PCAPdroid

PCAPdroid是一款专业的开源数据分析工具，为用户提供便捷的抓包功能，助力用户更顺畅地在线抓包，轻松完成数据捕获。作为专业的数据分析工具，它涵盖实时流量监控、HTTP/TLS解密、DNS查询提取以及防火墙规则配置等功能，旨在为用户打造更高效的管理服务。

PCAPdroid抓包教程

1、即时数据包捕获

显示为就绪状态后，点击就绪或上面的开始按钮:arrow_forward:便可开始捕获，之后到连接页面可以实时查看所有的连接：

不难发现，这些连接会标注是哪些进程产生，并显示目的域名、协议、端口，以及连接状态等基本信息。

1）过滤特定目标

左图通过搜索框过滤特定目标主机，可以看到这些连接目前已经是关闭状态(CLOSED)，因为用的是短连接场景；任意点选一个连接可以看到概览信息，包括连接持续时间，访问的URL、协议、进程和进程ID，以及产生的流量大小和载荷长度：

2）查看HTTP请求和载荷

此外，HTTP以及载荷选项可以清晰看到这条TCP连接，所请求的内容和响应的内容：

这些文本可以任意复制或导出。

甚至可以显示为十六进制格式，点击右上角的格式转换即可，如右图所示：

2、保存为PCAPNG格式进行分析

1）解锁并启用PCAPNG格式转储选项

存储为PCAPNG格式，付费后解锁的功能，目前价格是13港币即可解锁，并且解锁后允许进行TLS解密，在设置里面勾选即可：

2）设置数据包转储

数据包转储分为三类：

HTTP服务器转储：安卓将会启动一个HTTP服务，提供PCAP包的；

PCAP文件：直接以PCAP格式文件存储到手机；

UDP导出器：发送PCAP文件到一个远程UDP接收器。

没有特殊需求，最直截了当的方式建议选择第二种。

3）实时抓包并保存为pcapng格式

以第二种转储方式为例，点击就绪进行抓包，会以时间格式对数据包文件进行命名：

之后暂停抓包，在文件管理器里找到我们转储的抓包文件：

导出到电脑上使用wireshark打开看看

打开后是标准的数据包格式和完整交互的报文，包括TCP握手、DNS查询、TLS握手等，到这一步几乎已经秒杀目前市面上所有的安卓端抓包软件。

ICMP和UDP也能全部捕获到

4）wireshark安装lua插件显示名称

可选项，提供了一个lua脚本，在wireshark中启用此脚本后，可以看到每一个数据帧对应的进程是谁

前提：

①开启了PCAPdroid Trailer选项，并禁用了PCAPNG格式（禁用PCAPNG格式依然不影响你转储PCAP格式文件）：

3、解密https/tls报文

解密HTTPS/TLS报文，前提需要安装一个附加组件，并且使用这个附加组件来启动。

1）安装PCAPdroid-mitm

在设置页面勾选TLS解密，点击下一步会提示你如何安装附加组件：

2）导出并安装CA证书

PCAPdroid mitm使用mitmproxy代理TLS会话，因此需要导出PCAPdroid mitmproxy的CA证书，并且在安卓系统设置里安装证书，证书名称任意

3）启用TLS解密功能

安装完毕后，使用PCAPdroid mitm打开PCAPdropid，在设置里便可成功勾选启用TLS解密功能：

PCAPdroid查ip方法

1、进入连接页面后，点击需要查看的应用程序对应的IP活跃连接项

2、然后就可以看到ip地址了

PCAPdroid应用功能

1、能够实时显示当前设备上的所有网络活动，包括HTTP、HTTPS等协议的数据包。

2、提供详细的包信息视图，支持多种过滤器以帮助用户专注于感兴趣的流量部分。

3、支持将捕获的数据包导出为标准的PCAP或PCAPNG格式文件。

常见问题

1、客户端不信任代理的证书，如何修复？

对于大多数应用程序，您需要已 root 的设备才能成功解密 TLS 流量。

2、如何从应用程序中提取URL？

您可以点击 HTTP 连接来显示其详细信息，其中包括请求的 URL。但是，大多数应用程序都使用 HTTPS，在这种情况下，需要通过中间人攻击 (MITM) 解密连接才能提取 URL。有关详细信息，请参阅 TLS 解密部分 。如果应用程序提供网页版，则无需解密连接，而是更轻松地在 PC 上的浏览器中打开应用程序，并通过浏览器开发者工具检查连接数据。

3、为什么要求我创建 VPN？

为了实现无需 root 权限运行，该应用利用 Android VpnService API 在设备本身上收集数据包。不会有任何数据离开设备。

4、我可以捕获网络中其他设备的流量吗？

不可以。仅捕获其运行的 Android 设备的流量。

5、为什么我会看到 IP 为 10.215.173.1/.2 的连接？

10.215.173.1 是创建的虚拟接口的 IP 地址。由于充当代理，因此所有连接都具有此源地址。 10.215.173.2 是 PCAPdroid 用于捕获 DNS 流量的虚拟 IP 地址。

6、我可以捕获热点/网络共享流量吗？

这取决于您的操作系统实现。通常情况下，没有 root 权限是无法实现的。详细说明请参阅 https://github.com/emanuele-f/PCAPdroid/issues/20。有一种解决方法可以仅捕获 HTTP/S 流量，即在 Android 手机上安装 HTTP 代理，并配置客户端设备使用该代理。

7、我连接到 Android 设备，但未被捕获

在非root模式下，仅有由Android设备主动发起的出口连接才会被路由至VPNService并被捕获。若您从其他设备向局域网发起连接（比如ping操作），这类连接不会在其中显示。由于多数网络处于NAT或防火墙之后，所以实际上只有设备连接到您的局域网时才会产生入口连接。