在 Wireshark 上捕獲手機流量

Question

如何在 Wireshark 上捕獲手機流量？

Answer 1

以下是一些建議：

1. 對於 Android 手機，任何網絡：根您的手機，然后在其上安裝 tcpdump。 這個應用程序是一個 tcpdump 包裝器，它將安裝 tcpdump 並使您能夠使用 GUI 開始捕獲。 提示：您需要確保為捕獲提供正確的接口名稱，這會因設備而異，例如-i eth0或-i tiwlan0 - 或使用-i any記錄所有接口

2. 對於 Android 4.0+ 手機： Kismet 的 Android PCAP使用 USB OTG 接口支持數據包捕獲，無需 root。 我還沒有嘗試過這個應用程序，並且對支持的設備類型有一些限制（參見他們的頁面）

3. 對於 Android 手機： tPacketCapture使用 Android VPN 服務來攔截數據包並捕獲它們。 我已經成功使用了這個應用程序，但它似乎也影響了大流量（例如視頻流）的性能

4. 對於 IOS 5+ 設備，任何網絡：iOS 5 添加了一個遠程虛擬接口 (RVI)工具，允許您使用 Mac OS X 數據包跟蹤程序從 iOS 設備捕獲跟蹤。 請參閱 此處了解更多詳細信息

5. 對於所有手機，僅限 wi-fi：將您的Mac或PC設置為無線接入點，然后在計算機上運行 wireshark。

6. 對於所有手機，僅限 Wi-Fi：獲取可以嗅探 Wi-Fi 的捕獲設備。 這也有為您提供 802.11x 標頭的優勢，但您可能會錯過一些數據包

7. 使用 VPN 服務器捕獲：使用 OpenVPN設置您自己的 VPN 服務器相當容易。 然后，您可以通過將移動設備設置為VPN 客戶端並在服務器端捕獲流量來路由您的流量。

Answer 2

除了 rupello 的出色回答之外，還有一個“骯臟”但非常有效的技巧：

對於所有手機，任何（本地）網絡：將您的 PC 設置為移動設備的中間人。

使用Ettercap在您的移動設備和路由器之間進行ARP 欺騙，您的移動設備的所有流量都會出現在 Wireshark 中。 有關設置詳細信息，請參閱本教程

Answer 3

此處未建議的另一個選項是從 Android SDK 在 Android 模擬器中運行您要監控的應用程序。 然后，您可以在同一台機器上使用wireshark 輕松捕獲流量。

這對我來說是最簡單的選擇。

Answer 4

Wireshark + OSX + iOS：

到目前為止的概述很好，但是如果您想要 Wireshark + OSX + iOS 的詳細信息：

• 在您的計算機上安裝 Wireshark
• 通過 USB 數據線將 iOS 設備連接到計算機
• 將 iOS 設備和電腦連接到同一個 WiFi 網絡
• 在 OSX 終端窗口中運行此命令： rvictl -sx其中x是您的 iOS 設備的 UDID。 您可以通過 iTunes 找到您 iOS 設備的 UDID（確保您使用的是 UDID 而不是序列號）。
• 轉到 Wireshark Capture->Options ，出現一個對話框，單擊rvi0行，然后按Start按鈕。

現在您將看到 iOS 設備上的所有網絡流量。 它可能非常壓倒性。 幾個指針：

• 不要將 iOS 與 VPN 一起使用，您無法理解加密流量
• 使用簡單的過濾器來關注有趣的流量
• ip.addr==204.144.14.134查看源或目的地址為 204.144.14.134 的流量
• http僅查看 http 流量

這是一個示例窗口，描述了從 204.144.14.134 下載 pdf 的 TCP 流量：

Answer 5

對於 Android 手機，我使用了 tPacketCapture： https ://play.google.com/store/apps/details?id=jp.co.taosoftware.android.packetcapture&hl=en

這個應用程序是一個救星我在我的 Android 應用程序上調試 SSL/TLS 握手失敗的問題。 嘗試設置臨時網絡，以便我可以在筆記本電腦上使用wireshark。 它對我不起作用。 這個應用程序很快讓我能夠捕獲網絡流量，將其分享到我的 Google Drive 上，這樣我就可以下載到我的筆記本電腦上，然后我可以使用 Wireshark 檢查它！ 太棒了，無需root！

Answer 6

數據包捕獲 Android 應用程序實現了一個記錄 Android 設備上所有網絡流量的 VPN。 您無需在 PC 上設置任何 VPN/代理服務器。 不需要root。 支持 tPacketCapture 不支持的 SSL 解密。 它還包括一個很好的日志查看器。

Answer 7

前提條件： adb 和 wireshark 已安裝在您的計算機上，並且您有一個 root 的 android 設備。

1. 下載tcpdump到 ~/Downloads
2. adb push ~/Downloads/tcpdump /sdcard/
3. adb shell
4. su root
5. mv /sdcard/tcpdump /data/local/
6. cd /data/local/
7. chmod +x tcpdump
8. ./tcpdump -vv -i any -s 0 -w /sdcard/dump.pcap
9. 捕獲足夠的數據包后CTRL+C 。
10. exit
11. exit
12. adb pull /sdcard/dump.pcap ~/Downloads/

現在您可以使用 Wireshark 打開 pcap 文件。

Answer 8

在您的 PC 上安裝 Fiddler 並將其用作 Android 設備上的代理。

來源：http: //www.cantoni.org/2013/11/06/capture-android-web-traffic-fiddler

Answer 9

與使您的 PC 成為無線接入點類似，但更容易的是使用反向網絡共享。 如果你碰巧有一部 HTC 手機，他們在網絡/移動網絡共享設置下有一個很好的反向共享選項，稱為“Internet pass-through”。 它通過您的 PC 路由您的所有流量，您可以在那里運行 Wireshark。

Answer 10

讓您的筆記本電腦成為您手機（任何）的 wifi 熱點並將其連接到互聯網。 使用wireshark在你的wifi接口上嗅探流量。

你會了解很多反隱私的東西！

Answer 11

對於 Android ，我之前使用過 tPacketCapture，但它不適用於流式傳輸視頻的應用程序。 我現在正在使用Shark 。 你需要root才能使用它。

它使用TCPDump （檢查您可以傳遞的參數）並創建一個 Wireshark 可以讀取的pcap 文件。 默認參數通常對我來說已經足夠好了。

Answer 12

作為 Android 的 Wireshark 替代品/伴侶，您可以嘗試我的開源應用PCAPdroid 。 在非 root 設備上，它使用 VPNService 來捕獲流量，但有一些限制。 在有根設備上，它就像一個用戶友好的 tcpdump 一樣工作。

您可以將連接和數據包負載直接分析到應用程序中，或者以 PCAP 格式導出流量，以便使用 Wireshark 在 PC 上進行分析。 它還有許多其他很酷的功能，試試吧！

Answer 13

我遇到了一個類似的問題，這激發了我開發一個可以幫助從 Android 設備捕獲流量的應用程序。 該應用程序具有 SSH 服務器，可讓您在 Wireshark 中即時獲取流量（ sshdump wireshark 組件）。 由於該應用程序使用稱為 VPNService 的操作系統功能來捕獲流量，因此不需要 root 訪問權限。

該應用程序處於早期測試階段。 如果您有任何問題/建議，請隨時告訴我。

從 Play 下載

您可以在其中閱讀更多詳細信息的教程

Answer 14

對於 iOS 設備：

⦿ 打開終端並簡單地寫：

rvictl -s udid

它會在 Wireshark 上打開一個帶有名稱的界面，在我的例子中是 rvi0。

udid 是 iPhone 的唯一設備 ID。

（如何找到我的 iOS 設備 UDID）