在移动应用开发、接口联调、性能分析以及网络异常排查中,移动端抓包是最重要也是最常用的技术手段之一。无论是 iOS 还是 Android,移动端网络协议正在变得越来越复杂:HTTPS 全面普及、HTTP/2/HTTP/3 使用增多、证书 Pinning 成为常态、App 内部自定义协议不断出现。这些变化导致开发者常遇到一个问题:
“为什么移动端抓包这么难?代理明明开了,却抓不到包。”
这不是工具的问题,而是移动端网络本身的特性决定的。
要解决移动端抓包难题,一定需要 分层工具协同:代理 + 协议分析 + 底层补抓,而不是依赖某一种软件。
一、为什么移动端抓包比 PC 抓包更困难?
移动端抓包之所以困难,主要因为网络链路复杂、协议多样、安全策略严格。
HTTPS 证书链严格,只要链不完整就无法解密
表现:
Charles 看到 CONNECT
明文 HTTPS 看不到
App 报 SSL 错误
iOS/Android 都对证书链极其敏感。
App 普遍使用证书 Pinning(最高频原因)
特征:
浏览器能抓
App 完全抓不到
代理工具界面干干净净
Pinning 直接拒绝代理证书,所有代理类抓包工具统统失效。
HTTP/3 / QUIC(UDP)绕过所有代理工具
移动端大量接口开始使用 QUIC。
代理工具抓不到的常见原因:
QUIC 流量天然不走 TCP
视频 / 动态流媒体 / 热点 API 常用 QUIC
Wireshark 可以看到 UDP,但代理工具没有请求
App 可能使用 WebSocket 或自定义 TCP 协议
大量 SDK 和业务逻辑采用自定义协议,绝不会走系统 HTTP 代理,因此:
Charles / Fiddler 全部无效
tcpdump 能看到二进制流
流量分析需要底层工具
系统代理容易被覆盖
包括:
VPN
安全软件
MDM 网络策略
Wi-Fi 企业代理
代理失效,自然抓不到包。
二、移动端抓包软件的分类(按分工,而不是谁好谁坏)
只有分层使用才能覆盖所有网络场景。
① 代理类抓包工具(第一层)
常见:
Charles
Proxyman
Fiddler
mitmproxy
适用于:
解密 HTTPS
调试接口
修改请求与响应
不适用于:
Pinning
QUIC
自定义协议
② 协议层抓包工具(第二层)
包括:
Wireshark
tcpdump
用途:
分析 TLS 握手
判断丢包重传
查看是否走 UDP/QUIC
判断是否发起请求
疑难网络问题必须回到协议层。
③ 自动化抓包工具(第三层)
如:
pyshark
scapy
mitmproxy scripting
适用于实验室和 CI 环境。
④ 底层补抓工具(关键的第四层)
当代理工具完全失效时,需要“非代理”抓包方式。
抓包大师(Sniffmaster)在移动端抓包体系中的作用
Sniffmaster 的实际功能:
捕获 HTTPS / HTTP / TCP / UDP
自动分析协议类型(mdns、HTTPS、HTTP 等)
按 App / 域名过滤,解决“噪音太大”的问题
查看数据流的多种格式(HEX / 文本 / 二进制)
提供 JavaScript 拦截器,可修改请求/响应
支持导出 Wireshark 可读取的 pcap 文件
跨平台支持 macOS / Windows / iOS
能够覆盖代理软件抓不到的场景:
App 启用 pinning
QUIC / HTTP3
自定义 TCP 协议
系统代理失效
HTTPS 握手异常排查(配合 Wireshark)
它不是替代 Charles,而是成为移动端抓包体系中不可或缺的“底层补抓层”。
三、移动端抓包完整流程(适合直接写进团队 Wiki)
① 首先使用代理工具抓包(能抓就继续)
包括 Charles / Proxyman / Fiddler。
如果可以看到 HTTPS 明文 → 说明代理正常。
② 如果只有 CONNECT → 证书链问题
检查:
证书是否被完全信任
Wi-Fi 是否插入中间证书
ATS 是否拒绝证书
③ Safari 能抓 App 抓不到 → 证书 Pinning
这是代理抓不到包的最典型场景。
④ 某些接口抓不到 → QUIC / HTTP3
验证:
禁用 QUIC
切换网络
Wireshark 查看是否走 UDP
⑤ 代理完全无效 → 用 Sniffmaster 抓底层流量
补抓步骤:
在 Sniffmaster 选择 App 或域名过滤
捕获 HTTPS/TCP/UDP 原始数据流
导出 pcap 文件
在 Wireshark 分析 TLS 握手、协议类型、错误码
确定根因:Pinning?QUIC?自定义协议?链路异常?
若需要,继续使用代理工具做业务调试
这是解决移动端抓包疑难问题最有效的方式。
四、工程案例:移动端 App 一直抓不到包
表现:
Charles 无流量
证书已信任
Wi-Fi 切换无变化
排查步骤:
Charles 设置无问题
Safari 可抓 → proxy 有效
App 无流量 → 怀疑 pinning
使用 Sniffmaster 拦截流量
Wireshark 发现 TLS Alert: unknown_ca
后端日志无对应请求
最终确认:App 启用了证书指纹校验
只有通过底层抓包才找到真正原因。
移动端抓包可以采用多工具组合
抓包层级
工具
作用
代理层
Charles / Fiddler / Proxyman
常规 HTTPS 抓包
协议层
tcpdump / Wireshark
TLS、QUIC、TCP 问题定位
自动化层
pyshark / scapy
自动化测试与统计
补抓层
抓包大师(Sniffmaster)
pinning / QUIC / 自定义协议
单一软件永远无法覆盖移动端所有场景,多工具协同是唯一解决方案。