PCAPdroid

PCAPdroid是一款专为安卓设备设计的开源网络数据包捕获与分析工具，也就是常说的抓包工具，其凭借其无Root捕获、实时监控与深度分析能力，成为手机端抓包的利器。该工具通过模拟VPN机制绕过系统权限限制，无需Root即可捕获设备流量，并支持导出为PCAP/PCAPNG格式，兼容Wireshark等主流分析软件。

PCAPdroid抓包工具的核心功能包括实时流量监控、HTTP/TLS解密、DNS查询提取及防火墙规则配置，可精准识别异常连接、恶意软件通信及隐私泄露风险。用户可利用其过滤功能定位特定应用或协议的网络行为，优化通信性能，还能通过流量分析检测中间人攻击、数据窃取等威胁。此外，PCAPdroid支持UDP流式传输、IP归属地离线查询等高级特性，结合nDPI协议分类库，可实现千种应用协议的智能识别，为移动网络环境提供全链路透明化监控能力，有需要的用户可以在本站免费下载使用。

功能特色

-记录并检查用户和系统应用程序建立的连接

-提取 SNI、DNS 查询、HTTP URL 和远程 IP 地址

-通过内置解码器检查 HTTP 请求和回复

-检查完整连接有效负载作为十六进制转储/文本并将其导出

-解密 HTTPS/TLS 流量并导出 SSLKEYLOGFILE

-将流量转储到 PCAP 文件，从浏览器下载，或将其流式传输到远程接收器以进行实时分析（例如，wireshark）

-创建规则来过滤掉良好的流量并轻松发现异常情况

-通过离线数据库查找识别远程服务器的国家和 ASN

-在 root 设备上，在其他 VPN 应用程序运行时捕获流量

PCAPdroid抓包教程

1、实时抓包

显示为就绪状态后，点击就绪或上面的开始按钮:arrow_forward:便可开始捕获，之后到连接页面可以实时查看所有的连接：

不难发现，这些连接会标注是哪些APP进程产生，并显示目的域名、协议、端口，以及连接状态等基本信息。

1）过滤特定目标

左图通过搜索框过滤特定目标主机，可以看到这些连接目前已经是关闭状态(CLOSED)，因为用的是短连接场景；任意点选一个连接可以看到概览信息，包括连接持续时间，访问的URL、协议、进程APP和进程ID，以及产生的流量大小和载荷长度：

2）查看HTTP请求和载荷

此外，HTTP以及载荷选项可以清晰看到这条TCP连接，所请求的内容和响应的内容：

这些文本可以任意复制或导出。

甚至可以显示为十六进制格式，点击右上角的格式转换即可，如右图所示：

2、保存为PCAPNG格式进行分析

1）解锁并启用PCAPNG格式转储选项

存储为PCAPNG格式，付费后解锁的功能，目前价格是13港币即可解锁，并且解锁后允许进行TLS解密，在设置里面勾选即可：

2）设置数据包转储

数据包转储分为三类：

HTTP服务器转储：安卓将会启动一个HTTP服务，提供PCAP包的下载；

PCAP文件：直接以PCAP格式文件存储到手机；

UDP导出器：发送PCAP文件到一个远程UDP接收器。

没有特殊需求，最直截了当的方式建议选择第二种。

3）实时抓包并保存为pcapng格式

以第二种转储方式为例，点击就绪进行抓包，会以时间格式对数据包文件进行命名：

之后暂停抓包，在文件管理器里找到我们转储的抓包文件：

导出到电脑上使用wireshark打开看看

打开后是标准的数据包格式和完整交互的报文，包括TCP握手、DNS查询、TLS握手等，到这一步几乎已经秒杀目前市面上所有的安卓端抓包软件。

ICMP和UDP也能全部捕获到

4）wireshark安装lua插件显示APP名称

可选项，官方提供了一个lua脚本，在wireshark中启用此脚本后，可以看到每一个数据帧对应的进程APP是谁

前提：

①开启了PCAPdroid Trailer选项，并禁用了PCAPNG格式（禁用PCAPNG格式依然不影响你转储PCAP格式文件）：

3、解密https/tls报文

解密HTTPS/TLS报文，前提需要安装一个附加组件，并且使用这个附加组件来启动app。

1）安装PCAPdroid-mitm

在设置页面勾选TLS解密，点击下一步会提示你如何安装附加组件：

2）导出并安装CA证书

PCAPdroid mitm使用mitmproxy代理TLS会话，因此需要导出PCAPdroid mitmproxy的CA证书，并且在安卓系统设置里安装证书，证书名称任意

3）启用TLS解密功能

安装完毕后，使用PCAPdroid mitm打开PCAPdropid，在设置里便可成功勾选启用TLS解密功能：

PCAPdroid查ip方法

1、进入连接页面点击要查看的应用程序的ip活跃连接

2、然后就可以看到ip地址了

常见问题

1、客户端不信任代理的证书，如何修复？

对于大多数应用程序，您需要已 root 的设备才能成功解密 TLS 流量。

2、如何从应用程序中提取URL？

您可以点击 HTTP 连接来显示其详细信息，其中包括请求的 URL。但是，大多数应用程序都使用 HTTPS，在这种情况下，需要通过中间人攻击 (MITM) 解密连接才能提取 URL。有关详细信息，请参阅 TLS 解密部分 。如果应用程序提供网页版，则无需解密连接，而是更轻松地在 PC 上的浏览器中打开应用程序，并通过浏览器开发者工具检查连接数据。

3、为什么要求我创建 VPN？

为了实现无需 root 权限运行，该应用利用 Android VpnService API 在设备本身上收集数据包。不会有任何数据离开设备。

4、我可以捕获网络中其他设备的流量吗？

不可以。app仅捕获其运行的 Android 设备的流量。

5、为什么我会看到 IP 为 10.215.173.1/.2 的连接？

10.215.173.1 是创建的虚拟接口的 IP 地址。由于app充当代理，因此所有连接都具有此源地址。 10.215.173.2 是 PCAPdroid 用于捕获 DNS 流量的虚拟 IP 地址。

6、我可以捕获热点/网络共享流量吗？

这取决于您的操作系统实现。通常情况下，没有 root 权限是无法实现的。详细说明请参阅 https://github.com/emanuele-f/PCAPdroid/issues/20。有一种解决方法可以仅捕获 HTTP/S 流量，即在 Android 手机上安装 HTTP 代理，并配置客户端设备使用该代理。

7、我连接到 Android 设备，但未被捕获

在非 root 模式下，只有出口连接（即由 Android 设备发起的连接）会被路由到 VPNService 并被捕获。如果您从其他设备发起到 LAN 的连接（例如 ping），则此类连接不会显示在app中。大多数网络都位于 NAT 或防火墙之后，因此实际上入口连接只能从设备连接到您的 LAN。

更新日志

v1.8.8版本

支持16KB页面大小的设备

使PCAP/CSV文件名前缀可配置

修复根可能无效的Pcapng块长度

新的API选项：full_payload、密钥日志文件名、解密规则