iOS 设备不设代理抓包tcpdump

iOS抓包有很多种方法,关于大家常用的Charles,Wireshark等就不介绍了,下面介绍一种无需设置代理进行抓包的方式,tcpdump。
需求:iOS系统要求5.0以上,拥有Mac OS 并且安装XCode
Apple在iOS5.0以上增加了RVI(Remote Virtual Interface),打开它非常简单,只需要把iOS设备通过usb连接到Mac上,

打开“终端”,输入

rvictl -s [Your Device's UDID]

然后在终端上会显示

Starting device ********** [SUCCEEDED]

如果这一步产生了什么错误的话,可能是没有安装XCode或者UDID输入错误

接下来在终端可以使用

ifconfig -l
查看当前Mac上的接口,比如(不同Mac可能会有差异):
lo0 gif0 en0 en1 fw0 rvi0
其中rvi0就是Remote Virtual Interface,这也就意味着在你的Mac上虚拟了一个iOS设备接口,

接下来就是通过tcpdump抓取这个接口上的数据包

sudo tcpdump -i rvi0 -n -s 0 -w dump.pcap tcp

解释一下上面重要参数的含义:

  • -i rvi0 选择需要抓取的接口为rvi0(远程虚拟接口)
  • -s 0 抓取全部数据包
  • -w dump.pcap 设置保存的文件名称
  • tcp 只抓取tcp包
    当tcpdump运行之后,你可以在iOS设备上开始浏览你想抓取的App,期间产生的数据包均会保存到dump.pcap文件中,当想结束抓取时直接终止tcpdump即可

终止tcpdump

rvictl -x [Your Device's UDID]

然后在终端上会显示

$ Stopping device ********** [SUCCEEDED]

接下来就是需要处理抓取的数据,目前通过tcpdump保存的dump.pcap保存的是原始数据,但是一些常用的抓包软件(比如Chales)是解析不了的,所以需要做一个转换。

打开终端,我们需要使用tcprewrite这款工具,如果没有安装的话,可以通过HomeBrew快速安装

brew install tcpreplay

我们需要的tcprewrite是tcpreplay套件中的一个工具,当安装完成后,输入

tcprewrite --dlt=enet --enet-dmac=00:11:22:33:44:55 --enet-smac=66:77:88:99:AA:BB --infile=dump.pcap --outfile=dumpFileFinal.pcap

如果没有报错就说明转换成功,之后使用Chales打开dumpFileFinal.pcap就可以查看到刚才的数据包了。

总结自下面两篇文章,仅供参考
http://www.cnblogs.com/wupher/archive/2013/03/25/2980161.html
http://blog.manbolo.com/2013/02/22/analysing-ios-app-network-performances-on-cellularwifi

你可能感兴趣的:(iOS 设备不设代理抓包tcpdump)