121下载站:高速、安全、放心的绿色软件资源网!

您的位置: 首页 > 手机软件 > 系统工具 > pcapdroid抓包工具v1.7.2

pcapdroid抓包工具

pcapdroid抓包工具

  • 类型: 系统工具
  • 大小: 10.86MB
  • 版本: v1.7.2
  • 语言: 中文
  • 系统: 安卓
  • 时间: 2024-11-15 18:13:36

pcapdroid抓包工具为用户们推荐,这里用户们能够使用软件进行app的抓包,帮助用户们获取程序向网络发送的网络请求,分析app的行为逻辑,帮助用户们获取自己需要知道的答案,pcapdroid抓包工具操作简单,功能全面,是目前最受欢迎的安卓端抓包工具。

pcapdroid抓包工具抓包教学

首先在本站下载安装主程序.apk文件并安装

如需在手机内部看到HTTPS/TLS解密后的报文,还需附加组件PCAPdroid-mitm:

如需在wireshark中显示APP名称,则需要安装官方提供的lua脚本,

1.实时抓包

显示为就绪状态后,点击就绪或上面的开始按钮:arrow_forward:便可开始捕获,之后到连接页面可以实时查看所有的连接:

不难发现,这些连接会标注是哪些APP进程产生,并显示目的域名、协议、端口,以及连接状态等基本信息。

1)过滤特定目标

左图通过搜索框过滤特定目标主机,可以看到这些连接目前已经是关闭状态(CLOSED),因为用的是短连接场景;任意点选一个连接可以看到概览信息,包括连接持续时间,访问的URL、协议、进程APP和进程ID,以及产生的流量大小和载荷长度:

2)查看HTTP请求和载荷

此外,HTTP以及载荷选项可以清晰看到这条TCP连接,所请求的内容和响应的内容:

这些文本可以任意复制或导出。

甚至可以显示为十六进制格式,点击右上角的格式转换即可,如右图所示:

2.保存为PCAPNG格式进行分析

1)解锁并启用PCAPNG格式转储选项

存储为PCAPNG格式,付费后解锁的功能,目前价格是13港币即可解锁,并且解锁后允许进行TLS解密,在设置里面勾选即可:

2)设置数据包转储

数据包转储分为三类:

HTTP服务器转储:安卓将会启动一个HTTP服务,提供PCAP包的下载;

PCAP文件:直接以PCAP格式文件存储到手机;

UDP导出器:发送PCAP文件到一个远程UDP接收器。

没有特殊需求,最直截了当的方式建议选择第二种。

3)实时抓包并保存为pcapng格式

以第二种转储方式为例,点击就绪进行抓包,会以时间格式对数据包文件进行命名:

之后暂停抓包,在文件管理器里找到我们转储的抓包文件:

导出到电脑上使用wireshark打开看看:

打开后是标准的数据包格式和完整交互的报文,包括TCP握手、DNS查询、TLS握手等,到这一步几乎已经秒杀目前市面上所有的安卓端抓包软件。

ICMP和UDP也能全部捕获到:

4)wireshark安装lua插件显示APP名称

可选项,官方提供了一个lua脚本,在wireshark中启用此脚本后,可以看到每一个数据帧对应的进程APP是谁:

前提:

①PCAPdroid开启了PCAPdroid Trailer选项,并禁用了PCAPNG格式(禁用PCAPNG格式依然不影响你转储PCAP格式文件):

②安装官方提供的lua插件

把脚本下载到本地后,点击wireshark的 Help(帮助) --> About Wireshark(关于wireshark) --> Folders(文件夹)选项,找到Lua插件目录,可以是全局Lua插件目录也可以是个人Lua插件目录:

将pcapdroid.lua插件脚本放到以上两个目录之一里即可,之后重载报文。

之后在编辑选项里添加列,字段为pcapdroid.appname:

然后使用PCAPdroid抓包,转储为PCAP格式文件,用wireshark打开,可以看到可以正常显示每个连接来源的APP名称:

因此可以通过这个字段的值来过滤请求,比如,只想要Chrome浏览器产生的tcp 80/443端口的报文,可以是:

代码语言:txt

pcapdroid.appname == Chrome && tcp.port in {80,443}

同时,如果APP名称包含中文,则中文部分可能会显示为乱码,在github给作者提过issue,表示后续版本会修复,因此如果对这个字段有强需求并且APP涉及中文字符的,可以将手机语言设置为英文临时解决。

使用tshark可以更方便的将报文的APP字段做文本统计分析,比如按照APP产生的报文数量从高到低排序可以是:

代码语言:txt

tshark -X lua_script:pcapdroid.lua -n -q -r <抓包文件> -T fields -e pcapdroid.appname|sort -rn|uniq -c|sort -nr

3.解密https/tls报文

解密HTTPS/TLS报文,前提需要安装一个附加组件,并且使用这个附加组件来启动PCAPdroid。

1)安装PCAPdroid-mitm

在设置页面勾选TLS解密,点击下一步会提示你如何安装附加组件:

2)导出并安装CA证书

PCAPdroid mitm使用mitmproxy代理TLS会话,因此需要导出PCAPdroid mitmproxy的CA证书,并且在安卓系统设置里安装证书,证书名称任意:

3)启用TLS解密功能

安装完毕后,使用PCAPdroid mitm打开PCAPdropid,在设置里便可成功勾选启用TLS解密功能:

4)添加解密规则

这些规则指定解密哪些连接。规则指定可以从三个维度进行:

应用程序

主机Host

IP地址

比如我们添加两个APP的解密,华为浏览器和网易云音乐:

之后我们开始抓包,并且分别打开浏览器和网易云两个APP让其产生流量,再点击右图中的过滤器,选择左图中的已解密选项,即可过滤已解密的连接:

点击连接详情,便可看到解密后的明文内容:

4.应用程序统计分析

在应用程序选项可以统计分析各个引用所产生的流量和连接:

5.IP归属数据库

执行离线查询,显示国家和ASN信息。

设置里面可以下载IP地址数据库:

下载后,抓包信息里面会显示IP归属地和ASN号:

这是个离线数据库,存在手机内部,供PCAPdroid使用,不会调用任何第三方API接口查询IP归属地。

6.抓取IPV6流量

如需抓取IPv6流量,在设置选项最底部,选取即可:

如果是数据流量通信,部分流量可能会是V6协议通讯,因此此选项很有用。

V6也照抓不误,依然可以用wireshark打开分析:

7.提取SNI NAME/DNS查询/HTTP URL

虽然HTTPS加密了报文,但在TLS握手阶段,至少是会展示Server_name的,可以通过这个字段来判断哪条TLS流对应请求哪个域名,过滤规则可以是:

代码语言:shell

tls.handshake.extensions_server_name

同理,可以通过dns查询字段过滤出DNS查询的域名:

代码语言:shell

dns.count.queries >=1 && dns.flags.response == false

提取HTTP协议请求URL,在wireshark的Statistics(统计) --> HTTP --> Rquests(请求) 页面即可查询:

使用tshark提取:

代码语言:shell

tshark -n -q -r -z http_req,tree

或者配合正则提取:

代码语言:shell

tshark -n -r -V |& grep -Po '(?<=Full request URI:\s).*(?=])'

pcapdroid抓包工具描述

实时抓包

PcapDroid可以捕获移动设备上的网络数据包,并实时显示抓到的数据。

支持多种协议

PcapDroid支持多种常见的网络协议,包括TCP、UDP、IP和HTTP等。

分析工具

该应用程序具有强大的分析工具,可以帮助用户解析捕获的数据包,以便进一步分析和排查问题。

数据导出

用户可以将捕获的数据包导出到PC端,以便离线分析和存档。

pcapdroid抓包工具

pcapdroid抓包工具优点

1、能解析的文件类型有很多,可以满足用户的解析需求;

2、支持用户将储存卡中不要的文件进行删除,以便能存放更多文件;

3、支持用户抓取的内容有很多,可以自由进行抓取操作;

4、可以自动保存用户浏览的网络信息,以便可以随时查看浏览记录;

pcapdroid抓包工具特色

- 记录并检查用户和系统应用程序建立的连接

- 提取 SNI、DNS 查询、HTTP URL 和远程 IP 地址

- 通过内置解码器检查 HTTP 请求和回复

- 以 hexdump 形式检查完整连接有效负载/text

- 解密 HTTPS/TLS 流量并导出 SSLKEYLOGFILE

- 将流量转储到 PCAP 文件,从浏览器下载,将其流式传输到远程接收器以进行实时分析(例如,wireshark)

- 创建规则以过滤掉良好流量并轻松发现异常情况

- 识别国家/地区和 ASN通过离线数据库查找远程服务器

- 在 root 设备上,在其他 VPN 应用程序运行时捕获流量

APP截图

pcapdroid抓包工具 pcapdroid抓包工具 pcapdroid抓包工具 pcapdroid抓包工具