V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
thisismr2
V2EX  ›  分享创造

使用 Wireshark 分析 iOS 和 Android 的所有 TCP&UDP 协议(和 TLS 解密)

  •  9
     
  •   thisismr2 ·
    txthinking · 2020-11-17 10:58:37 +08:00 · 21814 次点击
    这是一个创建于 1504 天前的主题,其中的信息可能已经有所发展或是发生改变。

    借助 Wireshark, 包括但不限于 HTTP 协议, 基本上所有主流协议都能分析, 包括 UDP 协议. 所以对于网络协议抓包分析的工作者应该是很有帮助的

    视频

    https://www.youtube.com/watch?v=IhxrSyqky94

    App

    Wireshark Helper https://www.txthinking.com

    iOS https://apps.apple.com/us/app/wireshark-client/id1534485108

    Android https://play.google.com/store/apps/details?id=com.txthinking.wireshark

    兑换码

    兑换码发放: 每 10 楼, 按 1-10 的随机数抽一次奖, 比如 1-10 楼抽一次, 11-20 抽一次, 21-30 抽一次... 抽的结果会在帖子内截图. 用 google 随机数生成器抽. 被抽到的可以选择需要 iOS 或 Android 端其中的一个兑换码

    google 随机数生成器长这个样子

    https://i.imgur.com/WLrgWLr.png https://i.loli.net/2020/11/17/OwyukCsVGrUx8Jq.png

    第 1 条附言  ·  2020-11-17 16:12:19 +08:00
    iOS 需要非大陆区账号, 苹果不让在大陆 appstore 上架, 和审核人员交流了近两个月最后仍不允许在大陆 appstore 上架
    第 2 条附言  ·  2020-11-17 16:15:50 +08:00
    如果你初次使用. 建议看下视频里的操作顺序可能会有帮助
    第 3 条附言  ·  2020-11-17 19:30:48 +08:00
    输入框暂时只支持系统自带的英文输入法哈
    和写的其他小工具一样, 可能对你有用: https://github.com/txthinking
    以后会统一优化所有写过的图形客户端程序
    第 4 条附言  ·  2020-11-19 19:55:44 +08:00
    建议使用之前对这些概念都门清: TCP, UDP, 传输层, TUN, TLS. ROOT CA. MITM, 以及对要抓的更上层协议更是要门清
    第 6 条附言  ·  2020-11-25 09:29:05 +08:00
    网络是个很琐碎的议题, 如果你在看完视频后, 仍会在某些环节遇到一些小问题的话, 且如果你是购买用户, 则可以申请加入 slack: https://docs.google.com/forms/d/e/1FAIpQLSdzMwPtDue3QoezXSKfhW88BXp57wkbDXnLaqokJqLeSWP9vQ/viewform

    我很乐意去回答你的关于网络的一些问题, 为了群组的质量, 使用了 slack 和申请机制
    第 7 条附言  ·  2020-11-25 10:15:04 +08:00
    对于没有中奖的同学, 另一个新的 app 也开始发兑换码了:

    https://v2ex.com/t/728980
    第 8 条附言  ·  2020-11-25 11:32:53 +08:00
    重要!!!
    关于[如何信任根证书], 因为包含设备信息故视频里隐藏了几帧图像, 无论是 iOS 还是 Android 信任根证书都需要: 好几步好几步好几步. 如果建议专门搜索下!
    第 9 条附言  ·  2020-11-25 12:00:20 +08:00

    重要

    • 如果你是iOS, 确保你的电脑网络能访问 google dns-over-tls DNS 8.8.8.8 TCP 853端口 dns.google
      • 下一版本会改成使用8.8.8.8的 UDP 53
    • 如果你是Android, 确保你的电脑网络能访问 8.8.8.8 的 UDP 53 端口
    第 10 条附言  ·  2020-11-26 12:36:14 +08:00
    发现一瞬间请求过多的话会瞬间签发很多证书会有点卡, 正在想办法
    489 条回复    2021-02-23 15:08:38 +08:00
    1  2  3  4  5  
    Blanke
        1
    Blanke  
       2020-11-17 11:13:57 +08:00
    ssl pinning 的也行?
    daohannce
        2
    daohannce  
       2020-11-17 11:51:23 +08:00 via Android
    蹲一个抽奖!
    0o0O0o0O0o
        3
    0o0O0o0O0o  
       2020-11-17 11:54:15 +08:00 via iPhone
    brook 作者吗
    SeanChense
        4
    SeanChense  
       2020-11-17 12:04:44 +08:00
    @Blanke 本质上还是中间人,所以不能
    thisismr2
        5
    thisismr2  
    OP
       2020-11-17 12:12:05 +08:00
    原理是中间人攻击. 对于证书固定的可以搭配 xposed
    0TSH60F7J2rVkg8t
        6
    0TSH60F7J2rVkg8t  
       2020-11-17 12:12:52 +08:00
    来试试运气
    ylls
        7
    ylls  
       2020-11-17 12:16:43 +08:00
    来试试运气
    thisismr2
        8
    thisismr2  
    OP
       2020-11-17 12:16:47 +08:00
    根据 TLS 的原理, TLS 解密的难度可以分为很多种: 1 可以; 2 可以但很复杂; 3 可以但非常复杂; 4 不可以(除非能破解源码)
    写这个的时候, 我曾试图解决更多, 但发现要想解决更多, 基本上都需要到 hack 操作系统机制的地步了, 当然大部分情况都是 1 的情况. 所以有 2,3 特殊情况时, 可以搭配 xposed 的模块已经算成熟了
    coderabbit
        9
    coderabbit  
       2020-11-17 12:17:41 +08:00 via iPhone
    分子
    3dwelcome
        10
    3dwelcome  
       2020-11-17 12:20:40 +08:00 via Android
    如果客户端代码里对服务器的 SSL 证书做强校验,这就没办法了吧。
    本质上还是个代理,自动颁发证书,又不可能破解源代码。
    VAZ
        11
    VAZ  
       2020-11-17 12:20:47 +08:00 via Android
    分子
    Choyes
        12
    Choyes  
       2020-11-17 12:21:21 +08:00
    坐等开奖
    viniedodo
        13
    viniedodo  
       2020-11-17 12:25:11 +08:00
    来试试运气
    cydysm
        14
    cydysm  
       2020-11-17 12:28:01 +08:00
    当分子
    bowser1701
        15
    bowser1701  
       2020-11-17 12:31:54 +08:00 via iPhone
    分子
    terencehan
        16
    terencehan  
       2020-11-17 12:37:44 +08:00
    分子
    thisismr2
        17
    thisismr2  
    OP
       2020-11-17 12:38:24 +08:00
    1-10 楼. 随机得出 2

    https://i.loli.net/2020/11/17/xZ4Ibhfe8rSkVNG.png

    @daohannce 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you.
    illl
        18
    illl  
       2020-11-17 12:39:09 +08:00 via iPhone
    分子
    Meltdown
        19
    Meltdown  
       2020-11-17 12:39:43 +08:00 via Android
    QUIC 能分析吗
    thisismr2
        20
    thisismr2  
    OP
       2020-11-17 12:40:24 +08:00
    @3dwelcome 如果是 android 可以用 xposed 钩子, 基本能达到修改 TLS 相关代码的效果
    thinkIn
        21
    thinkIn  
       2020-11-17 12:41:32 +08:00 via iPhone
    蹲一个
    zhoudaiyu
        22
    zhoudaiyu  
       2020-11-17 12:43:34 +08:00 via iPhone
    分子
    charslee013
        23
    charslee013  
       2020-11-17 12:47:17 +08:00 via Android
    康康
    refine
        24
    refine  
       2020-11-17 12:55:56 +08:00
    拉低中奖率
    thisismr2
        25
    thisismr2  
    OP
       2020-11-17 13:00:45 +08:00
    @Meltdown QUIC 好像是 UDP 之上的 TLS, 这个我还不确定.有机会我会试试
    enjolife
        26
    enjolife  
       2020-11-17 13:01:49 +08:00
    试试运气
    thisismr2
        27
    thisismr2  
    OP
       2020-11-17 13:04:59 +08:00
    11-20 楼随机出 15:

    https://i.loli.net/2020/11/17/3j5E9ohPvJWHp4q.png

    @bowser1701 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you.
    songjiaxin2008
        28
    songjiaxin2008  
       2020-11-17 13:06:09 +08:00
    分母
    gimp
        29
    gimp  
       2020-11-17 13:07:29 +08:00
    哈哈,当个分母
    VHacker1989
        30
    VHacker1989  
       2020-11-17 13:11:38 +08:00
    能 hook 掉证书校验吗
    NicholasXuan
        31
    NicholasXuan  
       2020-11-17 13:17:22 +08:00 via iPhone
    请教下 quic 支持么
    1password
        32
    1password  
       2020-11-17 13:17:41 +08:00
    蹲一个
    sapphires
        33
    sapphires  
       2020-11-17 13:21:01 +08:00
    蹲一个~
    thisismr2
        34
    thisismr2  
    OP
       2020-11-17 13:21:43 +08:00
    21-30. 随机出 26:


    https://i.loli.net/2020/11/17/GCTVoa17tDM5u6k.png

    @enjolife 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you.
    ipadpro4k
        35
    ipadpro4k  
       2020-11-17 13:22:07 +08:00 via iPhone
    ios 都有了? 666
    magic3584
        36
    magic3584  
       2020-11-17 13:23:37 +08:00
    官方的吗?
    Choyes
        37
    Choyes  
       2020-11-17 13:42:41 +08:00
    再蹲一个试试
    thisismr2
        38
    thisismr2  
    OP
       2020-11-17 13:44:31 +08:00
    有没有测试当前手机浏览器是否支持 http3/quic 的网站, 想抓下试试
    jinksw
        39
    jinksw  
       2020-11-17 13:44:34 +08:00
    分母
    echo314
        40
    echo314  
       2020-11-17 13:45:53 +08:00
    支持一下。
    thisismr2
        41
    thisismr2  
    OP
       2020-11-17 13:46:13 +08:00
    @VHacker1989 可以搭配 xposed, 你搜下有个 JustTrustMe
    crystom
        42
    crystom  
       2020-11-17 13:47:15 +08:00
    我要中奖
    baozijun
        43
    baozijun  
       2020-11-17 13:50:06 +08:00
    蹲一个
    Mitt
        44
    Mitt  
       2020-11-17 13:50:38 +08:00 via iPhone
    谢谢参与
    peige
        45
    peige  
       2020-11-17 13:51:11 +08:00
    分母
    aerzha
        46
    aerzha  
       2020-11-17 13:55:52 +08:00
    分母+1
    alpenstock
        47
    alpenstock  
       2020-11-17 13:56:17 +08:00
    争取做分子
    airycanon
        48
    airycanon  
       2020-11-17 13:56:44 +08:00
    iOS 抓包一直用 Charles,之前想换 Wireshark,但解决不了 TLS 解密的问题,你这个工具又让我燃起了希望。

    请问一下原理是这样么?
    1. 在 Desktop 启动一个代理,提供根证书给 Mobile 安装。
    2. 由 Mobile 安装根证书,并设置使用该代理访问网络。
    3. 第 1 步的代理同时生成 key log file 给 Wireshark 解密流量包。
    MikeV2EX
        49
    MikeV2EX  
       2020-11-17 13:57:21 +08:00
    这个是刚需,支持一波
    thisismr2
        50
    thisismr2  
    OP
       2020-11-17 13:59:15 +08:00
    31-40, 随机出 37:


    https://i.loli.net/2020/11/17/Fhl9AItsZLDq2px.png
    @Choyes 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you.
    **因为如果给我发邮件, 我不能确定给我发送者是几楼**
    Rekkles
        51
    Rekkles  
       2020-11-17 13:59:47 +08:00
    试试~
    frankyxu
        52
    frankyxu  
       2020-11-17 14:02:13 +08:00
    蹲一个
    guoyida
        53
    guoyida  
       2020-11-17 14:02:33 +08:00 via iPhone
    分母来了
    MicroPan
        54
    MicroPan  
       2020-11-17 14:02:48 +08:00
    支持一波
    Arainc
        55
    Arainc  
       2020-11-17 14:03:42 +08:00
    吨吨吨
    zspzwal
        56
    zspzwal  
       2020-11-17 14:03:43 +08:00
    开奖把
    thisismr2
        57
    thisismr2  
    OP
       2020-11-17 14:04:42 +08:00
    @airycanon 是的. 正确. 我再补充下 Mobile 那块的原理, 就是从传输层(TCP/UDP)拦截流量, 给桌面, 这样 wireshark 就能从桌面的网卡抓到所有的 Mobile 的 TCP 和 UDP 了. 最一开始还想在桌面单独弄一个网卡, 这样 wireshark 看到的就不是桌面和 Mobile 混着的流量了, 但是为了桌面 Helper 不用 root/admin 权限以及 wireshark 的过滤器超级强大, 暂时没那么做.
    silencefly
        58
    silencefly  
       2020-11-17 14:04:47 +08:00 via iPhone
    做个分子
    JL1990
        59
    JL1990  
       2020-11-17 14:07:09 +08:00
    试试运气
    thisismr2
        60
    thisismr2  
    OP
       2020-11-17 14:10:50 +08:00
    41-50, 随机出 42

    https://i.loli.net/2020/11/17/O6o2F4pWhy1sm9g.png

    @crystom 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you.
    thisismr2
        61
    thisismr2  
    OP
       2020-11-17 14:12:26 +08:00
    @ipadpro4k iOS 审核了快 2 个月了才审核通过, 和审核人员解释这种应用太难了. 太技术性质.
    llouye
        62
    llouye  
       2020-11-17 14:14:18 +08:00 via iPhone
    试试手气
    Choyes
        63
    Choyes  
       2020-11-17 14:14:58 +08:00
    @thisismr2 MjMzM0Bhc2lhLmNvbQ==
    需要 iOS 的兑换码,感谢!!!
    thisismr2
        64
    thisismr2  
    OP
       2020-11-17 14:16:42 +08:00
    51-60, 随机出 52

    ![image.png]( https://i.loli.net/2020/11/17/NJBsiO4X2VvcytR.png)

    @frankyxu 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you.
    tuochenlyu
        65
    tuochenlyu  
       2020-11-17 14:16:47 +08:00
    分母
    glaucus
        66
    glaucus  
       2020-11-17 14:18:44 +08:00
    蹲一个
    thisismr2
        67
    thisismr2  
    OP
       2020-11-17 14:20:13 +08:00
    @Choyes 已发
    bowser1701
        68
    bowser1701  
       2020-11-17 14:20:26 +08:00
    @thisismr2 来了,Ym93c2VyMTcwNEBnbWFpbC5jb20K, iOS.
    XiaoXiaoNiWa
        69
    XiaoXiaoNiWa  
       2020-11-17 14:22:50 +08:00
    分母
    1130335361
        70
    1130335361  
       2020-11-17 14:28:47 +08:00
    分母
    Blanke
        71
    Blanke  
       2020-11-17 14:29:34 +08:00
    有机会吗。。。
    wendellup2018
        72
    wendellup2018  
       2020-11-17 14:32:22 +08:00
    试试呢,经常抓包
    airycanon
        73
    airycanon  
       2020-11-17 14:33:40 +08:00
    @thisismr2 是否可以考虑 Desktop 使用 WiFi 共享网络给 Mobile 使用,这样应该也是一个单独的网卡。
    DonaldY
        74
    DonaldY  
       2020-11-17 14:35:23 +08:00
    分母
    ashong
        75
    ashong  
       2020-11-17 14:36:15 +08:00
    排队领取😄
    HFX3389
        76
    HFX3389  
       2020-11-17 14:36:34 +08:00
    分母~
    duzhor
        77
    duzhor  
       2020-11-17 14:36:52 +08:00
    万一呢拉低中奖率
    PingandA
        78
    PingandA  
       2020-11-17 14:38:26 +08:00
    参与一下
    fdgdbr
        79
    fdgdbr  
       2020-11-17 14:39:19 +08:00
    排队领取
    zzqims9527q
        80
    zzqims9527q  
       2020-11-17 14:40:55 +08:00 via iPhone
    参与
    sgdream
        81
    sgdream  
       2020-11-17 14:41:52 +08:00
    参与
    Drshu
        82
    Drshu  
       2020-11-17 14:45:01 +08:00
    参与
    qwerrewt
        83
    qwerrewt  
       2020-11-17 14:45:31 +08:00
    请教下是干啥的? Wireshark 好像本身就可以抓和解析
    arldeng
        84
    arldeng  
       2020-11-17 14:48:19 +08:00
    蹲一个!
    Lemeng
        85
    Lemeng  
       2020-11-17 14:48:33 +08:00
    还能参与吗?报个名
    Joeng
        86
    Joeng  
       2020-11-17 14:52:38 +08:00
    参与
    Esioner
        87
    Esioner  
       2020-11-17 14:52:48 +08:00
    做个分子
    tj646
        88
    tj646  
       2020-11-17 14:53:18 +08:00 via iPhone
    iOS 国区不能用?
    FaiChou
        89
    FaiChou  
       2020-11-17 14:53:23 +08:00
    大佬, 借楼问个问题, 用 Charles/mitmproxy/Thor 这种工具抓取到应用层的请求和用 Wireshark 抓取到的传输层请求有什么不同(在数据分析上面)吗? 因为平时没用过 Wireshark, 想了解下, 除了官方的文档, 还有什么比较好的教程吗?
    liguoqinjim
        90
    liguoqinjim  
       2020-11-17 14:58:13 +08:00
    蹲一个!
    thinkIn
        91
    thinkIn  
       2020-11-17 15:03:46 +08:00
    做个分子
    cfcboy
        92
    cfcboy  
       2020-11-17 15:04:39 +08:00
    蹲一个!
    cyrbuzz
        93
    cyrbuzz  
       2020-11-17 15:05:51 +08:00
    zi.
    ik
        94
    ik  
       2020-11-17 15:10:00 +08:00 via iPhone
    占楼
    Veneris
        95
    Veneris  
       2020-11-17 15:11:38 +08:00
    蹲一个
    Caratpine
        96
    Caratpine  
       2020-11-17 15:16:00 +08:00
    试试
    jackbull
        97
    jackbull  
       2020-11-17 15:16:41 +08:00 via iPhone
    目前在用 HttpCanary
    t2doo
        98
    t2doo  
       2020-11-17 15:18:47 +08:00
    来试试运气
    q474818917
        99
    q474818917  
       2020-11-17 15:22:47 +08:00
    来一个
    ColoThor
        100
    ColoThor  
       2020-11-17 15:24:15 +08:00
    试试
    1  2  3  4  5  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2307 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 16:04 · PVG 00:04 · LAX 08:04 · JFK 11:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.