PCAPdroid是一款專為安卓設(shè)備設(shè)計的開源網(wǎng)絡(luò)數(shù)據(jù)包捕獲與分析工具，也就是常說的抓包工具，其憑借其無Root捕獲、實時監(jiān)控與深度分析能力，成為手機端抓包的利器。該工具通過模擬VPN機制繞過系統(tǒng)權(quán)限限制，無需Root即可捕獲設(shè)備流量，并支持導(dǎo)出為PCAP/PCAjpg格式，兼容Wireshark等主流分析軟件。

PCAPdroid抓包工具的核心功能包括實時流量監(jiān)控、HTTP/TLS解密、DNS查詢提取及防火墻規(guī)則配置，可精準識別異常連接、惡意軟件通信及隱私泄露風(fēng)險。用戶可利用其過濾功能定位特定應(yīng)用或協(xié)議的網(wǎng)絡(luò)行為，優(yōu)化通信性能，還能通過流量分析檢測中間人攻擊、數(shù)據(jù)竊取等威脅。此外，PCAPdroid支持UDP流式傳輸、IP歸屬地離線查詢等高級特性，結(jié)合nDPI協(xié)議分類庫，可實現(xiàn)千種應(yīng)用協(xié)議的智能識別，為移動網(wǎng)絡(luò)環(huán)境提供全鏈路透明化監(jiān)控能力，有需要的用戶可以在本站免費下載使用。

功能特色

-記錄并檢查用戶和系統(tǒng)應(yīng)用程序建立的連接

-提取 SNI、DNS 查詢、HTTP URL 和遠程 IP 地址

-通過內(nèi)置解碼器檢查 HTTP 請求和回復(fù)

-檢查完整連接有效負載作為十六進制轉(zhuǎn)儲/文本并將其導(dǎo)出

-解密 HTTPS/TLS 流量并導(dǎo)出 SSLKEYLOGFILE

-將流量轉(zhuǎn)儲到 PCAP 文件，從瀏覽器下載，或?qū)⑵淞魇絺鬏數(shù)竭h程接收器以進行實時分析（例如，wireshark）

-創(chuàng)建規(guī)則來過濾掉良好的流量并輕松發(fā)現(xiàn)異常情況

-通過離線數(shù)據(jù)庫查找識別遠程服務(wù)器的國家和 ASN

-在 root 設(shè)備上，在其他 VPN 應(yīng)用程序運行時捕獲流量

PCAPdroid抓包教程

1、實時抓包

顯示為就緒狀態(tài)后，點擊就緒或上面的開始按鈕:arrow_forward:便可開始捕獲，之后到連接頁面可以實時查看所有的連接：

不難發(fā)現(xiàn)，這些連接會標注是哪些APP進程產(chǎn)生，并顯示目的域名、協(xié)議、端口，以及連接狀態(tài)等基本信息。

1）過濾特定目標

左圖通過搜索框過濾特定目標主機，可以看到這些連接目前已經(jīng)是關(guān)閉狀態(tài)(CLOSED)，因為用的是短連接場景；任意點選一個連接可以看到概覽信息，包括連接持續(xù)時間，訪問的URL、協(xié)議、進程APP和進程ID，以及產(chǎn)生的流量大小和載荷長度：

2）查看HTTP請求和載荷

此外，HTTP以及載荷選項可以清晰看到這條TCP連接，所請求的內(nèi)容和響應(yīng)的內(nèi)容：

這些文本可以任意復(fù)制或?qū)С觥?/p>

甚至可以顯示為十六進制格式，點擊右上角的格式轉(zhuǎn)換即可，如右圖所示：

2、保存為PCAjpg格式進行分析

1）解鎖并啟用PCAjpg格式轉(zhuǎn)儲選項

存儲為PCAjpg格式，付費后解鎖的功能，目前價格是13港幣即可解鎖，并且解鎖后允許進行TLS解密，在設(shè)置里面勾選即可：

2）設(shè)置數(shù)據(jù)包轉(zhuǎn)儲

數(shù)據(jù)包轉(zhuǎn)儲分為三類：

HTTP服務(wù)器轉(zhuǎn)儲：安卓將會啟動一個HTTP服務(wù)，提供PCAP包的下載；

PCAP文件：直接以PCAP格式文件存儲到手機；

UDP導(dǎo)出器：發(fā)送PCAP文件到一個遠程UDP接收器。

沒有特殊需求，最直截了當(dāng)?shù)姆绞浇ㄗh選擇第二種。

3）實時抓包并保存為pcajpg格式

以第二種轉(zhuǎn)儲方式為例，點擊就緒進行抓包，會以時間格式對數(shù)據(jù)包文件進行命名：

之后暫停抓包，在文件管理器里找到我們轉(zhuǎn)儲的抓包文件：

導(dǎo)出到電腦上使用wireshark打開看看

打開后是標準的數(shù)據(jù)包格式和完整交互的報文，包括TCP握手、DNS查詢、TLS握手等，到這一步幾乎已經(jīng)秒殺目前市面上所有的安卓端抓包軟件。

ICMP和UDP也能全部捕獲到

4）wireshark安裝lua插件顯示APP名稱

可選項，官方提供了一個lua腳本，在wireshark中啟用此腳本后，可以看到每一個數(shù)據(jù)幀對應(yīng)的進程APP是誰

前提：

①開啟了PCAPdroid Trailer選項，并禁用了PCAjpg格式（禁用PCAjpg格式依然不影響你轉(zhuǎn)儲PCAP格式文件）：

3、解密https/tls報文

解密HTTPS/TLS報文，前提需要安裝一個附加組件，并且使用這個附加組件來啟動app。

1）安裝PCAPdroid-mitm

在設(shè)置頁面勾選TLS解密，點擊下一步會提示你如何安裝附加組件：

2）導(dǎo)出并安裝CA證書

PCAPdroid mitm使用mitmproxy代理TLS會話，因此需要導(dǎo)出PCAPdroid mitmproxy的CA證書，并且在安卓系統(tǒng)設(shè)置里安裝證書，證書名稱任意

3）啟用TLS解密功能

安裝完畢后，使用PCAPdroid mitm打開PCAPdropid，在設(shè)置里便可成功勾選啟用TLS解密功能：

PCAPdroid查ip方法

1、進入連接頁面點擊要查看的應(yīng)用程序的ip活躍連接

2、然后就可以看到ip地址了

常見問題

1、客戶端不信任代理的證書，如何修復(fù)？

對于大多數(shù)應(yīng)用程序，您需要已 root 的設(shè)備才能成功解密 TLS 流量。

2、如何從應(yīng)用程序中提取URL？

您可以點擊 HTTP 連接來顯示其詳細信息，其中包括請求的 URL。但是，大多數(shù)應(yīng)用程序都使用 HTTPS，在這種情況下，需要通過中間人攻擊 (MITM) 解密連接才能提取 URL。有關(guān)詳細信息，請參閱 TLS 解密部分 。如果應(yīng)用程序提供網(wǎng)頁版，則無需解密連接，而是更輕松地在 PC 上的瀏覽器中打開應(yīng)用程序，并通過瀏覽器開發(fā)者工具檢查連接數(shù)據(jù)。

3、為什么要求我創(chuàng)建 VPN？

為了實現(xiàn)無需 root 權(quán)限運行，該應(yīng)用利用 Android VpnService API 在設(shè)備本身上收集數(shù)據(jù)包。不會有任何數(shù)據(jù)離開設(shè)備。

4、我可以捕獲網(wǎng)絡(luò)中其他設(shè)備的流量嗎？

不可以。app僅捕獲其運行的 Android 設(shè)備的流量。

5、為什么我會看到 IP 為 10.215.173.1/.2 的連接？

10.215.173.1 是創(chuàng)建的虛擬接口的 IP 地址。由于app充當(dāng)代理，因此所有連接都具有此源地址。 10.215.173.2 是 PCAPdroid 用于捕獲 DNS 流量的虛擬 IP 地址。

6、我可以捕獲熱點/網(wǎng)絡(luò)共享流量嗎？

這取決于您的操作系統(tǒng)實現(xiàn)。通常情況下，沒有 root 權(quán)限是無法實現(xiàn)的。詳細說明請參閱 https://github.com/emanuele-f/PCAPdroid/issues/20。有一種解決方法可以僅捕獲 HTTP/S 流量，即在 Android 手機上安裝 HTTP 代理，并配置客戶端設(shè)備使用該代理。

7、我連接到 Android 設(shè)備，但未被捕獲

在非 root 模式下，只有出口連接（即由 Android 設(shè)備發(fā)起的連接）會被路由到 VPNService 并被捕獲。如果您從其他設(shè)備發(fā)起到 LAN 的連接（例如 ping），則此類連接不會顯示在app中。大多數(shù)網(wǎng)絡(luò)都位于 NAT 或防火墻之后，因此實際上入口連接只能從設(shè)備連接到您的 LAN。

更新日志

v1.8.6版本

添加TCP導(dǎo)出器轉(zhuǎn)儲模式（pcap-over-ip）

通過API密鑰實現(xiàn)無提示的PCAPdroid捕獲控制