PCAPdroid抓包工具是一款安卓平台的网络数据捕获与分析应用,无需root权限即可运行。它可以实时监控移动设备的网络通信状态,将所有进出流量转换为标准PCAP格式文件,便于用户借助Wireshark等桌面工具开展深度分析。该应用既能识别未加密的数据流,也能处理加密信息,助力用户排查潜在网络风险,或是协助应用开发者调试通信协议。依托直观的操作设计,用户能轻松筛选特定应用的网络活动、解析域名信息,并追踪流量消耗状况。
PCAPdroid是一款适用于安卓平台的网络嗅探工具,其核心功能在于为移动设备提供专业级别的数据包捕获与分析能力。
它的设计目的是在无需获取root权限的情况下,最大限度地提供丰富且便于操作的网络诊断功能。
它能够助力使用者更深入地洞悉并掌控设备端的网络活动,可应用于各类网络分析场景。
1、实时抓包
当状态显示为就绪后,点击该就绪状态按钮或上方的开始按钮:arrow_forward:即可启动捕获功能,随后进入连接页面就能实时查看所有连接情况。
不难看出,这些连接会标明是由哪些进程生成的,同时还会展示目的域名、协议、端口以及连接状态等基础信息。
1)过滤特定目标
左图借助搜索框筛选特定的目标主机,能看到这些连接当前处于关闭状态(CLOSED),这是由于采用了短连接场景;随意选中一个连接就能查看概览信息,涵盖连接持续时长、访问的URL、协议、进程与进程ID,还有产生的流量规模和载荷长度。
2)查看HTTP请求和载荷
此外,借助HTTP以及载荷选项,能够清晰查看这条TCP连接中所请求的内容与响应的内容。
这些文本可以任意复制或导出。
甚至可以以十六进制格式呈现,点击右上角的格式转换按钮就能实现,具体效果可参考右图:
2、保存为PCAPNG格式进行分析
1)解锁并启用PCAPNG格式转储选项
可存储为PCAPNG格式,该功能需付费解锁,当前解锁价格为13港币;解锁后还能进行TLS解密,在设置中勾选相应选项即可使用。
2)设置数据包转储
数据包转储分为三类:
HTTP服务器转储:安卓将会启动一个HTTP服务,提供PCAP包的;
PCAP文件:直接以PCAP格式文件存储到手机;
UDP导出器:把PCAP文件发送至远程UDP接收器。
没有特殊需求,最直截了当的方式建议选择第二种。
3)实时抓包并保存为pcapng格式
以第二种转储方式为例,点击“就绪”开始抓包时,系统会按照时间格式对生成的数据包文件进行命名。
之后暂停抓包操作,在文件管理器中找到我们之前转储好的抓包文件。
导出到电脑上使用wireshark打开看看
打开后呈现的是标准数据包格式与完整交互报文,涵盖TCP握手、DNS查询、TLS握手等内容,仅这一步就几乎超越了当前市面上所有的安卓端抓包软件。
ICMP和UDP也能全部捕获到
4)wireshark安装lua插件显示名称
可选项中包含一个lua脚本,在wireshark里启用该脚本后,就能查看每个数据帧对应的进程信息
前提:
①开启PCAPdroid的Trailer选项,同时禁用PCAPNG格式(即便禁用该格式,也不会影响你转储PCAP格式的文件):
3、解密https/tls报文
要解密HTTPS/TLS报文,需先安装一个附加组件,并且通过该附加组件来启动操作。
1)安装PCAPdroid-mitm
在设置页面勾选TLS解密选项后,点击下一步按钮,系统会提示你如何安装附加组件。
2)导出并安装CA证书
PCAPdroid mitm借助mitmproxy来代理TLS会话,所以要导出PCAPdroid mitmproxy的CA证书,再到安卓系统设置中安装该证书,证书的名称可以自行设定。
3)启用TLS解密功能
安装完成后,打开PCAPdroid mitm并进入PCAPdropid,接着在设置选项中就能顺利勾选以启用TLS解密功能。
1. 软件运行过程中,无需获取安卓设备的最高权限,既降低了用户的使用门槛,也规避了潜在的安全风险。
2. 网络数据捕获结束后,数据会以通用格式保存,便于用户借助其他专业软件开展后续分析工作,从而拓宽了应用的使用场景。
3. 该工具可对应用的网络访问行为加以管控,精准识别并剖析特定应用的通讯流程。
4. 应用在捕获数据的过程中,可实时展示网络连接状态、协议类型、目标域名等信息,助力用户迅速掌握网络状况。
5. 当捕获到加密数据时,应用具备解密功能,能让通讯内容的查看更清晰,从而方便分析问题。
可以精准记录每一次网络连接的开始时间、持续时间,还有数据传输的总量,助力用户全方位掌握网络使用的具体状况。
除了标准的PCAP格式外,这款工具还提供了多种导出选项,能让用户依据不同的分析场景挑选出最适配的格式。
支持对各类过滤条件进行设定,可基于应用、域名或者协议等维度,仅捕获用户感兴趣的网络流量,以此提升分析效率。
针对HTTP协议的数据包,这款工具可直接完成解析工作,并清晰呈现请求头与响应体的内容,从而为用户省去了手动解析所带来的繁琐步骤。
附带域名解析等辅助工具,便于用户在分析网络数据时快速获取相关信息。
