android抓包命令详解

㈠ 如何在 android 手机上实现抓包

使用 tPacketCapture，
无需 root，可以保存下 pcap 格式的流量捕获，然后在电脑上打开分析。

它的原理是建立一个虚拟的 VPN 连接，
让所有的流量都通过它。
因此它捕获不到二层的信息，但这对于基本参考需求来说已经足够了。

㈡ 如何在 Android 手机上实现抓包

官网没有提供刷机软件。由于刷机存在风险，如因自行刷机后导致的手机问题，还有可能会影响包修，因此我们不建议您自行刷机。

若手机因系统故障无法正常使用或自行刷机后导致手机出现问题，建议您将机器送到售后服务中心，由工程师帮助检查处理。

㈢ 应用抓包之tcpmp命令抓包

原料
1.预抓包的App一个（我们以app抓包为例）
2.已配置android sdk
3.分析软件Wireshark（Windows版）
4.抓包命令：tcpmp
5.模拟器或真机（以模拟器为例，真机需root）

首先我们先配置下环境变量
1.先来个ANDROID_HOME:SDK的路径，类似于JAVA_HOME。（一劳永逸，以后安装到别的路径，改变一下HOME路径就行）

2.把sdk路径下的platfrom-tools和tools添加到环境变量

配置好就可以用adb命令了

1.执行tcpmp命令
tcpmp可以将网络中传送的数据包完全截获下来提供分析。

以上命令将截获的数据包保存到sdcard，capture.pcap抓取是数据包，pcap为Wireshark分析文件的后缀。

这时抓包就开始了，在手机上刷新几下要抓取数据的app。
抓完之后按ctrl+c停止抓包

2.将抓取的数据导出到电脑上（从sdcard导出到电脑上分析）
退出android shell环境(命令行输入两次exit)，回到Windows环境。

接着执行

导出刚才抓到的文件到电脑d盘。（如果导出失败，自己手动把抓包数据复制到电脑上）

或者通过DDMS导出到电脑

3.Wireshark打开刚才获取到的.pcap文件
过滤出http

点击某一个抓到的http包，可以查看它的详细信息(自己判断一下可能是哪个域名)

我们可以看到是get请求

复制出来去请求一下（右键->复制->值）

去浏览器中请求

再结合app，看看是哪个界面的内容
4.新建个文本文件，保存抓到的借口。例如：

看看请求出来ip地址，顺着ip找出所有的api借口

54开头的就是我要抓的app。

㈣ 如何在 Android 手机上实现抓包

千锋扣丁学堂Android开发为您解答：
tcpmp是最快捷方便的抓包方式，还可以加深对网络协议的理解。android下可以通过如下方式抓包：

1 Android上启动tcpmp

Android设备可以把tcpmp的可执行文件上传到android设备上，然后通过mac远程登录android设备运行tcpmp，前提是这台android设备必须已经root过。步骤如下：

下载android版本的tcpmp为android系统编译的tcpmp版本。

通过adb将tcpmp上传到android设备

通过adb push将tcpmp文件上传到特定的目录，这里我们选择/sdcard/data目录。

在android设备上运行tcpmp

通过adb shell登陆设备，并执行tcpmp，最后一步执行./tcpmp即可。

2. 分析tcpmp输出

经过上面的步骤成功运行tcpmp之后，接下来就可以分析输出的网络包内容了，iOS设备和Android设备的输出是一致的。我们先来解析下几个基本的格式：

图中红色方框内的部分是一个ip包的详细记录，类似的纪录还有好几条。这里我们着重分析第一条的各部分字段含义。

14:37:41.615018 很简单，是该包接收到的时间。

17.143.164.37.5223 是发送方的ip地址及端口号(5223是端口号)。

10.29.44.140.58036 是我android的ip地址及端口号。

Flags [P.]
是tcp包header部分的第14个字节的P位。这个字节所包含的几个flag很重要，后面我会单独详细讲解。这里P位表示接受方需要马上将包push到应用层。

seq 1:54
tcp包的seq号，1是起始值，54结束值。tcp之所以被认为是流，是因为tcp包所携带的每一个字节都有标号(seq号)。1:54表明总共有54个字节被接受，其中一个字节是三次握手阶段所使用，所以一共发送的长度是53字节。

ack 101 tcp包的ack号，ack 101表明seq号为100的字节已被确认收到，下一个期望接收的seq号从101开始。

win 255 win表示的是tcp包发送方，作为接受方还可以接受的字节数。这里win
255表明ip为17.143.164.37的主机还可以接受255个字节。

options [nop,nop,…] options[…]表示的是该tcp包的options区域，nop是no
opertion的缩写，没什么实际用途，主要是用做padding，因为options区域按协议规定必须是4字节的倍数。

options[… TS val 2381386761] ts
val这个值是tcp包的时间戳，不过这个时间戳和设备的系统时间没啥关系，刚开始是随机值，后面随着系统时钟自增长。这个时间戳主要用处是seq序列号越界从0重新开始后，可以确认包的顺序。

options[… ecr 427050796] ts ecr这个值主要用来计算RTT。比如A发送一个tcp包给B，A会在包里带上TS
val，B收到之后在ack包里再把这个值原样返回，A收到B的ack包之后再根据本地时钟就可以计算出RTT了。这个值只在ack包里有效，非ack包ecr的值就为0.

length 53 这个length是应用层传过来的数据大小，不包括tcp的header。这个值和我们上面分析的seq 1:54是一致的。

以上就是一个基本的tcp包结构，大家可以按照上面的分析再把其他几个包理解下。我们在做应用的时候面对的更多是http协议，但对一个http请求是怎么通过tcp/ip分解成一个个的packet，然后怎么在网络上稳定可靠的传输，要有个基本的印象。下面我们再看下tcpmp更多的功能，这些功能都是基于对tcp/ip协议的理解，遇到不理解的建议多google下相关的技术概念。

3. tcpmp知识拓展

再继续深入tcpmp之前，先贴上一张tcp header格式图，常看常新。

[https://github.com/music4kid/music4kid.github.io/blob/master/images/tcpheader.png?raw=true](https://github.com/music4kid/music4kid.github.io/blob/master/images/tcpheader.png?raw=true)"
width="1056">

3.1 TCP Flags(tcp header第十四个字节)

我们再仔细看下上面提到的flags概念，flags位于tcp
header的第十四个字节，包含8个比特位，也就是上图的CWR到FIN。这8个比特位都有特定的功能用途，分别是：CWR，ECE，URG，ACK，PSH，RST，SYN，FIN。

CWR ，ECE 两个flag是用来配合做congestion
control的，一般情况下和应用层关系不大。发送方的包ECE(ECN-Echo)为0的时候表示出现了congestion，接收方回的包里CWR(Congestion
Window Reced)为1表明收到congestion信息并做了处理。我们重点看其他六个flag。

URG
URG代表Urgent，表明包的优先级高，需要优先传送对方并处理。像我们平时使用terminal的时候经常ctrl+c来结束某个任务，这种命令产生的网络数据包就需要urgent。

ACK
也就是我们所熟悉的ack包，用来告诉对方上一个数据包已经成功收到。不过一般不会为了ack单独发送一个包，都是在下一个要发送的packet里设置ack位，这属于tcp的优化机制，参见delayed
ack。

PSH Push我们上面解释过，接收方接收到P位的flag包需要马上将包交给应用层处理，一般我们在http
request的最后一个包里都能看到P位被设置。

RST Reset位，表明packet的发送方马上就要断开当前连接了。在http请求结束的时候一般可以看到一个数据包设置了RST位。

SYN
SYN位在发送建立连接请求的时候会设置，我们所熟悉的tcp三次握手就是syn和ack位的配合：syn->syn+ack->ack。

FIN
Finish位设置了就表示发送方没有更多的数据要发送了，之后就要单向关闭连接了，接收方一般会回一个ack包。接收方再同理发送一个FIN就可以双向关闭连接了。

这8个flag首字母分别是：C E U A P R S F。初看难以记忆，我脑洞了下，把它们组合成 supr
cafe，当然少了super少了个e，我可以将就下。我们在使用tcpmp的时候会经常看到这几个flag，[S],[P],[R],[F],[.]。其他几个都好理解，[.]特殊点，是个占位符，没有其他flag被设置的时候就显示这个占位符，一般表示ack。

3.2 tcpmp 更多使用参数

这部分我们来看下tcpmp常用的一些命令参数。文章最开始部分的tcpmp命令是这样的：sudo tcpmp -i rvi0 -AAl。
-i rvi0 -AAl都是属于参数部分。常见的有这些：

-i, 要监听的网卡名称，-i rvi0监听虚拟网卡。不设置的时候默认监听所有网卡流量。

-A, 用ASCII码展示所截取的流量，一般用于网页或者app里http请求。-AA可以获取更多的信息。

-X，用ASCII码和hex来展示包的内容，和上面的-A比较像。-XX可以展示更多的信息(比如link layer的header)。

-n，不解析hostname,tcpmp会优先暂时主机的名字。-nn则不展示主机名和端口名(比如443端口会被展示成https)。

-s，截取的包字节长度，默认情况下tcpmp会展示96字节的长度，要获取完整的长度可以用-s0或者-s1600。

-c，只截取指定数目的包，然后退出。

-v，展示更多的有用信息，还可以用-vv -vvv增加信息的展示量。

src，指明ip包的发送方地址。

dst，指明ip包的接收方地址。

port，指明tcp包发送方或者接收方的端口号。

and,or,not,操作法，字面意思。

上面几个是我个人比较常用的，更多的参数可以参考这个详细文档。有兴趣的可以分析下面几个例子练习下：

tcpmp ‘tcp[13] & 16!=0’

tcpmp src port 80 and tcp

tcpmp -vv src and not dst port 23

tcpmp -nnvvS src 192.0.1.100 and dst port 443

4. 用tcpmp分析http完整请求

说了这么多，我们再来实战下，看一个完整的http请求流程。sudo tcpmp -i rvi0 -AAl src 60.28.215.123 or
dst 60.28.215.123

列出了6个前面的packet，10.29.44.240是我android的ip地址，60.28.215.123是知乎server的ip地址，红色方框内是android发出的packet，白色方框内是server发出的packet。packet1是android三次握手的第一个syn包，packet2是server
ack+syn的包，packet3是android ack的包。这3个packet之后tcp的三次握手就完成了。

packet4是android发出的http
request。长度只有240个字节，所以一个packet就发过去了，当然还设置了flags的P位，request需要马上被应用层处理。包里面出现了spdy，点赞。

packet5是server ack刚收到的包，长度位0，所以这仅仅是一个ack包。

packet6是server返回http的response了，1388个字节。packet5和packet6都ack了seq为241的包，当然是为了增加ack的成功率。

中间还有好几个packet就不仔细分析了，最后再看下请求完成的最后几个包：

最后两个packet比较简单，android发送个FIN+ACK的包就断开连接了，server直接发送了一个RST包后也断开连接了。

㈤ 如何在 Android 手机上实现抓包

您好，希望以下回答能帮助您
电脑下载fiddler，开代理，手机连电脑代理上网，电脑端就可以抓包了。

如您还有疑问可继续追问。

㈥ Android 配置Fiddler抓包

将浏览器的代理设置成Fiddler能够实现Fiddler抓取浏览器的请求。同理，Android手机配置Fiddler作为代理服务器，从而让Fiddler能够截获Android的流量来实现抓包。

可以通过ipconfig命令等查看，最简单的就是将鼠标移到Fiddler窗口右上角的online字样上面，会自动提示当前电脑IP地址。

比如，我当前PC IP地址为172.20.224.63

打开Fiddler上Tools-->Options，选择Connections选项卡，可以查看到代理端口地址。默认为8888。你可以自行配置成其他端口号。

还有，请勾选“Allow remote computers to connect”（这是允许Android手机通过代理进行网络访问）。

手机连接和PC位于同一局域网的wifi，连接成功后，进入到高级选项中。（不同手机有不同的进入方法，早期手机是长按已经连接上的wifi，现在有些手机直接提供了进入配置的箭头按钮。）
将代理服务器主机名修改为第一步获取的IP地址，端口号为第一步获取的端口号。然后保存。

以上配置OK，打开手机进行网络访问吧，看看Fiddler上有没有HTTP请求包。

实际测试，如果发现没有数据包，你需要检查Fiddler是否打开，是否允许远程电脑访问，以及端口号和IP地址是否配置正确，然后重启试试看（重启Fidder、手机重连Wifi，重新配置等）。

以上配置的仅仅是抓取HTTP请求，对于HTTPS请求，你还是看不到。下面介绍下，HTTPS抓包配置。

HTTPS也是需要通过Fiddler代理来抓取的，所以呢，前面的配置代理的过程不变。下面介绍其他涉及到证书安装方面的。

打开Tools->Options，选择HTTPS选项卡，按照下图进行勾选。

PC上安装好了根证书之后，还需要在手机上安装根证书，才能保证Fiddller能够正确解析出HTTPS包。（原理是，手机通过Fiddler做了代理后，HTTPS请求进行握手时候获取的证书就是Fiddler自己生成的证书，这个证书在手机上默认不受信任，这样会导致手机端认为服务端非法从而断开HTTPS握手，导致请求失败。所以，我们需要让手机信任Fiddler的根证书。）

手机在配置好HTTP代理后，打开浏览器，输入： http://ipv4.fiddler:8888/ 。实际上 ipv4.fiddler 会引导到Fiddler所在PC的IP地址上。所以，你输入http://<pc ip>:<port>也是可以的。（题外话， ipv4.fiddler 这个域名不是外网通用域名，你知道为啥会正确解析不？猜想是Fiddler自己提供了本地DNS解析服务）

OK，以上是所有的配置。

配置成功后，观察Fiddler，手机进行一些操作，看看HTTPS的请求能解析不。如果你遇到下面的异常：

很大可能是由于手机上没有安装Fiddler的根证书。当然，还有例外，如果手机Android系统为7.0以上，即便安装了Fiddler的根证书，也会出现这个异常。原因请参考 https://www.jianshu.com/p/0711ca1121e9

㈦ 如何通过使用fiddler对Android系统设备抓包总结

1. 通过fiddler抓包真机
好处是安卓手机不用root，简单设置代理，并可以在电脑端检测抓包数据。只能抓获wifi，不同抓包3g/2g运营商的数据
2. 通过tcpudmp工具抓包
可以检测真机，也可以模拟器。可以wifi，也可以3g/2g
必须root，可以安装在手机内，然后电脑端开启检测或者停止检测，抓到的数据包*.cab再拷贝到电脑，通过用Wireshark分析数据包。

㈧ 如何用Fiddler对Android应用进行抓包

用Fiddler对Android应用进行抓包的方法：

1、启动Fiddler，打开菜单栏中的 Tools > Fiddler Options，打开“Fiddler Options”对话框。

㈨ 如何在 Android 手机上实现抓包

先给手机刷root权限，执行命令：adbrootadbremountok后：把tcpmp放到c盘根目录下：C:\2.执行命令：adbpushc:/tcpmp/data/local/tcpmp（这个命令是把tcpmp拷到手机中去）3.adbshellchmod6755/data/local/tcpmp是给tcp分配权限4.adbshell/data/local/tcpmp-p-vv-s0-w/sdcard/capture.pcap输入这个命令就等于启动了抓包工具5.要停止抓包就Ctrl+C6.sdcard的capture.pcap复制出来到电脑上用wireshark打开即可以后每次抓包只要重复第4、5、6步就ok了