PCAPdroid是一款專為安卓設(shè)備設(shè)計(jì)的開(kāi)源網(wǎng)絡(luò)數(shù)據(jù)包捕獲與分析工具，也就是常說(shuō)的抓包工具，其憑借其無(wú)Root捕獲、實(shí)時(shí)監(jiān)控與深度分析能力，成為手機(jī)端抓包的利器。該工具通過(guò)模擬VPN機(jī)制繞過(guò)系統(tǒng)權(quán)限限制，無(wú)需Root即可捕獲設(shè)備流量，并支持導(dǎo)出為PCAP/PCAjpg格式，兼容Wireshark等主流分析軟件。

PCAPdroid抓包工具的核心功能包括實(shí)時(shí)流量監(jiān)控、HTTP/TLS解密、DNS查詢提取及防火墻規(guī)則配置，可精準(zhǔn)識(shí)別異常連接、惡意軟件通信及隱私泄露風(fēng)險(xiǎn)。用戶可利用其過(guò)濾功能定位特定應(yīng)用或協(xié)議的網(wǎng)絡(luò)行為，優(yōu)化通信性能，還能通過(guò)流量分析檢測(cè)中間人攻擊、數(shù)據(jù)竊取等威脅。此外，PCAPdroid支持UDP流式傳輸、IP歸屬地離線查詢等高級(jí)特性，結(jié)合nDPI協(xié)議分類庫(kù)，可實(shí)現(xiàn)千種應(yīng)用協(xié)議的智能識(shí)別，為移動(dòng)網(wǎng)絡(luò)環(huán)境提供全鏈路透明化監(jiān)控能力，有需要的用戶可以在本站免費(fèi)下載使用。

功能特色

-記錄并檢查用戶和系統(tǒng)應(yīng)用程序建立的連接

-提取 SNI、DNS 查詢、HTTP URL 和遠(yuǎn)程 IP 地址

-通過(guò)內(nèi)置解碼器檢查 HTTP 請(qǐng)求和回復(fù)

-檢查完整連接有效負(fù)載作為十六進(jìn)制轉(zhuǎn)儲(chǔ)/文本并將其導(dǎo)出

-解密 HTTPS/TLS 流量并導(dǎo)出 SSLKEYLOGFILE

-將流量轉(zhuǎn)儲(chǔ)到 PCAP 文件，從瀏覽器下載，或?qū)⑵淞魇絺鬏數(shù)竭h(yuǎn)程接收器以進(jìn)行實(shí)時(shí)分析（例如，wireshark）

-創(chuàng)建規(guī)則來(lái)過(guò)濾掉良好的流量并輕松發(fā)現(xiàn)異常情況

-通過(guò)離線數(shù)據(jù)庫(kù)查找識(shí)別遠(yuǎn)程服務(wù)器的國(guó)家和 ASN

-在 root 設(shè)備上，在其他 VPN 應(yīng)用程序運(yùn)行時(shí)捕獲流量

PCAPdroid抓包教程

1、實(shí)時(shí)抓包

顯示為就緒狀態(tài)后，點(diǎn)擊就緒或上面的開(kāi)始按鈕:arrow_forward:便可開(kāi)始捕獲，之后到連接頁(yè)面可以實(shí)時(shí)查看所有的連接：

不難發(fā)現(xiàn)，這些連接會(huì)標(biāo)注是哪些APP進(jìn)程產(chǎn)生，并顯示目的域名、協(xié)議、端口，以及連接狀態(tài)等基本信息。

1）過(guò)濾特定目標(biāo)

左圖通過(guò)搜索框過(guò)濾特定目標(biāo)主機(jī)，可以看到這些連接目前已經(jīng)是關(guān)閉狀態(tài)(CLOSED)，因?yàn)橛玫氖嵌踢B接場(chǎng)景；任意點(diǎn)選一個(gè)連接可以看到概覽信息，包括連接持續(xù)時(shí)間，訪問(wèn)的URL、協(xié)議、進(jìn)程APP和進(jìn)程ID，以及產(chǎn)生的流量大小和載荷長(zhǎng)度：

2）查看HTTP請(qǐng)求和載荷

此外，HTTP以及載荷選項(xiàng)可以清晰看到這條TCP連接，所請(qǐng)求的內(nèi)容和響應(yīng)的內(nèi)容：

這些文本可以任意復(fù)制或?qū)С觥?/p>

甚至可以顯示為十六進(jìn)制格式，點(diǎn)擊右上角的格式轉(zhuǎn)換即可，如右圖所示：

2、保存為PCAjpg格式進(jìn)行分析

1）解鎖并啟用PCAjpg格式轉(zhuǎn)儲(chǔ)選項(xiàng)

存儲(chǔ)為PCAjpg格式，付費(fèi)后解鎖的功能，目前價(jià)格是13港幣即可解鎖，并且解鎖后允許進(jìn)行TLS解密，在設(shè)置里面勾選即可：

2）設(shè)置數(shù)據(jù)包轉(zhuǎn)儲(chǔ)

數(shù)據(jù)包轉(zhuǎn)儲(chǔ)分為三類：

HTTP服務(wù)器轉(zhuǎn)儲(chǔ)：安卓將會(huì)啟動(dòng)一個(gè)HTTP服務(wù)，提供PCAP包的下載；

PCAP文件：直接以PCAP格式文件存儲(chǔ)到手機(jī)；

UDP導(dǎo)出器：發(fā)送PCAP文件到一個(gè)遠(yuǎn)程UDP接收器。

沒(méi)有特殊需求，最直截了當(dāng)?shù)姆绞浇ㄗh選擇第二種。

3）實(shí)時(shí)抓包并保存為pcajpg格式

以第二種轉(zhuǎn)儲(chǔ)方式為例，點(diǎn)擊就緒進(jìn)行抓包，會(huì)以時(shí)間格式對(duì)數(shù)據(jù)包文件進(jìn)行命名：

之后暫停抓包，在文件管理器里找到我們轉(zhuǎn)儲(chǔ)的抓包文件：

導(dǎo)出到電腦上使用wireshark打開(kāi)看看

打開(kāi)后是標(biāo)準(zhǔn)的數(shù)據(jù)包格式和完整交互的報(bào)文，包括TCP握手、DNS查詢、TLS握手等，到這一步幾乎已經(jīng)秒殺目前市面上所有的安卓端抓包軟件。

ICMP和UDP也能全部捕獲到

4）wireshark安裝lua插件顯示APP名稱

可選項(xiàng)，官方提供了一個(gè)lua腳本，在wireshark中啟用此腳本后，可以看到每一個(gè)數(shù)據(jù)幀對(duì)應(yīng)的進(jìn)程APP是誰(shuí)

前提：

①開(kāi)啟了PCAPdroid Trailer選項(xiàng)，并禁用了PCAjpg格式（禁用PCAjpg格式依然不影響你轉(zhuǎn)儲(chǔ)PCAP格式文件）：

3、解密https/tls報(bào)文

解密HTTPS/TLS報(bào)文，前提需要安裝一個(gè)附加組件，并且使用這個(gè)附加組件來(lái)啟動(dòng)app。

1）安裝PCAPdroid-mitm

在設(shè)置頁(yè)面勾選TLS解密，點(diǎn)擊下一步會(huì)提示你如何安裝附加組件：

2）導(dǎo)出并安裝CA證書

PCAPdroid mitm使用mitmproxy代理TLS會(huì)話，因此需要導(dǎo)出PCAPdroid mitmproxy的CA證書，并且在安卓系統(tǒng)設(shè)置里安裝證書，證書名稱任意

3）啟用TLS解密功能

安裝完畢后，使用PCAPdroid mitm打開(kāi)PCAPdropid，在設(shè)置里便可成功勾選啟用TLS解密功能：

PCAPdroid查ip方法

1、進(jìn)入連接頁(yè)面點(diǎn)擊要查看的應(yīng)用程序的ip活躍連接

2、然后就可以看到ip地址了

常見(jiàn)問(wèn)題

1、客戶端不信任代理的證書，如何修復(fù)？

對(duì)于大多數(shù)應(yīng)用程序，您需要已 root 的設(shè)備才能成功解密 TLS 流量。

2、如何從應(yīng)用程序中提取URL？

您可以點(diǎn)擊 HTTP 連接來(lái)顯示其詳細(xì)信息，其中包括請(qǐng)求的 URL。但是，大多數(shù)應(yīng)用程序都使用 HTTPS，在這種情況下，需要通過(guò)中間人攻擊 (MITM) 解密連接才能提取 URL。有關(guān)詳細(xì)信息，請(qǐng)參閱 TLS 解密部分 。如果應(yīng)用程序提供網(wǎng)頁(yè)版，則無(wú)需解密連接，而是更輕松地在 PC 上的瀏覽器中打開(kāi)應(yīng)用程序，并通過(guò)瀏覽器開(kāi)發(fā)者工具檢查連接數(shù)據(jù)。

3、為什么要求我創(chuàng)建 VPN？

為了實(shí)現(xiàn)無(wú)需 root 權(quán)限運(yùn)行，該應(yīng)用利用 Android VpnService API 在設(shè)備本身上收集數(shù)據(jù)包。不會(huì)有任何數(shù)據(jù)離開(kāi)設(shè)備。

4、我可以捕獲網(wǎng)絡(luò)中其他設(shè)備的流量嗎？

不可以。app僅捕獲其運(yùn)行的 Android 設(shè)備的流量。

5、為什么我會(huì)看到 IP 為 10.215.173.1/.2 的連接？

10.215.173.1 是創(chuàng)建的虛擬接口的 IP 地址。由于app充當(dāng)代理，因此所有連接都具有此源地址。 10.215.173.2 是 PCAPdroid 用于捕獲 DNS 流量的虛擬 IP 地址。

6、我可以捕獲熱點(diǎn)/網(wǎng)絡(luò)共享流量嗎？

這取決于您的操作系統(tǒng)實(shí)現(xiàn)。通常情況下，沒(méi)有 root 權(quán)限是無(wú)法實(shí)現(xiàn)的。詳細(xì)說(shuō)明請(qǐng)參閱 https://github.com/emanuele-f/PCAPdroid/issues/20。有一種解決方法可以僅捕獲 HTTP/S 流量，即在 Android 手機(jī)上安裝 HTTP 代理，并配置客戶端設(shè)備使用該代理。

7、我連接到 Android 設(shè)備，但未被捕獲

在非 root 模式下，只有出口連接（即由 Android 設(shè)備發(fā)起的連接）會(huì)被路由到 VPNService 并被捕獲。如果您從其他設(shè)備發(fā)起到 LAN 的連接（例如 ping），則此類連接不會(huì)顯示在app中。大多數(shù)網(wǎng)絡(luò)都位于 NAT 或防火墻之后，因此實(shí)際上入口連接只能從設(shè)備連接到您的 LAN。

更新日志

v1.8.6版本

添加TCP導(dǎo)出器轉(zhuǎn)儲(chǔ)模式（pcap-over-ip）

通過(guò)API密鑰實(shí)現(xiàn)無(wú)提示的PCAPdroid捕獲控制