移动端抓包全流程指南,HTTPS 解密、TCP 数据流分析与多工具协同方案

在移动应用开发、接口联调、性能分析以及网络异常排查中,移动端抓包是最重要也是最常用的技术手段之一。无论是 iOS 还是 Android,移动端网络协议正在变得越来越复杂:HTTPS 全面普及、HTTP/2/HTTP/3 使用增多、证书 Pinning 成为常态、App 内部自定义协议不断出现。这些变化导致开发者常遇到一个问题:

“为什么移动端抓包这么难?代理明明开了,却抓不到包。”

这不是工具的问题,而是移动端网络本身的特性决定的。

要解决移动端抓包难题,一定需要 分层工具协同:代理 + 协议分析 + 底层补抓,而不是依赖某一种软件。

一、为什么移动端抓包比 PC 抓包更困难?

移动端抓包之所以困难,主要因为网络链路复杂、协议多样、安全策略严格。

HTTPS 证书链严格,只要链不完整就无法解密

表现:

Charles 看到 CONNECT

明文 HTTPS 看不到

App 报 SSL 错误

iOS/Android 都对证书链极其敏感。

App 普遍使用证书 Pinning(最高频原因)

特征:

浏览器能抓

App 完全抓不到

代理工具界面干干净净

Pinning 直接拒绝代理证书,所有代理类抓包工具统统失效。

HTTP/3 / QUIC(UDP)绕过所有代理工具

移动端大量接口开始使用 QUIC。

代理工具抓不到的常见原因:

QUIC 流量天然不走 TCP

视频 / 动态流媒体 / 热点 API 常用 QUIC

Wireshark 可以看到 UDP,但代理工具没有请求

App 可能使用 WebSocket 或自定义 TCP 协议

大量 SDK 和业务逻辑采用自定义协议,绝不会走系统 HTTP 代理,因此:

Charles / Fiddler 全部无效

tcpdump 能看到二进制流

流量分析需要底层工具

系统代理容易被覆盖

包括:

VPN

安全软件

MDM 网络策略

Wi-Fi 企业代理

代理失效,自然抓不到包。

二、移动端抓包软件的分类(按分工,而不是谁好谁坏)

只有分层使用才能覆盖所有网络场景。

① 代理类抓包工具(第一层)

常见:

Charles

Proxyman

Fiddler

mitmproxy

适用于:

解密 HTTPS

调试接口

修改请求与响应

不适用于:

Pinning

QUIC

自定义协议

② 协议层抓包工具(第二层)

包括:

Wireshark

tcpdump

用途:

分析 TLS 握手

判断丢包重传

查看是否走 UDP/QUIC

判断是否发起请求

疑难网络问题必须回到协议层。

③ 自动化抓包工具(第三层)

如:

pyshark

scapy

mitmproxy scripting

适用于实验室和 CI 环境。

④ 底层补抓工具(关键的第四层)

当代理工具完全失效时,需要“非代理”抓包方式。

抓包大师(Sniffmaster)在移动端抓包体系中的作用

Sniffmaster 的实际功能:

捕获 HTTPS / HTTP / TCP / UDP

自动分析协议类型(mdns、HTTPS、HTTP 等)

按 App / 域名过滤,解决“噪音太大”的问题

查看数据流的多种格式(HEX / 文本 / 二进制)

提供 JavaScript 拦截器,可修改请求/响应

支持导出 Wireshark 可读取的 pcap 文件

跨平台支持 macOS / Windows / iOS

能够覆盖代理软件抓不到的场景:

App 启用 pinning

QUIC / HTTP3

自定义 TCP 协议

系统代理失效

HTTPS 握手异常排查(配合 Wireshark)

它不是替代 Charles,而是成为移动端抓包体系中不可或缺的“底层补抓层”。

三、移动端抓包完整流程(适合直接写进团队 Wiki)

① 首先使用代理工具抓包(能抓就继续)

包括 Charles / Proxyman / Fiddler。

如果可以看到 HTTPS 明文 → 说明代理正常。

② 如果只有 CONNECT → 证书链问题

检查:

证书是否被完全信任

Wi-Fi 是否插入中间证书

ATS 是否拒绝证书

③ Safari 能抓 App 抓不到 → 证书 Pinning

这是代理抓不到包的最典型场景。

④ 某些接口抓不到 → QUIC / HTTP3

验证:

禁用 QUIC

切换网络

Wireshark 查看是否走 UDP

⑤ 代理完全无效 → 用 Sniffmaster 抓底层流量

补抓步骤:

在 Sniffmaster 选择 App 或域名过滤

捕获 HTTPS/TCP/UDP 原始数据流

导出 pcap 文件

在 Wireshark 分析 TLS 握手、协议类型、错误码

确定根因:Pinning?QUIC?自定义协议?链路异常?

若需要,继续使用代理工具做业务调试

这是解决移动端抓包疑难问题最有效的方式。

四、工程案例:移动端 App 一直抓不到包

表现:

Charles 无流量

证书已信任

Wi-Fi 切换无变化

排查步骤:

Charles 设置无问题

Safari 可抓 → proxy 有效

App 无流量 → 怀疑 pinning

使用 Sniffmaster 拦截流量

Wireshark 发现 TLS Alert: unknown_ca

后端日志无对应请求

最终确认:App 启用了证书指纹校验

只有通过底层抓包才找到真正原因。

移动端抓包可以采用多工具组合

抓包层级

工具

作用

代理层

Charles / Fiddler / Proxyman

常规 HTTPS 抓包

协议层

tcpdump / Wireshark

TLS、QUIC、TCP 问题定位

自动化层

pyshark / scapy

自动化测试与统计

补抓层

抓包大师(Sniffmaster)

pinning / QUIC / 自定义协议

单一软件永远无法覆盖移动端所有场景,多工具协同是唯一解决方案。


TOP