使用 Wireshark 分析 iOS 和 Android 的所有 TCP&UDP 协议(和 TLS 解密)

資深大佬 : thisismr2 5

借助 Wireshark, 包括但不限于 HTTP 协议, 基本上所有主流协议都能分析, 包括 UDP 协议. 所以对于网络协议抓包分析的工作者应该是很有帮助的

视频

App

Wireshark Helper https://www.txthinking.com

iOS https://apps.apple.com/us/app/wireshark-client/id1534485108

Android https://play.google.com/store/apps/details?id=com.txthinking.wireshark

兑换码

兑换码发放: 每 10 , 按 1-10 的随机数抽一次奖, 比如 1-10 抽一次, 11-20 抽一次, 21-30 抽一次… 抽的结果会在帖子内截图. 用 google 随机数生成器抽. 被抽到的可以选择需要 iOS 或 Android 端其中的一个兑换码

google 随机数生成器长这个样子

https://i.imgur.com/WLrgWLr.png https://i.loli.net/2020/11/17/OwyukCsVGrUx8Jq.png

大佬有話說 (100)

資深大佬 : Blanke

ssl pinning 的也行？
資深大佬 : daohannce

蹲一个抽奖！
資深大佬 : 0o0O0o0O0o

brook 作者吗
資深大佬 : SeanChense

@Blanke 本质上还是中间人，所以不能
主資深大佬 : thisismr2

原理是中间人攻击. 对于证书固定的可以搭配 xposed
資深大佬 : ahhui

来试试运气
資深大佬 : ylls

来试试运气
主資深大佬 : thisismr2

根据 TLS 的原理, TLS 解密的难度可以分为很多种: 1 可以; 2 可以但很复杂; 3 可以但非常复杂; 4 不可以(除非能破解源码)
写这个的时候, 我曾试图解决更多, 但发现要想解决更多, 基本上都需要到 hack 操作系统机制的地步了, 当然大部分情况都是 1 的情况. 所以有 2,3 特殊情况时, 可以搭配 xposed 的模块已经算成熟了
資深大佬 : coderabbit

分子
資深大佬 : 3dwelcome

如果客户端代码里对服务器的 SSL 证书做强校验，这就没办法了吧。
本质上还是个代理，自动颁发证书，又不可能破解源代码。
資深大佬 : VAZ

分子
資深大佬 : Choyes

坐等开奖
資深大佬 : viniedodo

来试试运气
資深大佬 : cydysm

当分子
資深大佬 : bowser1701

分子
資深大佬 : terencehan

分子
主資深大佬 : thisismr2

1-10 . 随机得出 2

https://i.loli.net/2020/11/17/xZ4Ibhfe8rSkVNG.png

@daohannce 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you.
資深大佬 : illl

分子
資深大佬 : Meltdown

QUIC 能分析吗
主資深大佬 : thisismr2

@3dwelcome 如果是 android 可以用 xposed 钩子, 基本能达到修改 TLS 相关代码的效果
資深大佬 : thinkIn

蹲一个
資深大佬 : zhoudaiyu

分子
資深大佬 : charslee013

康康
資深大佬 : refine

拉低中奖率
主資深大佬 : thisismr2

@Meltdown QUIC 好像是 UDP 之上的 TLS, 这个我还不确定.有机会我会试试
資深大佬 : enjolife

试试运气
主資深大佬 : thisismr2

11-20 随机出 15:

https://i.loli.net/2020/11/17/3j5E9ohPvJWHp4q.png

@bowser1701 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you.
資深大佬 : songjiaxin2008

分母
資深大佬 : gimp

哈哈，当个分母
資深大佬 : VHacker1989

能 hook 掉证书校验吗
資深大佬 : NicholasXuan

请教下 quic 支持么
資深大佬 : 1password

蹲一个
資深大佬 : sapphires

蹲一个～
主資深大佬 : thisismr2

21-30. 随机出 26:

https://i.loli.net/2020/11/17/GCTVoa17tDM5u6k.png

@enjolife 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you.
資深大佬 : ipadpro4k

ios 都有了？ 666
資深大佬 : magic3584

官方的吗？
資深大佬 : Choyes

再蹲一个试试
主資深大佬 : thisismr2

有没有测试当前手机浏览器是否支持 http3/quic 的网站, 想抓下试试
資深大佬 : jinksw

分母
資深大佬 : echo314

支持一下。
主資深大佬 : thisismr2

@VHacker1989 可以搭配 xposed, 你搜下有个 JustTrustMe
資深大佬 : crystom

我要中奖
資深大佬 : baozijun

蹲一个
資深大佬 : Mitt

谢谢参与
資深大佬 : peige

分母
資深大佬 : aerzha

分母+1
資深大佬 : alpenstock

争取做分子
資深大佬 : airycanon

iOS 抓包一直用 Charles，之前想换 Wireshark，但解决不了 TLS 解密的问题，你这个工具又让我燃起了希望。

请问一下原理是这样么？
1. 在 Desktop 启动一个代理，提供根证书给 Mobile 安装。
2. 由 Mobile 安装根证书，并设置使用该代理访问网络。
3. 第 1 步的代理同时生成 key log file 给 Wireshark 解密流量包。
資深大佬 : MikeV2EX

这个是刚需，支持一波
主資深大佬 : thisismr2

31-40, 随机出 37:

https://i.loli.net/2020/11/17/Fhl9AItsZLDq2px.png
@Choyes 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you.
**因为如果给我发邮件, 我不能确定给我发送者是几**
資深大佬 : Rekkles

试试~
資深大佬 : frankyxu

蹲一个
資深大佬 : guoyida

分母来了
資深大佬 : MicroPan

支持一波
資深大佬 : Arainc

吨吨吨
資深大佬 : zspzwal

开奖把
主資深大佬 : thisismr2

@airycanon 是的. 正确. 我再补充下 Mobile 那块的原理, 就是从传输层(TCP/UDP)拦截流量, 给桌面, 这样 wireshark 就能从桌面的网卡抓到所有的 Mobile 的 TCP 和 UDP 了. 最一开始还想在桌面单独弄一个网卡, 这样 wireshark 看到的就不是桌面和 Mobile 混着的流量了, 但是为了桌面 Helper 不用 root/admin 权限以及 wireshark 的过滤器超级强大, 暂时没那么做.
資深大佬 : silencefly

做个分子
資深大佬 : JL1990

试试运气
主資深大佬 : thisismr2

41-50, 随机出 42

https://i.loli.net/2020/11/17/O6o2F4pWhy1sm9g.png

@crystom 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you.
主資深大佬 : thisismr2

@ipadpro4k iOS 审核了快 2 个月了才审核通过, 和审核人员解释这种应用太难了. 太技术性质.
資深大佬 : llouye

试试手气
資深大佬 : Choyes

@thisismr2 MjMzM0Bhc2lhLmNvbQ==
需要 iOS 的兑换码，感谢！！！
主資深大佬 : thisismr2

51-60, 随机出 52

![image.png]( https://i.loli.net/2020/11/17/NJBsiO4X2VvcytR.png)

@frankyxu 请在这里 base64 一下你的邮箱, 然后告知需要 ios 还是 android 端的兑换码. Thank you.
資深大佬 : tuochenlyu

分母
資深大佬 : glaucus

蹲一个
主資深大佬 : thisismr2

@Choyes 已发
資深大佬 : bowser1701

@thisismr2 来了，Ym93c2VyMTcwNEBnbWFpbC5jb20K, iOS.
資深大佬 : XiaoXiaoNiWa

分母
資深大佬 : 1130335361

分母
資深大佬 : Blanke

有机会吗。。。
資深大佬 : wendellup2018

试试呢，经常抓包
資深大佬 : airycanon

@thisismr2 是否可以考虑 Desktop 使用 WiFi 共享网络给 Mobile 使用，这样应该也是一个单独的网卡。
資深大佬 : DonaldY

分母
資深大佬 : ashong

排队领取
資深大佬 : HFX3389

分母~
資深大佬 : duzhor

万一呢拉低中奖率
資深大佬 : PingandA

参与一下
資深大佬 : fdgdbr

排队领取
資深大佬 : zzqims9527q

参与
資深大佬 : sgdream

参与
資深大佬 : Drshu

参与
資深大佬 : qwerrewt

请教下是干啥的？ Wireshark 好像本身就可以抓和解析
資深大佬 : arldeng

蹲一个！
資深大佬 : Lemeng

还能参与吗？报个名
資深大佬 : Joeng

参与
資深大佬 : Esioner

做个分子
資深大佬 : tj646

iOS 国区不能用？
資深大佬 : FaiChou

大佬, 借问个问题, 用 Charles/mitmproxy/Thor 这种工具抓取到应用层的请求和用 Wireshark 抓取到的传输层请求有什么不同(在数据分析上面)吗? 因为平时没用过 Wireshark, 想了解下, 除了官方的文档, 还有什么比较好的教程吗?
資深大佬 : liguoqinjim

蹲一个！
資深大佬 : thinkIn

做个分子
資深大佬 : cfcboy

蹲一个！
資深大佬 : cyrbuzz

zi.
資深大佬 : ik

占
資深大佬 : Veneris

蹲一个
資深大佬 : Caratpine

试试
資深大佬 : jackbull

目前在用 HttpCanary
資深大佬 : t2doo

来试试运气
資深大佬 : q474818917

来一个
資深大佬 : ColoThor

试试