PCAPdroid

PCAPdroid是一款专业的开源数据分析工具，为用户提供便捷的抓包功能，助力用户更顺畅地在线抓包，轻松完成数据捕获。作为专业的数据分析工具，它具备实时流量监控、HTTP/TLS解密、DNS查询提取以及防火墙规则配置等功能，旨在为用户打造更高效的管理服务。

PCAPdroid抓包教程

实时抓包

当状态显示为就绪后，点击就绪按钮或者上方的开始按钮:arrow_forward:就能启动捕获功能，随后进入连接页面即可实时查看所有连接情况。

不难看出，这些连接会标明由哪些进程生成，同时展示目标域名、协议、端口以及连接状态等基础信息。

过滤特定目标

左图借助搜索框筛选特定目标主机后，能发现这些连接当前处于关闭状态（CLOSED），这是由于使用的是短连接场景；随意选中一个连接，可查看其概览信息，涵盖连接持续时长、访问的URL、协议、进程及进程ID，还有产生的流量大小与载荷长度。

查看HTTP请求和载荷

此外，通过HTTP协议以及载荷选项，能够清晰地查看这条TCP连接所请求的内容和对应的响应内容。

这些文本可以任意复制或导出。

甚至还能以十六进制格式展示，点击右上角的格式转换按钮就行，就像右图呈现的那样：

保存为PCAPNG格式进行分析

解锁并启用PCAPNG格式转储选项

可以存储为PCAPNG格式，该功能需付费解锁，当前解锁价格为13港币；解锁后支持TLS解密，在设置界面勾选对应选项即可启用。

设置数据包转储

数据包转储分为三类：

HTTP服务器转储：安卓将会启动一个HTTP服务，提供PCAP包的；

PCAP文件：直接以PCAP格式文件存储到手机；

UDP导出器：将PCAP文件发送至远程UDP接收器。

没有特殊需求，最直截了当的方式建议选择第二种。

实时抓包并保存为pcapng格式

以第二种转储方式为例，点击“就绪”开始抓包后，系统会按照时间格式对生成的数据包文件进行命名。

之后先暂停抓包操作，再到文件管理器中找到我们之前转储保存的抓包文件。

导出到电脑上使用wireshark打开看看

打开后呈现的是标准数据包格式与完整交互报文，涵盖TCP握手、DNS查询、TLS握手等内容，仅这一步就几乎超越了当前市面上所有的安卓端抓包软件。

ICMP和UDP也能全部捕获到

wireshark安装lua插件显示名称

可选项，还提供了一个lua脚本，在wireshark中启用该脚本后，就能查看每个数据帧对应的进程信息。

前提：

①开启PCAPdroid的Trailer选项，同时禁用PCAPNG格式（即便禁用PCAPNG格式，也不会影响你转储PCAP格式的文件）：

解密https/tls报文

要解密HTTPS/TLS报文，需要先安装一个附加组件，并且通过该附加组件来启动相关功能。

安装PCAPdroid-mitm

在设置界面勾选TLS解密选项后，点击下一步按钮，系统会提示你安装附加组件的具体步骤。

导出并安装CA证书

PCAPdroid mitm借助mitmproxy来代理TLS会话，所以要导出PCAPdroid mitmproxy的CA证书，还要在安卓系统设置中安装该证书，证书的名称可以自行设定。

启用TLS解密功能

安装完成后，打开PCAPdroid mitm并进入PCAPdroid，在设置界面中就能顺利勾选启用TLS解密功能。

PCAPdroid查ip方法

进入连接页面点击要查看的应用程序的ip活跃连接

然后就可以看到ip地址了

PCAPdroid应用功能

可以实时呈现当前设备上的全部网络活动，涵盖HTTP、HTTPS等协议的数据包。

提供详尽的数据包信息展示界面，配备多种筛选条件，助力用户精准聚焦于自身关注的流量板块。

支持把捕获到的数据包导出成标准的PCAP或者PCAPNG格式文件。

常见问题

客户端不信任代理的证书，如何修复？

对于大部分应用程序而言，要顺利解密TLS流量，您的设备需要先完成root操作。

如何从应用程序中提取URL？

您可以点击HTTP连接查看其详细信息，其中包含请求的URL。不过，多数应用会采用HTTPS，此时需借助中间人攻击（MITM）解密连接才能提取URL，具体可参考TLS解密部分。若应用有网页版本，则无需解密连接，直接在电脑浏览器中打开该应用，通过浏览器开发者工具就能更便捷地查看连接数据。

为什么要求我创建 VPN？

为了能在不获取 root 权限的情况下运行，这款应用借助 Android VpnService API 在设备本地收集数据包，所有数据都不会离开设备。

我可以捕获网络中其他设备的流量吗？

不可以，它只能捕获其运行所在的Android设备的流量。

为什么我会看到 IP 为 10.215.173.1 和 10.215.173.2 的连接呢？

215.173.1 是所创建虚拟接口的 IP 地址。因为它起到代理的作用，所以所有连接的源地址都是这个。10.215.173.2 则是 PCAPdroid 用来捕获 DNS 流量的虚拟 IP 地址。

我可以捕获热点/网络共享流量吗？

这取决于您所用操作系统的具体实现方式。一般来说，若没有 root 权限，该操作是无法完成的。关于详细情况，您可以参考链接：https://github.com/emanuele-f/PCAPdroid/issues/20。不过存在一种替代方案，能够仅对 HTTP/S 流量进行捕获，具体做法是在 Android 设备上安装 HTTP 代理，然后将客户端设备的网络设置配置为使用该代理。

我连接到 Android 设备，但未被捕获

在非root模式下，仅由Android设备主动发起的出口连接会被路由至VPNService并被捕获。若从其他设备向局域网发起连接（比如ping操作），这类连接不会在其中显示。由于多数网络处于NAT或防火墙之后，实际能进入的连接仅限设备连接到您的局域网的情况。