在日常开发和联调里,iOS 抓包常常是定位网络问题的第一步,但"抓到包"不等于"定位到原因"。本文从工程角度出发,说明常见抓包工具的分工与适用场景,给出可复制的真机抓包与对比分析流程,并在不可用代理或启用证书 pinning 时,说明如何用Sniffmaster抓包补足证据链。
工具与职责(按层次分工)
- 代理类(应用层,解密):Charles / Proxyman / Fiddler / mitmproxy。适合开发联调、查看 HTTP/HTTPS 明文、断点修改与复放。优点:直观、可编辑;限制:需在设备上安装并信任 CA,遇到 pinning 无效。
- 安全测试:Burp Suite。用于深度篡改、模糊测试与自动化攻击回放。
- 底层抓包与分析 :tcpdump / tshark / Wireshark。用于服务器或网关侧抓原始包(
-s 0),查看 TCP 三次握手、TLS 握手、重传等;适合做证据对比与法医级分析。 - 复现与重放:tcpreplay、socat。把抓到的流量在隔离环境重放,帮助开发复现问题。
- 设备侧直连抓包:当代理安装不可行或 App 启用 pinning 时,需要从设备直接导出原始流量。此类工具能在不越狱、不改包的前提下,通过 USB 直连 iOS 设备并按 App 过滤导出 pcap,便于与服务端 pcap 在 Wireshark 中逐帧对比(示例工具之一为抓包大师 Sniffmaster,用于获取设备端证据,合规使用)。
实战流程(一步步做)
- 复现与记录:记录设备型号、iOS 版本、App 版本、网络类型、精确时间点(秒级)与 request-id。
- 先用代理排查:在可控机上配置 Charles/Proxyman,安装 CA,复现问题;若能看到明文,优先定位请求头、签名或返回码差异。
- 服务器侧抓包 :若代理看不到或代理无效,在边缘/源站抓 tcpdump:
sudo tcpdump -i any host <device_ip> and port 443 -s 0 -w /tmp/server.pcap。 - 设备侧抓包(最后手段):若 App 有 pinning 或代理受限,按合规流程导出 device.pcap(按 App 过滤以减少噪音)。
- 对比分析:在 Wireshark 中并排打开 server.pcap 与 device.pcap,先对齐时间线,再比较 ClientHello(SNI)、ServerHello、证书链与 tls.alert。判断问题是客户端拒绝、透明代理替换证书、还是源站配置问题。
- 复现验证:修复后在相同环境(同设备、同网络)复测并保存日志与 pcap 以归档。
典型案例(简短)
用户报告仅在公司 Wi-Fi 上 iOS App 登录失败,桌面与浏览器正常。操作:收集时间→服务端抓 pcap→用户导出 device.pcap(USB 直连工具)→Wireshark 对比发现设备端证书 Issuer 与服务器不同→结论:公司边界做了证书替换(透明代理),与网络团队协商处理或在 App 内提示用户。
注意事项与合规
设备侧抓包会泄露敏感信息(Token、用户数据)。任何抓包操作必须走审批、限定时间窗、最小化过滤并对导出文件加密保存、定期销毁或脱敏。把常用脚本、过滤器与对比流程写入团队 playbook,避免重复劳动。