① iOS App的tcp、udp数据包抓取与分析教程
在对app进行安全分析时,有时需要检查app的网络接口请求是否安全,网络协议交互是否可被恶意利用。因此就需要运行app并捕获其与服务端交互的网络数据进行分析。前面文章已介绍过http、https数据包的捕获,该篇文章主要介绍捕获app的tcp、udp流量数据。我们将 使用tcpmp捕获tcp、udp流量 ,再 通过wireshark过滤、分析app的tcp、udp流量 。
一、tcpmp捕获app流量
在运行app后,不要马上关掉app进程,我们要找出与app通信的 服务端ip 或者 端口 以及 网络协议(tcp、udp) ,方便后续wireshark过滤
新开一个终端,ssh再连接一次ios设备,查看app的进程pid(比如该app的进程pid为11524),如下所示
找到app的进程pid后,查看app的网络交互情况,我们使用 lsof ,它可查看系统中的文件使用情况,广义上网络套接字也属于文件描述符,因此可以通过lsof查看,如下所示
lsof -i -a -p <pid> #我们上面查看到的进程pid
-i 表示 列出所有网络连接
-a 表示 指定当前用户
-p 表示 某个进程(pid)
我们即可看到该app网络交互的 网络协议 、 ip 、 端口 等
最后停止tcpmp捕获app网络数据,结束抓包
二、wireshark过滤分析app流量
参考链接:
https://linux.die.net/man/8/lsof