PCAPdroid抓包工具是一款面向安卓设备的网络分析辅助工具,旨在帮助用户了解设备的网络连接状态。该应用通过合法合规的方式,提供网络流量的可视化展示,便于用户掌握已授权应用的通信行为,提升对个人信息安全的认知。
PCAPdroid是一款专为安卓设备设计的网络流量分析辅助工具,无需 ROOT 权限即可运行,操作便捷且功能实用。它通过系统级 VPN 机制实现对设备网络连接的可视化管理,帮助用户实时查看已安装应用的网络请求行为,包括域名访问、IP 连接及协议类型等信息。
软件支持生成标准格式的 PCAP 日志文件,可导出至本地并兼容 Wireshark 等主流分析工具,便于深入排查网络问题或进行技术学习。内置应用过滤、域名解析、流量统计等功能,界面简洁直观,用户可轻松定位特定应用的通信行为,识别异常连接,提升对数据传输过程的认知。
PCAPdroid适用于开发者调试应用通信、网络技术人员进行故障排查,以及对网络安全感兴趣的用户进行合法合规的技术研究。我们提醒所有用户:请在法律法规允许的范围内,仅对本人拥有管理权限的设备和网络进行监测,杜绝任何侵犯他人隐私或非法获取数据的行为。倡导安全、合规、负责任的技术使用——PCAPdroid,助力提升移动网络透明度与安全意识。
1、实时抓包
显示为就绪状态后,点击就绪或上面的开始按钮:arrow_forward:便可开始捕获,之后到连接页面可以实时查看所有的连接:
不难发现,这些连接会标注是哪些APP进程产生,并显示目的域名、协议、端口,以及连接状态等基本信息。
1)过滤特定目标
左图通过搜索框过滤特定目标主机,可以看到这些连接目前已经是关闭状态(CLOSED),因为用的是短连接场景;任意点选一个连接可以看到概览信息,包括连接持续时间,访问的URL、协议、进程APP和进程ID,以及产生的流量大小和载荷长度:
2)查看HTTP请求和载荷
此外,HTTP以及载荷选项可以清晰看到这条TCP连接,所请求的内容和响应的内容:
这些文本可以任意复制或导出。
甚至可以显示为十六进制格式,点击右上角的格式转换即可,如右图所示:
2、保存为PCAPNG格式进行分析
1)解锁并启用PCAPNG格式转储选项
存储为PCAPNG格式,付费后解锁的功能,目前价格是13港币即可解锁,并且解锁后允许进行TLS解密,在设置里面勾选即可:
2)设置数据包转储
数据包转储分为三类:
HTTP服务器转储:安卓将会启动一个HTTP服务,提供PCAP包的下载;
PCAP文件:直接以PCAP格式文件存储到手机;
UDP导出器:发送PCAP文件到一个远程UDP接收器。
没有特殊需求,最直截了当的方式建议选择第二种。
3)实时抓包并保存为pcapng格式
以第二种转储方式为例,点击就绪进行抓包,会以时间格式对数据包文件进行命名:
之后暂停抓包,在文件管理器里找到我们转储的抓包文件:
导出到电脑上使用wireshark打开看看
打开后是标准的数据包格式和完整交互的报文,包括TCP握手、DNS查询、TLS握手等,到这一步几乎已经秒杀目前市面上所有的安卓端抓包软件。
ICMP和UDP也能全部捕获到
4)wireshark安装lua插件显示APP名称
可选项,官方提供了一个lua脚本,在wireshark中启用此脚本后,可以看到每一个数据帧对应的进程APP是谁
前提:
①开启了PCAPdroid Trailer选项,并禁用了PCAPNG格式(禁用PCAPNG格式依然不影响你转储PCAP格式文件):
3、解密https/tls报文
解密HTTPS/TLS报文,前提需要安装一个附加组件,并且使用这个附加组件来启动app。
1)安装PCAPdroid-mitm
在设置页面勾选TLS解密,点击下一步会提示你如何安装附加组件:
2)导出并安装CA证书
PCAPdroid mitm使用mitmproxy代理TLS会话,因此需要导出PCAPdroid mitmproxy的CA证书,并且在安卓系统设置里安装证书,证书名称任意
3)启用TLS解密功能
安装完毕后,使用PCAPdroid mitm打开PCAPdropid,在设置里便可成功勾选启用TLS解密功能:
1、进入连接页面点击要查看的应用程序的ip活跃连接
2、然后就可以看到ip地址了
PCAPdroid 是一款开源的网络分析工具,不涉及“开户”概念,软件无需注册账号,下载安装后即可直接使用。
打开应用后,按提示授予“VPN服务”权限以启用抓包功能,首次使用时,系统会引导您建立本地连接,此为数据捕获通道,非网络账户,所有操作均在本地设备完成,不上传任何数据至服务器,无账号体系,不存在登录、充值或会员机制,功能完全免费,高级功能(如PCAPNG导出)也无需订阅或激活。
热门评论
最新评论