Wireshark抓包使用技巧
# 📊 通用 App 抓包手册
| 步骤 | 操作说明 | 工具/技巧 | 目的 |
|---|---|---|---|
| 1️⃣ | 打开 Wireshark,选正确网卡 | 选 Wi-Fi: en0 或 en1 | 开始捕获全局网络流量 |
| 2️⃣ | 停止所有不必要的网络应用 | 关闭其他浏览器/后台 App | 降低干扰,便于聚焦分析 |
| 3️⃣ | 点击 Wireshark 开始抓包 | 开始前清空旧包 | 确保只抓你当前操作产生的流量 |
| 4️⃣ | 启动目标 App(如 抖音客户端、某企业App) | 不要提前打开,一定从"启动"抓 | 观察 App 启动时会请求哪些域名/IP |
| 5️⃣ | 在 Wireshark 输入过滤器观察:ip.addr、tcp.port、dns | 观察 dns 里出现的域名、tcp 建立连接的 IP | 分析 App 通信目标 |
| 6️⃣ | 右键"Follow → TCP Stream" | 查看 App 与服务器的请求细节 | 可以反推接口/API 结构 |
| 7️⃣ | 利用 Statistics → Conversations | 显示最活跃 IP/端口会话 | 快速识别目标连接 |
| 8️⃣ | 使用 Export Packet Dissections → As CSV | 导出可分析日志 | 用 Excel 或脚本进一步分析 |
# 🧠 常用分析视角 & 技巧
| 技巧 | 操作说明 | 用途 |
|---|---|---|
dns 过滤器 | 看 App 请求了哪些域名(如 *.douyin.com, *.bilibili.com) | 找到目标服务器域名 |
tcp.port > 1024 && tcp.port != 443 | 找到不常见端口通信 | 有些 App 用私有端口通信 |
Statistics → Endpoints | 看所有通信 IP | 找出通信最频繁的目标 |
tcp.stream eq N | 查看第 N 个连接的完整内容 | 逐条还原请求 |
http | | tls | ||
Wireshark 配置列显示 Process PID(需权限) | 关联进程 | macOS/Linux 下高级分析 |
# 🔍 通用过滤器组合
wireshark
复制编辑
dns or tcp.port == 443 or tcp.port == 80
wireshark
复制编辑
!(arp or icmp or mdns or igmp)
1
2
3
4
5
6
7
8
9
10
2
3
4
5
6
7
8
9
10
屏蔽局域网噪音,只留 TCP/HTTPS/目标流量
# 📦 配套命令(macOS/Linux)
| 命令 | 作用 |
|---|---|
lsof -i -n -P | 查看哪些进程使用哪些网络连接 |
nettop -m tcp | 实时查看 App 网络连接 |
tcpdump -i en0 port 443 | 使用命令行抓包(可替代 Wireshark) |
# ✅ 最终目标:你要识别什么?
| 类型 | 策略 |
|---|---|
| 🌐 访问了哪个域名 | 看 DNS 请求 |
| 📦 调用了什么接口 | 看 TCP stream,解码 HTTP |
| 🔑 使用了什么加密通道 | 看 TLS 握手、证书域名 |
| 📱 哪些数据频繁传输 | 用统计 → Conversations、Endpoints |
# 🎁 Bonus:附加工具推荐
| 工具 | 用途 |
|---|---|
| 🛠 Little Snitch | macOS 上可视化显示每个 App 的连接 IP |
| 🔧 Proxyman | 抓 HTTPS 流量,支持中间人证书注入 |
| 🐙 Charles / Fiddler | Web App 抓包调试(需要代理配置) |
上次更新: 2025/05/22, 13:53:13