PCAPdroid无需root即可在手机上抓包

Tags：系统工具软件手机实用工具

PCAPdroid是一款开源免费的安卓端网络数据包捕捉与解析软件 ，在非root状态下就能实现网络流量捕获，降低使用门槛，提供强劲的数据包过滤机制，用户可凭借tcpdump标准过滤语句，筛选指定的数据包显示，助力进行针对性解析。

软件特色

-记录并检查用户和系统应用程序建立的连接

-提取 SNI、DNS 查询、HTTP URL 和远程 IP 地址

-通过内置解码器检查 HTTP 请求和回复

-检查完整连接有效负载作为十六进制转储/文本并将其导出

-解密 HTTPS/TLS 流量并导出 SSLKEYLOGFILE

-将流量转储到 PCAP 文件，从浏览器下载，或将其流式传输到远程接收器以进行实时分析（例如，wireshark）

-创建规则来过滤掉良好的流量并轻松发现异常情况

-通过离线数据库查找识别远程服务器的国家和 ASN

-在 root 设备上，在其他应用程序运行时捕获流量

PCAPdroid抓包教程

1、实时抓包

显示为就绪状态后，点击就绪或上面的开始按钮:arrow_forward:便可开始捕获，之后到连接页面可以实时查看所有的连接：

不难发现，这些连接会标注是哪些APP进程产生，并显示目的域名、协议、端口，以及连接状态等基本信息。

1）过滤特定目标

左图通过搜索框过滤特定目标主机，可以看到这些连接目前已经是关闭状态(CLOSED)，因为用的是短连接场景；任意点选一个连接可以看到概览信息，包括连接持续时间，访问的URL、协议、进程APP和进程ID，以及产生的流量大小和载荷长度：

2）查看HTTP请求和载荷

此外，HTTP以及载荷选项可以清晰看到这条TCP连接，所请求的内容和响应的内容：

这些文本可以任意复制或导出。

甚至可以显示为十六进制格式，点击右上角的格式转换即可，如右图所示：

2、保存为PCAPNG格式进行分析

1）解锁并启用PCAPNG格式转储选项

存储为PCAPNG格式，付费后解锁的功能，目前价格是13港币即可解锁，并且解锁后允许进行TLS解密，在设置里面勾选即可：

2）设置数据包转储

数据包转储分为三类：

HTTP服务器转储：安卓将会启动一个HTTP服务，提供PCAP包的下载；

PCAP文件：直接以PCAP格式文件存储到手机；

UDP导出器：发送PCAP文件到一个远程UDP接收器。

没有特殊需求，最直截了当的方式建议选择第二种。

3）实时抓包并保存为pcapng格式

以第二种转储方式为例，点击就绪进行抓包，会以时间格式对数据包文件进行命名：

之后暂停抓包，在文件管理器里找到我们转储的抓包文件：

导出到电脑上使用wireshark打开看看

打开后是标准的数据包格式和完整交互的报文，包括TCP握手、DNS查询、TLS握手等，到这一步几乎已经秒杀目前市面上所有的安卓端抓包软件。

ICMP和UDP也能全部捕获到

4）wireshark安装lua插件显示APP名称

可选项，官方提供了一个lua脚本，在wireshark中启用此脚本后，可以看到每一个数据帧对应的进程APP是谁

前提：

①开启了PCAPdroid Trailer选项，并禁用了PCAPNG格式（禁用PCAPNG格式依然不影响你转储PCAP格式文件）：

3、解密https/tls报文

解密HTTPS/TLS报文，前提需要安装一个附加组件，并且使用这个附加组件来启动app。

1）安装PCAPdroid-mitm

在设置页面勾选TLS解密，点击下一步会提示你如何安装附加组件：

2）导出并安装CA证书

PCAPdroid mitm使用mitmproxy代理TLS会话，因此需要导出PCAPdroid mitmproxy的CA证书，并且在安卓系统设置里安装证书，证书名称任意

3）启用TLS解密功能

安装完毕后，使用PCAPdroid mitm打开PCAPdropid，在设置里便可成功勾选启用TLS解密功能：

PCAPdroid查ip方法

1、进入连接页面点击要查看的应用程序的ip活跃连接

2、然后就可以看到ip地址了

常见问题

1、客户端不信任代理的证书，如何修复？

对于大多数应用程序，您需要已 root 的设备才能成功解密 TLS 流量。

2、如何从应用程序中提取URL？

您可以点击 HTTP 连接来显示其详细信息，其中包括请求的 URL。但是，大多数应用程序都使用 HTTPS，在这种情况下，需要通过中间人攻击 (MITM) 解密连接才能提取 URL。有关详细信息，请参阅 TLS 解密部分 。如果应用程序提供网页版，则无需解密连接，而是更轻松地在 PC 上的浏览器中打开应用程序，并通过浏览器开发者工具检查连接数据。

3、我可以捕获网络中其他设备的流量吗？

不可以。app仅捕获其运行的 Android 设备的流量。

4、为什么我会看到 IP 为 10.215.173.1/.2 的连接？

10.215.173.1 是创建的虚拟接口的 IP 地址。由于app充当代理，因此所有连接都具有此源地址。 10.215.173.2 是 PCAPdroid 用于捕获 DNS 流量的虚拟 IP 地址。

5、我可以捕获热点/网络共享流量吗？

这取决于您的操作系统实现。通常情况下，没有 root 权限是无法实现的。详细说明请参阅 https://github.com/emanuele-f/PCAPdroid/issues/20。有一种解决方法可以仅捕获 HTTP/S 流量，即在 Android 手机上安装 HTTP 代理，并配置客户端设备使用该代理。

6、我连接到 Android 设备，但未被捕获

在非 root 模式下，只有出口连接（即由 Android 设备发起的连接）会被路由到 Service 并被捕获。如果您从其他设备发起到 LAN 的连接（例如 ping），则此类连接不会显示在app中。大多数网络都位于 NAT 或防火墙之后，因此实际上入口连接只能从设备连接到您的 LAN。