安卓App抓包经验谈

在实际工作中,对应用程序进行网络抓包是分析网络行为必不可少的一步,这里谈一下抓包的具体过程。

Windows下一般会使用wireshark,wireshark只是一个可视化的应用,底层还是借助了WinPcap,而WinPcap也是基于libpcap的封装。Linux下使用tcpdump,这是基于libpcap的一个命令行工具。安卓底层是Linux,所以也是用tcpdump进行抓包。

安卓App抓包有下面几步:

  1. App安装,可选择真机或模拟器。选择真机的好处在于App运行正常,因为是真实环境嘛,不像模拟器,有的App检测环境时,可能会闪退。但选择真机会因为没有root权限或者Linux命令工具功能被限制了,不太好使。所以还是推荐使用模拟器,我一般使用雷电模拟器,其他的应该也行。

  1. 模拟器装好后,在控制台下,使用adb工具进入Linux命令行界面。可通过adb devices查看设备,再用adb -s emulator-5554 shell(这里的emulator-5554是模拟器设备的名称,如果不是就需要替换为实际的)

  1. 在命令行敲ps命令,通过App的包名找到相应进程,这些App进程的父进程都是一个叫做zygote或zygote64进程。记下它的PID,后面会用到。

  1. 下面要查找该PID对应的进程占用的端口,使用命令:netstat -tunlp | grep PID,回车后打出类似下面的内容:

tcp        0      0 172.16.1.15:44508   47.100.116.9:30300    ESTABLISHED 2039/cn.jj
tcp        0      0 172.16.1.15:54883   120.133.38.93:22001   ESTABLISHED 2039/cn.jj
udp        0      0 172.16.1.15:35936   47.100.116.9:30102    ESTABLISHED 2039/cn.jj
  1. 有了这些信息,接下来就可以抓包了。比如敲命令:tcpdump dst host 47.100.116.9 and tcp port 30300 -c 10,回车后打印出类似下面内容:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
01:30:04.227803 IP 172.16.1.15.44508 > 47.100.116.9.30300: Flags [P.], seq 1077751643:1077751659, ack 6419869, win 65320, length 16
01:30:04.235918 IP 172.16.1.15.44508 > 47.100.116.9.30300: Flags [.], ack 19, win 65320, length 0
01:30:07.026371 IP 172.16.1.15.44508 > 47.100.116.9.30300: Flags [P.], seq 16:35, ack 19, win 65320, length 19
01:30:07.026572 IP 172.16.1.15.44508 > 47.100.116.9.30300: Flags [P.], seq 35:54, ack 19, win 65320, length 19
01:30:07.027146 IP 172.16.1.15.44508 > 47.100.116.9.30300: Flags [P.], seq 54:73, ack 19, win 65320, length 19
01:30:07.027349 IP 172.16.1.15.44508 > 47.100.116.9.30300: Flags [P.], seq 73:92, ack 19, win 65320, length 19
01:30:07.027442 IP 172.16.1.15.44508 > 47.100.116.9.30300: Flags [P.], seq 92:111, ack 19, win 65320, length 19
01:30:07.027582 IP 172.16.1.15.44508 > 47.100.116.9.30300: Flags [P.], seq 111:130, ack 19, win 65320, length 19
01:30:07.027968 IP 172.16.1.15.44508 > 47.100.116.9.30300: Flags [P.], seq 130:165, ack 19, win 65320, length 35
01:30:07.028156 IP 172.16.1.15.44508 > 47.100.116.9.30300: Flags [P.], seq 165:184, ack 19, win 65320, length 19
10 packets captured
10 packets received by filter
0 packets dropped by kernel

这条抓包指令的意思是抓取发往主机47.100.116.9,端口30300的tcp包,抓取数量为10个。

通常要将抓包保存为pcap文件,在电脑上使用wireshark打开分析,可使用命令:tcpdump -i eth0 host 47.100.116.9 -s 0 -c 100 -nn -w /sdcard/1.pcap,这表示抓取经过网卡eth0的,来自或发往主机47.100.116.9的100个网络包,保存到文件/sdcard/1.pcap,这里-s 0表示抓取完整包,-nn表示不显示抓包过程的打印信息。

讲到这里就讲完了,关于tcpdump的抓包指令可以参考网络上的介绍。更多问题,欢迎再次留言评论!

你可能感兴趣的:(代码/脚本/命令行/可执行文件,Windows/Linux使用,Android,安卓,App抓包,tcpdump)