PCAPdroid

PCAPdroid是一款开源的网络数据包捕获与分析工具，专门针对安卓设备打造。它的核心功能包括实时流量监控、协议解析、流量导出以及安全分析，无论是开发者、安全研究员，还是普通用户，都能借助它进行网络调试与隐私保护。该工具通过模拟VPN机制巧妙绕过系统权限限制，无需Root权限就能捕获设备流量，在大多数安卓设备上都能良好兼容。它支持对TCP、UDP、IP、HTTP等常见协议的数据包进行捕获，并且可以提取SNI、DNS查询、HTTP URL以及远程IP地址等关键信息。

PCAPdroid功能特色

-对用户与系统应用程序所建立的连接进行记录与检查

- 获取SNI、DNS查询信息、HTTP URL以及远程IP地址

- 利用解码器对HTTP请求与回复进行检查

- 对完整连接的有效负载进行检查，以十六进制转储或文本形式呈现，并将其导出。

-对HTTPS/TLS流量进行解密操作，并导出SSLKEYLOGFILE

- 把流量转存至PCAP文件，来源为浏览器；或者将其以流的形式传输到远程接收器，以便开展实时分析（比如，使用wireshark）

-制定规则以筛除正常流量，从而能够便捷地察觉异常状况

-借助离线数据库来查找并识别远程服务器所在的国家以及 ASN 。

- 在已获取root权限的设备上，当其他VPN应用程序处于运行状态时进行流量捕获

PCAPdroid抓包教程

1、实时抓包

当显示为就绪状态时，点击“就绪”按钮或者其上方的“开始”按钮:arrow_forward:，就能开始捕获。随后在连接页面，可实时查看所有连接。

可以轻易发现，这些连接会标明是由哪些进程生成的，同时展示目的域名、协议、端口以及连接状态等基础信息。

1)过滤特定目标

在左图中，借助搜索框对特定目标主机进行过滤后，能够发现这些连接当前处于关闭状态（CLOSED），原因在于采用的是短连接场景。随意点击选择其中一个连接，便可以查看概览信息，这些信息涵盖连接持续时间、所访问的URL、协议、进程与进程ID，还有产生的流量大小以及载荷长度。

2) 对HTTP请求及载荷进行查看

此外，通过HTTP以及载荷选项，能够清楚地看到这条TCP连接所请求的内容和响应的内容。

这些文本能够随意进行复制或者导出操作。

甚至能以十六进制格式显示，点击右上角的格式转换按钮就行，具体如右图所示。

2. 以PCAPNG格式保存以便开展分析

1. 解锁PCAPNG格式转储选项并将其启用

此功能需付费解锁，解锁后可将其存储为PCAPNG格式，并允许在设置中勾选进行TLS解密，当前解锁价格为13港币。

2)设置数据包转储

数据包转储可划分为三类：

HTTP服务器转储信息：安卓即将开启一个HTTP服务，此服务用于提供PCAP包。

PCAP文件：以PCAP格式文件的形式直接存储至手机。

UDP导出器的功能是把PCAP文件发送至一个远程的UDP接收器。

若没有特殊需求，建议直接选择第二种方式，这是最为直截了当的。

3）实时进行抓包操作，并将抓包结果保存为pcapng格式

以第二种转储方式来说，点击“就绪”开始抓包，数据包文件将按照时间格式来命名。

随后暂停抓包操作，在文件管理器当中找寻我们所转储的抓包文件：

导出至电脑，接着用wireshark打开查看。

打开之后呈现出标准的数据包格式以及具备完整交互的报文，涵盖TCP握手、DNS查询、TLS握手等内容。仅这一步，就几乎超越了当下市面上绝大多数安卓端抓包软件。

ICMP与UDP同样都能够被全部捕获到。

4) Wireshark 安装 Lua 插件时的显示名称

这里有个可选项，它提供了一个lua脚本。在wireshark里启用这个脚本后，就能知晓每个数据帧所对应的进程是哪个。

前提：

①已开启PCAPdroid Trailer选项，同时禁用了PCAPNG格式（即便禁用PCAPNG格式，也不会对转储PCAP格式文件造成影响）：

3、对https/tls报文进行解密

要解密HTTPS/TLS报文，首先得安装一个附加组件，随后借助该附加组件来启动。

1. 安装PCAPdroid - mitm

在设置页面勾选“TLS解密”，点击“下一步”，系统会提示您如何安装附加组件。

2）进行CA证书的导出及安装操作

PCAPdroid mitm借助mitmproxy代理TLS会话，所以要导出PCAPdroid mitmproxy的CA证书，并在安卓系统设置中安装该证书，证书名称可自行设定。

3）开启TLS解密功能

安装完成后，通过PCAPdroid mitm打开PCAPdropid，在设置中就能成功勾选启用TLS解密功能。

PCAPdroid查ip方法

1. 进入连接页面，点击想要查看的应用程序的IP活跃连接。

2、接下来便能看到IP地址了。

PCAPdroid常见问题

1. 若客户端不信任代理证书，该如何修复？

在多数应用程序的场景下，要成功解密TLS流量，您需要拥有已root的设备。

2. 怎样从应用程序里提取URL？

您能够点击HTTP连接，以此显示其详细信息，这些信息里包含请求的URL 。不过，大部分应用程序采用的是HTTPS，在此情形下，要提取URL就需要借助中间人攻击（MITM）对连接进行解密。若想了解详细内容，可查看TLS解密部分。要是应用程序有网页版本，就无需对连接进行解密，而是在PC浏览器中更便捷地打开应用程序，通过浏览器开发者工具来查看连接数据。

3、为何要求我创建VPN呢？

为达成无需获取root权限即可运行的目的，这款应用借助Android VpnService API在设备自身上采集数据包。在此过程中，不会有任何数据流出设备。

4、我能否捕获网络中其他设备的流量呢？

不行。仅抓取其运行所在的Android设备的流量。

5、为何我会看到IP为10.215.173.1/.2的连接呢？

10.215.173.1 为所创建虚拟接口的IP地址。因其充当代理，故而所有连接的源地址均为此IP。10.215.173.2 则是PCAPdroid 用以捕获DNS流量的虚拟IP地址。

6、我能够捕获热点或者网络共享流量吗？

这得看您的操作系统具体实现方式。一般而言，要是没有root权限，是没办法达成的。若想了解详细说明，可查阅https://github.com/emanuele-f/PCAPdroid/issues/20 。有一种办法能做到仅捕获HTTP/S流量，那就是在Android手机上安装HTTP代理，同时配置客户端设备使用此代理。

7、我已连接至Android设备，然而并未被捕捉到。

在非root模式下，仅有出口连接（也就是由Android设备主动发起的连接）会被路由至VPNService并被捕获。要是您从别的设备发起到LAN的连接（比如ping操作），这类连接不会显示在其中。由于大多数网络都处于NAT或防火墙之后，所以实际上入口连接仅能从设备连接到您的LAN。

更新日志

v1.8.6版本

新增TCP导出器转储模式（pcap - over - ip）

借助API密钥达成无提示的PCAPdroid捕获操控

小编点评：

**优势**

1. **界面友好**：整体设计简洁且直观，就算是对网络分析不太熟悉的用户，也能够迅速上手操作。

2. **功能强大**：具备实时流量监控、协议解析以及流量导出等关键功能，能够充分满足各种多样化的需求。

3. **隐私安全**：数据都在本地进行处理，有效避免了隐私信息泄露的风险。

4. **开源免费**：用户能够自由地使用、修改以及扩展相关代码。

**不足**

1. **HTTPS解密配置复杂**：需要与mitmproxy插件配合使用，并且要手动安装CA证书，这对于普通用户而言，存在一定的技术门槛。