这是一个创建于 2991 天前的主题,其中的信息可能已经有所发展或是发生改变。
开发 APP 的过程中肯定有很多抓包需求,相信大家目前用的不外乎 Fiddler/Charles/AnyProxy 等等,土豪用 Surge ?
除了 Surge ,都是代理模型,首先开启一个代理服务(即抓包软件本体),然后在设备上设置代理。最后开启 APP ,访问网站,到电脑上查看请求和回应。
为什么没有一个更优雅的方式呢?
1. 在 router/switch 上抓包( tcpdump ),或者做端口镜像然后在某个 server 上抓包。
2. 实时解析抓到的流量,然后在一个 web 上展示。可以根据简单的条件过滤。
主要问题:
1. 实时 decoding 需要其他工具支持(例如 packetbeat 可以完成 http 的抓取和存储,展示再想办法)
2. SSL 的问题(我们自己的服务器,当然有 private key ,理论上是可以解密的)
目前现有的工具来说, wireshark 是唯一比较完美的解决方案:可以实时抓包,实时显示,实时过滤,并且实时解密 ssl (只要你有 server private key )。但是如何将 wireshark web 化?
看了一下 wireshark 的 command line 版也支持很丰富的功能。但是尚未找到正确姿势。
大家有什么想法?(不局限于 wireshark ,其实 packetbeat 就是很好的工具,但是不支持 https ……)
除了 Surge ,都是代理模型,首先开启一个代理服务(即抓包软件本体),然后在设备上设置代理。最后开启 APP ,访问网站,到电脑上查看请求和回应。
为什么没有一个更优雅的方式呢?
1. 在 router/switch 上抓包( tcpdump ),或者做端口镜像然后在某个 server 上抓包。
2. 实时解析抓到的流量,然后在一个 web 上展示。可以根据简单的条件过滤。
主要问题:
1. 实时 decoding 需要其他工具支持(例如 packetbeat 可以完成 http 的抓取和存储,展示再想办法)
2. SSL 的问题(我们自己的服务器,当然有 private key ,理论上是可以解密的)
目前现有的工具来说, wireshark 是唯一比较完美的解决方案:可以实时抓包,实时显示,实时过滤,并且实时解密 ssl (只要你有 server private key )。但是如何将 wireshark web 化?
看了一下 wireshark 的 command line 版也支持很丰富的功能。但是尚未找到正确姿势。
大家有什么想法?(不局限于 wireshark ,其实 packetbeat 就是很好的工具,但是不支持 https ……)
第 1 条附言 · 2016-08-31 14:19:25 +08:00
可能是我描述的有些问题。
我的目的是:
1. 客户端完全无感知。
2. 方便查看,过滤,分享。
其中 1 是很容易实现的,特别是有网关的控制权限情况下(或者通过特定的热点,也不是不行)。 2 目前没有发现相关的工具,举 wireshark 的例子是为了说明它的实时解码以及 https(ssl) decrypt 能力很难自己实现。
如果用过 AnyProxy 的话,其实 AnyProxy 的 Web Console 已经基本符合需求了。但是还是需要客户端设置代理来抓包。
也就是说,想要 tcpdump + anyproxy webconsole 的组合体。
其实这里面有一个非常难的点,就是 https …… 如果一是 DHE 等算法交换的动态密钥即使是有 server privite key 也没有办法解密……
我的目的是:
1. 客户端完全无感知。
2. 方便查看,过滤,分享。
其中 1 是很容易实现的,特别是有网关的控制权限情况下(或者通过特定的热点,也不是不行)。 2 目前没有发现相关的工具,举 wireshark 的例子是为了说明它的实时解码以及 https(ssl) decrypt 能力很难自己实现。
如果用过 AnyProxy 的话,其实 AnyProxy 的 Web Console 已经基本符合需求了。但是还是需要客户端设置代理来抓包。
也就是说,想要 tcpdump + anyproxy webconsole 的组合体。
其实这里面有一个非常难的点,就是 https …… 如果一是 DHE 等算法交换的动态密钥即使是有 server privite key 也没有办法解密……
 |
1
icebergSnow 2016-08-31 12:34:24 +08:00
wireshark + tcpdump 不好用???
ssh root@HOST tcpdump -U -s0 -w - 'not port 22' | wireshark -k -i - Fiddler/Burp 也不麻烦吧??哪里不优雅了,对于 web 抓包然后展示来说。还能修改数据包呢。 web 抓包然后展示来说这种肯定麻烦多了 |
|
2
icebergSnow 2016-08-31 12:38:46 +08:00
给你一个更好的方案,开个热点,然后用 wireshark 。
我真不信有比这个优雅的 |
 |
3
kevinroot 2016-08-31 12:40:13 +08:00
|
 |
4
zeo0811 2016-08-31 12:56:15 +08:00
手机上有一款抓包的 APP,叫 replica
|
 |
5
sunhr 2016-08-31 13:12:55 +08:00  1
iOS 设备连接 Mac ,开 rvi ,然后 Wireshark 抓包
|
 |
6
qnnnnez 2016-08-31 13:26:23 +08:00 via Android
arpspoof+wireshark
|
 |
7
rrfeng OP @icebergSnow
不优雅的原因说了,需要开启代理,配置代理,而且不能共享。比如测试发现一个接口有问题,要么截图给后端 /客户端看,要么开发再自己抓一遍(或者 curl/postman )。 而且我的重点不是怎么抓包,这个很容易。重点是如何方便的查看,过滤,分享,并且对用户(测试 /运营)透明。 所以我说 packetbeat 是一个很好的工具。 @kevinroot 这个需要在某个地方集成它的 client ,没法对用户透明。 @zeo0811 一切需要修改手机的,其实都不如直接用 Fiddler 之流。 @sunhr Android 怎么办? @qnnnnez arpspoof 不如 mirror port |
 |
8
also24 2016-08-31 14:25:02 +08:00
|
 |
10
hffaxy 2016-08-31 16:52:50 +08:00
Surge 本质上也算是代理吧,官方说仍然是 TUN/TAP 的虚拟网卡做中转
同理的是 Android 上的 VPNService ,差不多一个道理,也是基于 TUN/TAP 的封装。 目前刚好我在做这个东西,讨论一些我的看法: 这里只谈流量获取,不涉及流量分析 APP 流量获取: 1.终端本身 实现方法: TUN/TAP 虚拟网卡中转, IOS 的 Surge , Android 的 VPNService 缺陷:屏幕太小,在这上面分析数据包数据太低效率且无通用协议解码应用,且只能拿到第二层以上的数据 优点的话,就是流量干净,不容易掺杂其他流量 2.路由 实现方法: AP , Route 的镜像流量口,或者一堆能够镜像流量导出的协议获得流量,甚至直接连接电脑 tcpdump 缺陷:需要物理部署,相对麻烦,通常存在非目标 APP 产生的流量,需要筛选 优点:电脑有 wireshark 一步到位,拿到流量即可可解码分析 |
|
11
hffaxy 2016-08-31 17:00:25 +08:00
wireshark web 化这个怎么说呢?我司的某个产品就是这个,据我所知市面上基本能够提供大流量分析服务的公司都有这个,要么是利用 wireshark (毕竟开源)依葫芦画瓢做一个,要么是自己实现流量协议的识别和解码。
只要识别解码库做好, web 都是去调用,不麻烦的,主要是识别解码库,需要 up 自己想办法啦 工作量嘛~见仁见智咯 |
 |
12
ysdj 2016-08-31 17:12:45 +08:00 via Android
httpwatch 不就是通过网卡截 http 包的么
|
Select Language