使用 Wireshark 分析 iOS 和 Android 的所有 TCP&UDP 协议(和 TLS 解密)
thisismr2 · txthinking · 2020-11-17 10:58:37 +08:00 · 21562 次点击这是一个创建于 1446 天前的主题,其中的信息可能已经有所发展或是发生改变。
借助 Wireshark, 包括但不限于 HTTP 协议, 基本上所有主流协议都能分析, 包括 UDP 协议. 所以对于网络协议抓包分析的工作者应该是很有帮助的
视频
https://www.youtube.com/watch?v=IhxrSyqky94
App
Wireshark Helper https://www.txthinking.com
iOS https://apps.apple.com/us/app/wireshark-client/id1534485108
Android https://play.google.com/store/apps/details?id=com.txthinking.wireshark
兑换码
兑换码发放: 每 10 楼, 按 1-10 的随机数抽一次奖, 比如 1-10 楼抽一次, 11-20 抽一次, 21-30 抽一次... 抽的结果会在帖子内截图. 用 google 随机数生成器抽. 被抽到的可以选择需要 iOS 或 Android 端其中的一个兑换码
google 随机数生成器长这个样子
https://i.imgur.com/WLrgWLr.png https://i.loli.net/2020/11/17/OwyukCsVGrUx8Jq.png
第 1 条附言 · 2020-11-17 16:12:19 +08:00
iOS 需要非大陆区账号, 苹果不让在大陆 appstore 上架, 和审核人员交流了近两个月最后仍不允许在大陆 appstore 上架
第 2 条附言 · 2020-11-17 16:15:50 +08:00
如果你初次使用. 建议看下视频里的操作顺序可能会有帮助
第 3 条附言 · 2020-11-17 19:30:48 +08:00
第 4 条附言 · 2020-11-19 19:55:44 +08:00
建议使用之前对这些概念都门清: TCP, UDP, 传输层, TUN, TLS. ROOT CA. MITM, 以及对要抓的更上层协议更是要门清
第 5 条附言 · 2020-11-22 20:05:39 +08:00
第 6 条附言 · 2020-11-25 09:29:05 +08:00
网络是个很琐碎的议题, 如果你在看完视频后, 仍会在某些环节遇到一些小问题的话, 且如果你是购买用户, 则可以申请加入 slack: https://docs.google.com/forms/d/e/1FAIpQLSdzMwPtDue3QoezXSKfhW88BXp57wkbDXnLaqokJqLeSWP9vQ/viewform
我很乐意去回答你的关于网络的一些问题, 为了群组的质量, 使用了 slack 和申请机制
我很乐意去回答你的关于网络的一些问题, 为了群组的质量, 使用了 slack 和申请机制
第 7 条附言 · 2020-11-25 10:15:04 +08:00
第 8 条附言 · 2020-11-25 11:32:53 +08:00
重要!!!
关于[如何信任根证书], 因为包含设备信息故视频里隐藏了几帧图像, 无论是 iOS 还是 Android 信任根证书都需要: 好几步好几步好几步. 如果建议专门搜索下!
关于[如何信任根证书], 因为包含设备信息故视频里隐藏了几帧图像, 无论是 iOS 还是 Android 信任根证书都需要: 好几步好几步好几步. 如果建议专门搜索下!
第 9 条附言 · 2020-11-25 12:00:20 +08:00
重要
- 如果你是iOS, 确保你的电脑网络能访问 google dns-over-tls DNS 8.8.8.8 TCP 853端口 dns.google
- 下一版本会改成使用8.8.8.8的 UDP 53
- 如果你是Android, 确保你的电脑网络能访问 8.8.8.8 的 UDP 53 端口
第 10 条附言 · 2020-11-26 12:36:14 +08:00
发现一瞬间请求过多的话会瞬间签发很多证书会有点卡, 正在想办法
 |
1
Blanke 2020-11-17 11:13:57 +08:00
ssl pinning 的也行?
|
 |
2
daohannce 2020-11-17 11:51:23 +08:00 via Android
蹲一个抽奖!
|
 |
3
0o0O0o0O0o 2020-11-17 11:54:15 +08:00 via iPhone
brook 作者吗
|
 |
4
SeanChense 2020-11-17 12:04:44 +08:00
@Blanke 本质上还是中间人,所以不能
|
 |
5
thisismr2 OP 原理是中间人攻击. 对于证书固定的可以搭配 xposed
|
 |
6
0TSH60F7J2rVkg8t 2020-11-17 12:12:52 +08:00
来试试运气
|
 |
7
ylls 2020-11-17 12:16:43 +08:00
来试试运气
|
|
8
thisismr2 OP 根据 TLS 的原理, TLS 解密的难度可以分为很多种: 1 可以; 2 可以但很复杂; 3 可以但非常复杂; 4 不可以(除非能破解源码)
写这个的时候, 我曾试图解决更多, 但发现要想解决更多, 基本上都需要到 hack 操作系统机制的地步了, 当然大部分情况都是 1 的情况. 所以有 2,3 特殊情况时, 可以搭配 xposed 的模块已经算成熟了 |
 |
9
coderabbit 2020-11-17 12:17:41 +08:00 via iPhone
分子
|
 |
10
3dwelcome 2020-11-17 12:20:40 +08:00 via Android
如果客户端代码里对服务器的 SSL 证书做强校验,这就没办法了吧。
本质上还是个代理,自动颁发证书,又不可能破解源代码。 |
 |
11
VAZ 2020-11-17 12:20:47 +08:00 via Android
分子
|
 |
12
Choyes 2020-11-17 12:21:21 +08:00
坐等开奖
|
 |
13
viniedodo 2020-11-17 12:25:11 +08:00
来试试运气
|
 |
14
cydysm 2020-11-17 12:28:01 +08:00
当分子
|
 |
15
bowser1701 2020-11-17 12:31:54 +08:00 via iPhone
分子
|
 |
16
terencehan 2020-11-17 12:37:44 +08:00
分子
|
|
17
thisismr2 OP 1-10 楼. 随机得出 2
 https://i.loli.net/2020/11/17/xZ4Ibhfe8rSkVNG.png @daohannce 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you. |
 |
18
illl 2020-11-17 12:39:09 +08:00 via iPhone
分子
|
 |
19
Meltdown 2020-11-17 12:39:43 +08:00 via Android
QUIC 能分析吗
|
|
20
thisismr2 OP @3dwelcome 如果是 android 可以用 xposed 钩子, 基本能达到修改 TLS 相关代码的效果
|
 |
21
thinkIn 2020-11-17 12:41:32 +08:00 via iPhone
蹲一个
|
 |
22
zhoudaiyu 2020-11-17 12:43:34 +08:00 via iPhone
分子
|
 |
23
charslee013 2020-11-17 12:47:17 +08:00 via Android
康康
|
 |
24
refine 2020-11-17 12:55:56 +08:00
拉低中奖率
|
 |
26
enjolife 2020-11-17 13:01:49 +08:00
试试运气
|
|
27
thisismr2 OP 11-20 楼随机出 15:
 https://i.loli.net/2020/11/17/3j5E9ohPvJWHp4q.png @bowser1701 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you. |
 |
28
songjiaxin2008 2020-11-17 13:06:09 +08:00
分母
|
 |
29
gimp 2020-11-17 13:07:29 +08:00
哈哈,当个分母
|
 |
30
VHacker1989 2020-11-17 13:11:38 +08:00
能 hook 掉证书校验吗
|
 |
31
NicholasXuan 2020-11-17 13:17:22 +08:00 via iPhone
请教下 quic 支持么
|
 |
32
1password 2020-11-17 13:17:41 +08:00
蹲一个
|
 |
33
sapphires 2020-11-17 13:21:01 +08:00
蹲一个~
|
|
34
thisismr2 OP 21-30. 随机出 26:
 https://i.loli.net/2020/11/17/GCTVoa17tDM5u6k.png @enjolife 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you. |
 |
35
ipadpro4k 2020-11-17 13:22:07 +08:00 via iPhone
ios 都有了? 666
|
 |
36
magic3584 2020-11-17 13:23:37 +08:00
官方的吗?
|
|
37
Choyes 2020-11-17 13:42:41 +08:00
再蹲一个试试
|
|
38
thisismr2 OP 有没有测试当前手机浏览器是否支持 http3/quic 的网站, 想抓下试试
|
 |
39
jinksw 2020-11-17 13:44:34 +08:00
分母
|
 |
40
echo314 2020-11-17 13:45:53 +08:00
支持一下。
|
|
41
thisismr2 OP @VHacker1989 可以搭配 xposed, 你搜下有个 JustTrustMe
|
 |
42
crystom 2020-11-17 13:47:15 +08:00
我要中奖
|
 |
43
baozijun 2020-11-17 13:50:06 +08:00
蹲一个
|
 |
44
Mitt 2020-11-17 13:50:38 +08:00 via iPhone
谢谢参与
|
 |
45
peige 2020-11-17 13:51:11 +08:00
分母
|
 |
46
aerzha 2020-11-17 13:55:52 +08:00
分母+1
|
 |
47
alpenstock 2020-11-17 13:56:17 +08:00
争取做分子
|
 |
48
airycanon 2020-11-17 13:56:44 +08:00
iOS 抓包一直用 Charles,之前想换 Wireshark,但解决不了 TLS 解密的问题,你这个工具又让我燃起了希望。
请问一下原理是这样么? 1. 在 Desktop 启动一个代理,提供根证书给 Mobile 安装。 2. 由 Mobile 安装根证书,并设置使用该代理访问网络。 3. 第 1 步的代理同时生成 key log file 给 Wireshark 解密流量包。 |
 |
49
MikeV2EX 2020-11-17 13:57:21 +08:00
这个是刚需,支持一波
|
|
50
thisismr2 OP 31-40, 随机出 37:
 https://i.loli.net/2020/11/17/Fhl9AItsZLDq2px.png @Choyes 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you. **因为如果给我发邮件, 我不能确定给我发送者是几楼** |
 |
51
Rekkles 2020-11-17 13:59:47 +08:00
试试~
|
 |
52
frankyxu 2020-11-17 14:02:13 +08:00
蹲一个
|
 |
53
guoyida 2020-11-17 14:02:33 +08:00 via iPhone
分母来了
|
 |
54
MicroPan 2020-11-17 14:02:48 +08:00
支持一波
|
 |
55
Arainc 2020-11-17 14:03:42 +08:00
吨吨吨
|
 |
56
zspzwal 2020-11-17 14:03:43 +08:00
开奖把
|
|
57
thisismr2 OP @airycanon 是的. 正确. 我再补充下 Mobile 那块的原理, 就是从传输层(TCP/UDP)拦截流量, 给桌面, 这样 wireshark 就能从桌面的网卡抓到所有的 Mobile 的 TCP 和 UDP 了. 最一开始还想在桌面单独弄一个网卡, 这样 wireshark 看到的就不是桌面和 Mobile 混着的流量了, 但是为了桌面 Helper 不用 root/admin 权限以及 wireshark 的过滤器超级强大, 暂时没那么做.
|
 |
58
silencefly 2020-11-17 14:04:47 +08:00 via iPhone
做个分子
|
 |
59
JL1990 2020-11-17 14:07:09 +08:00
试试运气
|
|
60
thisismr2 OP 41-50, 随机出 42
 https://i.loli.net/2020/11/17/O6o2F4pWhy1sm9g.png @crystom 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you. |
 |
62
llouye 2020-11-17 14:14:18 +08:00 via iPhone
试试手气
|
|
64
thisismr2 OP 51-60, 随机出 52
  @frankyxu 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you. |
 |
65
tuochenlyu 2020-11-17 14:16:47 +08:00
分母
|
 |
66
glaucus 2020-11-17 14:18:44 +08:00
蹲一个
|
|
68
bowser1701 2020-11-17 14:20:26 +08:00
@thisismr2 来了,Ym93c2VyMTcwNEBnbWFpbC5jb20K, iOS.
|
 |
69
XiaoXiaoNiWa 2020-11-17 14:22:50 +08:00
分母
|
 |
70
1130335361 2020-11-17 14:28:47 +08:00
分母
|
|
71
Blanke 2020-11-17 14:29:34 +08:00
有机会吗。。。
|
 |
72
wendellup2018 2020-11-17 14:32:22 +08:00
试试呢,经常抓包
|
|
73
airycanon 2020-11-17 14:33:40 +08:00
@thisismr2 是否可以考虑 Desktop 使用 WiFi 共享网络给 Mobile 使用,这样应该也是一个单独的网卡。
|
 |
74
DonaldY 2020-11-17 14:35:23 +08:00
分母
|
 |
75
ashong 2020-11-17 14:36:15 +08:00
排队领取😄
|
 |
76
HFX3389 2020-11-17 14:36:34 +08:00
分母~
|
 |
77
duzhor 2020-11-17 14:36:52 +08:00
万一呢拉低中奖率
|
 |
78
PingandA 2020-11-17 14:38:26 +08:00
参与一下
|
 |
79
fdgdbr 2020-11-17 14:39:19 +08:00
排队领取
|
 |
80
zzqims9527q 2020-11-17 14:40:55 +08:00 via iPhone
参与
|
 |
81
sgdream 2020-11-17 14:41:52 +08:00
参与
|
 |
82
Drshu 2020-11-17 14:45:01 +08:00
参与
|
 |
83
qwerrewt 2020-11-17 14:45:31 +08:00
请教下是干啥的? Wireshark 好像本身就可以抓和解析
|
 |
84
arldeng 2020-11-17 14:48:19 +08:00
蹲一个!
|
 |
85
Lemeng 2020-11-17 14:48:33 +08:00
还能参与吗?报个名
|
 |
86
Joeng 2020-11-17 14:52:38 +08:00
参与
|
 |
87
Esioner 2020-11-17 14:52:48 +08:00
做个分子
|
 |
88
tj646 2020-11-17 14:53:18 +08:00 via iPhone
iOS 国区不能用?
|
 |
89
FaiChou 2020-11-17 14:53:23 +08:00
大佬, 借楼问个问题, 用 Charles/mitmproxy/Thor 这种工具抓取到应用层的请求和用 Wireshark 抓取到的传输层请求有什么不同(在数据分析上面)吗? 因为平时没用过 Wireshark, 想了解下, 除了官方的文档, 还有什么比较好的教程吗?
|
 |
90
liguoqinjim 2020-11-17 14:58:13 +08:00
蹲一个!
|
|
91
thinkIn 2020-11-17 15:03:46 +08:00
做个分子
|
 |
92
cfcboy 2020-11-17 15:04:39 +08:00
蹲一个!
|
 |
93
cyrbuzz 2020-11-17 15:05:51 +08:00
zi.
|
 |
94
ik 2020-11-17 15:10:00 +08:00 via iPhone
占楼
|
 |
95
Veneris 2020-11-17 15:11:38 +08:00
蹲一个
|
 |
96
Caratpine 2020-11-17 15:16:00 +08:00
试试
|
 |
97
jackbull 2020-11-17 15:16:41 +08:00 via iPhone
目前在用 HttpCanary
|
 |
98
t2doo 2020-11-17 15:18:47 +08:00
来试试运气
|
 |
99
q474818917 2020-11-17 15:22:47 +08:00
来一个
|
 |
100
ColoThor 2020-11-17 15:24:15 +08:00
试试
|
Select Language
