PCAPdroid是一款进行网络数据包的抓包软件,在这款软件中,用户也可以在手机上对数据包内容进行抓取和修改,更加优秀的是不用进行权限的获取,PCAPdroid能够减少手机因为权限修改所造成的锁机问题,让用户能够更加方便的对数据包进行查看。
PCAPdroid作为一款进行数据包抓取的软件,软件中包含了非常全面的数据包处理功能,可精准识别异常连接,对连接进行识别,防止用户的隐私数据被恶意的盗取,能够让用户的网络连接更加的优质,防止恶意攻击。
1、实时抓包
显示为就绪状态后,点击就绪或上面的开始按钮:arrow_forward:便可开始捕获,之后到连接页面可以实时查看所有的连接:
不难发现,这些连接会标注是哪些APP进程产生,并显示目的域名、协议、端口,以及连接状态等基本信息。
1)过滤特定目标
左图通过搜索框过滤特定目标主机,可以看到这些连接目前已经是关闭状态(CLOSED),因为用的是短连接场景;任意点选一个连接可以看到概览信息,包括连接持续时间,访问的URL、协议、进程APP和进程ID,以及产生的流量大小和载荷长度:
2)查看HTTP请求和载荷
此外,HTTP以及载荷选项可以清晰看到这条TCP连接,所请求的内容和响应的内容:
这些文本可以任意复制或导出。
甚至可以显示为十六进制格式,点击右上角的格式转换即可,如右图所示:
2、保存为PCAPNG格式进行分析
1)解锁并启用PCAPNG格式转储选项
存储为PCAPNG格式,付费后解锁的功能,目前价格是13港币即可解锁,并且解锁后允许进行TLS解密,在设置里面勾选即可:
2)设置数据包转储
数据包转储分为三类:
HTTP服务器转储:安卓将会启动一个HTTP服务,提供PCAP包的下载;
PCAP文件:直接以PCAP格式文件存储到手机;
UDP导出器:发送PCAP文件到一个远程UDP接收器。
没有特殊需求,最直截了当的方式建议选择第二种。
3)实时抓包并保存为pcapng格式
以第二种转储方式为例,点击就绪进行抓包,会以时间格式对数据包文件进行命名:
之后暂停抓包,在文件管理器里找到我们转储的抓包文件:
导出到电脑上使用wireshark打开看看
打开后是标准的数据包格式和完整交互的报文,包括TCP握手、DNS查询、TLS握手等,到这一步几乎已经秒杀目前市面上所有的安卓端抓包软件。
ICMP和UDP也能全部捕获到
4)wireshark安装lua插件显示APP名称
可选项,官方提供了一个lua脚本,在wireshark中启用此脚本后,可以看到每一个数据帧对应的进程APP是谁
前提:
①开启了PCAPdroid Trailer选项,并禁用了PCAPNG格式(禁用PCAPNG格式依然不影响你转储PCAP格式文件):
3、解密https/tls报文
解密HTTPS/TLS报文,前提需要安装一个附加组件,并且使用这个附加组件来启动app。
1)安装PCAPdroid-mitm
在设置页面勾选TLS解密,点击下一步会提示你如何安装附加组件:
2)导出并安装CA证书
PCAPdroid mitm使用mitmproxy代理TLS会话,因此需要导出PCAPdroid mitmproxy的CA证书,并且在安卓系统设置里安装证书,证书名称任意
3)启用TLS解密功能
安装完毕后,使用PCAPdroid mitm打开PCAPdropid,在设置里便可成功勾选启用TLS解密功能:
记录并检查用户和系统应用的网络连接,帮助用户对网络进行检测。
提取 SNI、DNS 查询、HTTP URL 和远程 IP 地址等信息。
内置解码器支持 HTTP 请求和响应的检查。
显示完整的连接负载数据,支持以十六进制或文本形式查看,让用户更加简单的进行使用。
解密 HTTPS/TLS 流量,并导出 SSLKEYLOGFILE 文件,支持多种格式。
将流量数据导出为 PCAP 文件,可以通过浏览器下载或第三方工具(例如 Wireshark)进行分析。
创建规则过滤正常流量,轻松识别异常活动,让手机信息更加安全。
在已 root 的设备上,支持在其他 VPN 应用运行时捕获流量。
v1.8.8版本
支持16KB页面大小的设备
使PCAP/CSV文件名前缀可配置
修复根可能无效的Pcapng块长度
新的API选项:full_payload、密钥日志文件名、解密规则
举报
4.5
满分5.0分
我要评论