用來告訴對方上一個數據包已經成功收到。不過一般不會為了ack單獨發送一個包,都是在下一個要發送的packet里設置ack位,這屬於tcp的優化機制,參見delayed ack。

PSH Push我們上面解釋過,接收方接收到P位的flag包需要馬上將包交給應用層處理,一般我們在http request的最後一個包里都能看到P位被設置。

RST Reset位,表明packet的發送方馬上就要斷開當前連接了。在http請求結束的時候一般可以看到一個數據包設置了RST位。

SYN SYN位在發送建立連接請求的時候會設置,我們所熟悉的tcp三次握手就是syn和ack位的配合:syn-&>syn+ack-&>ack。

FIN Finish位設置了就表示發送方沒有更多的數據要發送了,之後就要單向關閉連接了,接收方一般會回一個ack包。接收方再同理髮送一個FIN就可以雙向關閉連接了。

這8個flag首字母分別是:C E U A P R S F。初看難以記憶,我腦洞了下,把它們組合成 supr cafe,當然少了super少了個e,我可以將就下。我們在使用tcpdump的時候會經常看到這幾個flag,[S],[P],[R],[F],[.]。其他幾個都好理解,[.]特殊點,是個佔位符,沒有其他flag被設置的時候就顯示這個佔位符,一般表示ack。

3.2 tcpdump 更多使用參數

這部分我們來看下tcpdump常用的一些命令參數。文章最開始部分的tcpdump命令是這樣的:sudo tcpdump -i rvi0 -AAl。 -i rvi0 -AAl都是屬於參數部分。常見的有這些:

  • -i, 要監聽的網卡名稱,-i rvi0監聽虛擬網卡。不設置的時候默認監聽所有網卡流量。
  • -A, 用ASCII碼展示所截取的流量,一般用於網頁或者app里http請求。-AA可以獲取更多的信息。
  • -X,用ASCII碼和hex來展示包的內容,和上面的-A比較像。-XX可以展示更多的信息(比如link layer的header)。
  • -n,不解析hostname,tcpdump會優先暫時主機的名字。-nn則不展示主機名和埠名(比如443埠會被展示成https)。
  • -s,截取的包位元組長度,默認情況下tcpdump會展示96位元組的長度,要獲取完整的長度可以用-s0或者-s1600。
  • -c,只截取指定數目的包,然後退出。
  • -v,展示更多的有用信息,還可以用-vv -vvv增加信息的展示量。
  • src,指明ip包的發送方地址。
  • dst,指明ip包的接收方地址。
  • port,指明tcp包發送方或者接收方的埠號。
  • and,or,not,操作法,字面意思。

上面幾個是我個人比較常用的,更多的參數可以參考這個詳細文檔。有興趣的可以分析下面幾個例子練習下:

tcpdump 『tcp[13] 16!=0』

tcpdump src port 80 and tcp

tcpdump -vv src baidu and not dst port 23

tcpdump -nnvvS src 192.0.1.100 and dst port 443

4. 用tcpdump分析http完整請求

說了這麼多,我們再來實戰下,看一個完整的http請求流程。

下面截圖裡的流量是我監聽的 知乎App點贊之後發送的一個https請求。我之前先分析過server的ip地址了,tcpdump命令是:

sudo tcpdump -i rvi0 -AAl src 60.28.215.123 or dst 60.28.215.123

圖中列出了6個前面的packet,10.29.44.240是我android的ip地址,60.28.215.123是知乎server的ip地址,紅色方框內是android發出的packet,白色方框內是server發出的packet。packet1是android三次握手的第一個syn包,packet2是server ack+syn的包,packet3是android ack的包。這3個packet之後tcp的三次握手就完成了。

packet4是android發出的http request。長度只有240個位元組,所以一個packet就發過去了,當然還設置了flags的P位,request需要馬上被應用層處理。包裡面出現了spdy,點贊。

packet5是server ack剛收到的包,長度位0,所以這僅僅是一個ack包。

packet6是server返回http的response了,1388個位元組。packet5和packet6都ack了seq為241的包,當然是為了增加ack的成功率。

中間還有好幾個packet就不仔細分析了,最後再看下請求完成的最後幾個包:

最後兩個packet比較簡單,android發送個FIN+ACK的包就斷開連接了,server直接發送了一個RST包後也斷開連接了。


兩種方式,各有優劣且互補,一般第一種即可,對於不走代理的 App 選擇第二種方式

第一種 Fiddler

利用 Fiddler 抓包,適合大多數走代理的應用,優點 (1) 無需 root (2) 對 Android 和 Iphone 同樣適用 (3) 操作更簡單方便(第一次安裝配置,第二次只需設置代理即可) (4) 數據包的查看更清晰易懂,Fiddler 的 UI 更簡單明了 。可見:http://www.trinea.cn/android/android-network-sniffer/

Mac 下可以使用 Charles。

第二種 Tcpdump

對於不走代理的 App 可以利用 tcpdump 抓取 andorid 手機上網路數據請求,利用 Wireshark 查看,可見:如何利用Tcpdump抓取andorid網路數據請求,Wireshark查看


使用 tPacketCapture [0] ,無需 root,可以保存下 pcap 格式的流量捕獲,然後在電腦上打開分析。

它的原理是建立一個虛擬的 VPN 連接,讓所有的流量都通過它。因此它捕獲不到二層的信息,但這對於樓主的需求來說已經足夠了。

[0] Google Play 的頁面地址 https://play.google.com/store/apps/details?id=jp.co.taosoftware.android.packetcapture


電腦上安裝個Charles,然後在Android手機上設置下代理,就可以在Charles上監聽到了。想看https的請求就稍微麻煩一些些,手機上得先安裝下證書,具體可以參考Using Charles Proxy to Optimize Mobile App Performance


如果是抓http跟https的包請看我博客這篇教程,charles很好用的一個工具,工作好幾年了一直在用。

charles工具抓包教程(http跟https)


Stetho ?

Stetho

https://www.youtube.com/watch?v=iyXpdkqBsG8


tcpdump,不過要有root許可權


wifikill,能夠抓整個區域網的包,不過完整版要收費。去XDA上面找作者發布貼下載即可。要求:Android4,root


看完答案我才發現難道只有我一個人用Burpsuite嗎?


以前做過Android 手機抓包,分享一下,


方法一:首先得有無線網卡,大家都用過電腦給手機做熱點把,用批命令創建wifi熱點,會新建一個無線網卡出來,再用wireshark或其他工具對wifi熱點的那個無線網卡進行監聽,就可以啦~我認為這是最簡單對我了


方法二:android安裝一個terminal ide,用tcpdump抓包


理論上本地開個代理。。。然後vpn設置成本地地址。。


mac 上面使用charles

Windows上使用fiddler

伺服器上可以使用mitmproxy

以上三者都可以做到https的解析


我寫了一個軟體,你可以安裝一下,啟動抓包完成後通過郵件把碼流發給你,你用wireshark打開就可以看到了。下載地址為 http://apk.gfan.com/Product/App328379.html


電腦與手機連接同一個區域網

電腦上使用charles抓包

手機wifi設置代理,ip為電腦ip,埠為8888

啟動app就可以抓取網路請求了


1. Android手機需要先獲得root許可權。一種是否獲得root許可權的檢驗方法:安裝並打開終端模擬器(可通過安卓市場等渠道獲得)。在終端模擬器界面輸入su並回車,若報錯則說明未root,若命令提示符從$變#則為rooted;

2. 如果Android手機尚未root,可通過superoneclick或其它方法進行root處理(需要先安裝Microsoft .NET Framework)。Superoneclick刷root許可權教程:(http://soft.shouji.com.cn/news/501.shtml)

3. 需要先獲得 Android SDK

4. 需要獲得tcpdump軟體,獲取地址(http://www.strazzere.com/android/tcpdump)

抓包步驟

1. 將Android手機與電腦USB相連,打開windows命令提示符窗口

2. 將tcpdump程序copy至android手機(該命令前面那個目錄文件為本地地址,後面那個目錄為目的手機端地址)

C:android-sdk-windowsplatform-tools&>adb push c:/tcpdump /data/local/tcpdump

3. 修改tcpdump的許可權

C:android-sdk-windowsplatform-tools&>adb shell

#chmod 777 /data/local/tcpdump

4. 進入root許可權

C:android-sdk-windowsplatform-tools&>adb shell

$ su

在運行su指令後,手機終端桌面會出現相應提示信息以確認您對root操作的認可。

5. 運行tcpdump,輸入以下命令啟動抓包。

/data/local/tcpdump -p -vv -s 0 -w /sdcard/capture.pcap

6. 在手機端執行相應需要進行抓包分析的操作,執行完成後在命令提示符窗口執行Ctrl+C中斷抓包進程

7. 將抓包結果複製至本地(前面那個目錄為手機端地址,後面那個目錄為本地地址)

C:android-sdk-windowsplatform-tools&>adb pull /sdcard/capture.pcap c:/

8. 使用Wireshark等工具查看抓包文件capture.pcap


新版Wireshark可以調用tcpdump命令,直接在Android上抓包並實時查看,實在是炸裂的功能……

只是tcpdump需要root許可權,答主在這裡碰到了一些麻煩,最後使用一個簡陋的辦法來繞過。

首先,你需要一個tcpdump的binary。可以在網上(比如xda-developers論壇里)找到,或者用Debian等支持ARM的發行版,使用chroot。

如果你已經在手機上搞定了tcpdump,那麼可以新建一個目錄,比如,新建/system/xbin/pcap目錄,然後把tcpdump放進這個目錄。(只重命名似乎不行,Wireshark在啟動時會先運行tcpdump -h檢查輸出,然後Android WiFi項目就不顯示了)

接著,新建一個可執行的shell腳本替代它:

#!/system/bin/sh
su -c "/system/xbin/pcap/tcpdump $@"

也許還可以動一些小手腳,比如把參數里的wlan0替換掉,從而抓取其他網口的數據,或者添加bpf表達式,過濾掉一些包,但我沒嘗試過。


提供兩種方法:

1.代理到電腦,用fiddler抓包;

2.360WiFi開起來,直接wireshark抓。

後者用得爽(前提是Windows和裝360),不用每次去填代理地址,而且可以限速,順便測試下弱網路狀況下APP的運行情況


windows下用fiddler,mac下用charles,在電腦上開個代理,用手機連代理上網


推薦閱讀:

安卓平台遊戲用戶的最大痛點是什麼?
電子信息工程專業學生去學android開發靠譜嗎?
使用 Qt 開發安卓 APP 體驗如何?
Google 開發了很多優秀的 iOS 應用, Apple 卻沒有開發任何 Android 應用,這是為什麼,意味著什麼?
安卓升級是否會封堵ROOT漏洞?

TAG:手機 | 編程 | Android開發 | Android手機 | 黑客Hacker | Android | 抓包 |