PCAPdroid  v1.8.6

PCAPdroid是一款专业的开源数据分析工具，为用户提供便捷的抓包功能，让用户能够更顺畅地在线抓包，轻松完成数据捕获。它具备实时流量监控、HTTP/TLS解密、DNS查询提取以及防火墙规则配置等实用功能，助力用户实现更高效的管理服务。

PCAPdroid抓包教程

1、实时抓包

显示为就绪状态后，点击就绪或上面的开始按钮:arrow_forward:便可开始捕获，之后到连接页面可以实时查看所有的连接：

我们很容易发现，这些连接会标注出具体是由哪些进程生成的，同时还会展示目的域名、协议类型、端口号以及连接状态等基础信息。

1）过滤特定目标

左图借助搜索框筛选特定的目标主机，能够发现这些连接当前处于关闭状态（CLOSED），这是由于采用的是短连接场景；随意选取一个连接就能查看概览信息，涵盖连接持续时长、访问的URL、协议、进程与进程ID，还有产生的流量规模和载荷长度。

2）查看HTTP请求和载荷

此外，借助HTTP以及载荷选项，能够清晰查看这条TCP连接所对应的请求内容与响应内容。

这些文本可以任意复制或导出。

甚至可以显示为十六进制格式，点击右上角的格式转换即可，如右图所示：

2、保存为PCAPNG格式进行分析

1）解锁并启用PCAPNG格式转储选项

存储为PCAPNG格式，付费后解锁的功能，目前价格是13港币即可解锁，并且解锁后允许进行TLS解密，在设置里面勾选即可：

2）设置数据包转储

数据包转储分为三类：

HTTP服务器转储：安卓将会启动一个HTTP服务，提供PCAP包的；

PCAP文件：直接以PCAP格式文件存储到手机；

UDP导出器：发送PCAP文件到一个远程UDP接收器。

没有特殊需求，最直截了当的方式建议选择第二种。

3）实时抓包并保存为pcapng格式

以第二种转储方式为例，点击就绪进行抓包，会以时间格式对数据包文件进行命名：

之后暂停抓包，在文件管理器里找到我们转储的抓包文件：

导出到电脑上使用wireshark打开看看

打开后呈现的是标准数据包格式与完整交互报文，涵盖TCP握手、DNS查询、TLS握手等内容，仅这一点就几乎超越了当前市面上所有的安卓端抓包软件。

ICMP和UDP也能全部捕获到

4）wireshark安装lua插件显示名称

可选项，提供了一个lua脚本，在wireshark中启用此脚本后，可以看到每一个数据帧对应的进程是谁

前提：

①开启了PCAPdroid Trailer选项，并禁用了PCAPNG格式（禁用PCAPNG格式依然不影响你转储PCAP格式文件）：

3、解密https/tls报文

解密HTTPS/TLS报文，前提需要安装一个附加组件，并且使用这个附加组件来启动。

1）安装PCAPdroid-mitm

在设置页面勾选TLS解密，点击下一步会提示你如何安装附加组件：

2）导出并安装CA证书

PCAPdroid mitm使用mitmproxy代理TLS会话，因此需要导出PCAPdroid mitmproxy的CA证书，并且在安卓系统设置里安装证书，证书名称任意

3）启用TLS解密功能

安装完成后，打开PCAPdroid mitm，接着启动PCAPdropid，进入设置界面就能顺利勾选开启TLS解密功能了。

PCAPdroid查ip方法

1、进入连接页面点击要查看的应用程序的ip活跃连接

2、然后就可以看到ip地址了

PCAPdroid应用功能

1、能够实时显示当前设备上的所有网络活动，包括HTTP、HTTPS等协议的数据包。

2、提供详尽的数据包信息展示界面，配备多种筛选条件，助力用户聚焦于自身关注的流量环节。

3、支持将捕获到的数据包导出为标准的PCAP或PCAPNG格式文件。

常见问题

1、客户端不信任代理的证书，如何修复？

对于大部分应用程序而言，要顺利解密TLS流量，您的设备需要先完成root操作。

2、如何从应用程序中提取URL？

您可以点击 HTTP 连接来显示其详细信息，其中包括请求的 URL。但是，大多数应用程序都使用 HTTPS，在这种情况下，需要通过中间人攻击 (MITM) 解密连接才能提取 URL。有关详细信息，请参阅 TLS 解密部分 。如果应用程序提供网页版，则无需解密连接，而是更轻松地在 PC 上的浏览器中打开应用程序，并通过浏览器开发者工具检查连接数据。

3、为什么要求我创建 VPN？

为了实现无需 root 权限运行，该应用利用 Android VpnService API 在设备本身上收集数据包。不会有任何数据离开设备。

4、我可以捕获网络中其他设备的流量吗？

不可以。仅捕获其运行的 Android 设备的流量。

5、为什么我会看到 IP 为 10.215.173.1/.2 的连接？

10.215.173.1 是创建的虚拟接口的 IP 地址。由于充当代理，因此所有连接都具有此源地址。 10.215.173.2 是 PCAPdroid 用于捕获 DNS 流量的虚拟 IP 地址。

6、我可以捕获热点/网络共享流量吗？

这取决于您的操作系统实现。通常情况下，没有 root 权限是无法实现的。详细说明请参阅 https://github.com/emanuele-f/PCAPdroid/issues/20。有一种解决方法可以仅捕获 HTTP/S 流量，即在 Android 手机上安装 HTTP 代理，并配置客户端设备使用该代理。

7、我连接到 Android 设备，但未被捕获

在非root模式下，仅由Android设备主动发起的出口连接才会被路由至VPNService并被捕获。若从其他设备向局域网发起连接（比如ping操作），这类连接不会在其中显示。由于多数网络处于NAT或防火墙之后，所以实际上只有设备连接到您的局域网时才会产生入口连接。

详细信息

• 文件大小：14.06MB
• 当前版本： v1.8.6
• 厂商：暂无
• 语言： 中文