iOS 设备不设代理抓包tcpdump

iOS抓包有很多种方法，关于大家常用的Charles，Wireshark等就不介绍了，下面介绍一种无需设置代理进行抓包的方式，tcpdump。
需求：iOS系统要求5.0以上，拥有Mac OS 并且安装XCode
Apple在iOS5.0以上增加了RVI(Remote Virtual Interface）,打开它非常简单，只需要把iOS设备通过usb连接到Mac上，

打开“终端”，输入

rvictl -s [Your Device's UDID]

然后在终端上会显示

Starting device ********** [SUCCEEDED]

如果这一步产生了什么错误的话，可能是没有安装XCode或者UDID输入错误

接下来在终端可以使用

ifconfig -l
查看当前Mac上的接口，比如（不同Mac可能会有差异）：
lo0 gif0 en0 en1 fw0 rvi0
其中rvi0就是Remote Virtual Interface，这也就意味着在你的Mac上虚拟了一个iOS设备接口,

接下来就是通过tcpdump抓取这个接口上的数据包

sudo tcpdump -i rvi0 -n -s 0 -w dump.pcap tcp

解释一下上面重要参数的含义：

• -i rvi0 选择需要抓取的接口为rvi0（远程虚拟接口）
• -s 0 抓取全部数据包
• -w dump.pcap 设置保存的文件名称
• tcp 只抓取tcp包
  当tcpdump运行之后，你可以在iOS设备上开始浏览你想抓取的App，期间产生的数据包均会保存到dump.pcap文件中，当想结束抓取时直接终止tcpdump即可

终止tcpdump

rvictl -x [Your Device's UDID]

然后在终端上会显示

$ Stopping device ********** [SUCCEEDED]

接下来就是需要处理抓取的数据，目前通过tcpdump保存的dump.pcap保存的是原始数据，但是一些常用的抓包软件（比如Chales）是解析不了的，所以需要做一个转换。

打开终端,我们需要使用tcprewrite这款工具，如果没有安装的话，可以通过HomeBrew快速安装

brew install tcpreplay

我们需要的tcprewrite是tcpreplay套件中的一个工具，当安装完成后，输入

tcprewrite --dlt=enet --enet-dmac=00:11:22:33:44:55 --enet-smac=66:77:88:99:AA:BB --infile=dump.pcap --outfile=dumpFileFinal.pcap

如果没有报错就说明转换成功，之后使用Chales打开dumpFileFinal.pcap就可以查看到刚才的数据包了。

总结自下面两篇文章，仅供参考
http://www.cnblogs.com/wupher/archive/2013/03/25/2980161.html
http://blog.manbolo.com/2013/02/22/analysing-ios-app-network-performances-on-cellularwifi