PCAPdroid

PCAPdroid是一款安卓手机端通用的抓包工具，软件中的功能都是很便捷很实用的，用户不需要获取root权限就可以对手机中的应用进行抓包，或者进行实时监控，精准识别各种异常的网络状况和各种隐私安全问题，也能通过工具来获取各种应用的IP权限，是玩机必备的App！

PCAPdroid抓包教程

1、实时抓包

显示为就绪状态后，点击就绪或上面的开始按钮:arrow_forward:便可开始捕获，之后到连接页面可以实时查看所有的连接：

不难发现，这些连接会标注是哪些APP进程产生，并显示目的域名、协议、端口，以及连接状态等基本信息。

1)过滤特定目标

左图通过搜索框过滤特定目标主机，可以看到这些连接目前已经是关闭状态(CLOSED)，因为用的是短连接场景;任意点选一个连接可以看到概览信息，包括连接持续时间，访问的URL、协议、进程APP和进程ID，以及产生的流量大小和载荷长度：

2)查看HTTP请求和载荷

此外，HTTP以及载荷选项可以清晰看到这条TCP连接，所请求的内容和响应的内容：

这些文本可以任意复制或导出。

甚至可以显示为十六进制格式，点击右上角的格式转换即可，如右图所示：

2、保存为PCAPNG格式进行分析

1)解锁并启用PCAPNG格式转储选项

存储为PCAPNG格式，付费后解锁的功能，目前价格是13港币即可解锁，并且解锁后允许进行TLS解密，在设置里面勾选即可：

2)设置数据包转储

数据包转储分为三类：

HTTP服务器转储：安卓将会启动一个HTTP服务，提供PCAP包的下载;

PCAP文件：直接以PCAP格式文件存储到手机;

UDP导出器：发送PCAP文件到一个远程UDP接收器。

没有特殊需求，最直截了当的方式建议选择第二种。

3)实时抓包并保存为pcapng格式

以第二种转储方式为例，点击就绪进行抓包，会以时间格式对数据包文件进行命名：

之后暂停抓包，在文件管理器里找到我们转储的抓包文件：

导出到电脑上使用wireshark打开看看

打开后是标准的数据包格式和完整交互的报文，包括TCP握手、DNS查询、TLS握手等，到这一步几乎已经秒杀目前市面上所有的安卓端抓包软件。

ICMP和UDP也能全部捕获到

4)wireshark安装lua插件显示APP名称

可选项，官方提供了一个lua脚本，在wireshark中启用此脚本后，可以看到每一个数据帧对应的进程APP是谁

前提：

①开启了PCAPdroid Trailer选项，并禁用了PCAPNG格式(禁用PCAPNG格式依然不影响你转储PCAP格式文件)：

3、解密https/tls报文

解密HTTPS/TLS报文，前提需要安装一个附加组件，并且使用这个附加组件来启动app。

1)安装PCAPdroid-mitm

在设置页面勾选TLS解密，点击下一步会提示你如何安装附加组件：

2)导出并安装CA证书

PCAPdroid mitm使用mitmproxy代理TLS会话，因此需要导出PCAPdroid mitmproxy的CA证书，并且在安卓系统设置里安装证书，证书名称任意

3)启用TLS解密功能

安装完毕后，使用PCAPdroid mitm打开PCAPdropid，在设置里便可成功勾选启用TLS解密功能：

软件功能

1、记录并检查用户和系统应用程序建立的连接。

2、提取SNI、DNS查询、HTTP URL和远程IP地址。

3、通过内置解码器检查 HTTP 请求和回复。

4、检查完整连接有效负载作为十六进制转储/文本并将其导出。

5、解密HTTPS/TLS流量并导出SSLKEYLOGFILE。

6、将流量转储到PCAP文件，从浏览器下载，或将其流式传输到远程接收器以进行实时分析(例如，wireshark)。

7、创建规则来过滤掉良好的流量并轻松发现异常情况。

8、通过离线数据库查找识别远程服务器的国家和ASN。

9、在root设备上，在其他VPN应用程序运行时捕获流量。

软件特点

1、软件是一款轻量级应用，体积小，为用户省出更多手机内存空间。

2、根据实时抓包参数，用户可以自定义对参数进行修改。

3、界面简洁，可快速找到需求功能，轻松进行网络抓包。

4、支持多个型号的安卓手机，有很好的兼容性。

常见问题

1、客户端不信任代理的证书，如何修复?

对于大多数应用程序，您需要已root的设备才能成功解密TLS流量。

2、如何从应用程序中提取URL?

您可以点击HTTP连接来显示其详细信息，其中包括请求的URL。但是，大多数应用程序都使用HTTPS，在这种情况下，需要通过中间人攻击 (MITM) 解密连接才能提取URL。有关详细信息，请参阅TLS解密部分 。如果应用程序提供网页版，则无需解密连接，而是更轻松地在 PC 上的浏览器中打开应用程序，并通过浏览器开发者工具检查连接数据。

3、为什么要求我创建VPN?

为了实现无需root权限运行，该应用利用Android VpnService API在设备本身上收集数据包。不会有任何数据离开设备。

4、我可以捕获网络中其他设备的流量吗?

不可以。app仅捕获其运行的Android设备的流量。

5、为什么我会看到IP为10.215.173.1/.2 的连接?

10.215.173.1是创建的虚拟接口的IP地址。由于app充当代理，因此所有连接都具有此源地址。 10.215.173.2是PCAPdroid用于捕获DNS流量的虚拟IP地址。

6、我可以捕获热点/网络共享流量吗?

这取决于您的操作系统实现。通常情况下，没有root权限是无法实现的。详细说明请参阅 https://github.com/emanuele-f/PCAPdroid/issues/20。有一种解决方法可以仅捕获HTTP/S流量，即在Android手机上安装HTTP代理，并配置客户端设备使用该代理。

7、我连接到Android设备，但未被捕获

在非root模式下，只有出口连接(即由Android设备发起的连接)会被路由到VPNService并被捕获。如果您从其他设备发起到LAN的连接(例如ping)，则此类连接不会显示在app中。大多数网络都位于NAT或防火墙之后，因此实际上入口连接只能从设备连接到您的 LAN。