PCAPdroid 是一款面向安卓设备开发的开源网络数据包捕获与分析工具，主要功能包括实时流量监控、协议解析、流量导出以及安全分析，能满足开发者、安全研究员和普通用户在网络调试与隐私保护方面的需求。它借助模拟VPN的方式避开系统权限约束，不需要Root权限就能捕获设备流量，与多数安卓设备适配。该工具可捕获TCP、UDP、IP、HTTP等常用协议的数据包，还能提取SNI、DNS查询、HTTP URL、远程IP地址等重要信息。

PCAPdroid功能特色

-记录并检查用户和系统应用程序建立的连接

-提取 SNI、DNS 查询、HTTP URL 和远程 IP 地址

-通过解码器检查 HTTP 请求和回复

-对完整连接的有效负载进行十六进制转储/文本形式的检查，并将其导出

-对HTTPS/TLS流量进行解密并导出SSLKEYLOGFILE文件

可以把流量转存到PCAP文件里，也能从浏览器获取流量，还能把它流式传输到远程接收端，用来做实时分析（比如用wireshark）

-创建规则来过滤掉良好的流量并轻松发现异常情况

-借助离线数据库检索并识别远程服务器所属的国家与ASN信息

在 root 权限的设备上，当其他 VPN 应用处于运行状态时对流量进行捕获

PCAPdroid抓包教程

实时抓包

显示为就绪状态后，点击就绪按钮或上方的开始按钮:arrow_forward:即可启动捕获，随后进入连接页面就能实时查看所有连接。

我们很容易发现，这些连接会明确标注出对应的产生进程，同时还会显示目的域名、所使用的协议、端口号以及连接状态等方面的基本信息。

过滤特定目标

左图借助搜索框筛选特定的目标主机，能看到这些连接当前处于关闭状态（CLOSED），这是由于采用了短连接场景；随意选中一个连接就能查看概览信息，涵盖连接持续时长、访问的URL、协议、进程与进程ID，还有产生的流量规模以及载荷长度。

查看HTTP请求和载荷

另外，通过HTTP协议及其载荷选项，能够清楚地查看这条TCP连接所对应的请求内容与响应内容。

这些文本可以任意复制或导出。

甚至可以显示为十六进制格式，点击右上角的格式转换按钮就能实现，具体效果如右图所示。

保存为PCAPNG格式进行分析

解锁并启用PCAPNG格式转储选项

存储文件形式为PCAPNG格式，此功能需付费解锁，当前解锁价格为13港币，解锁后还能使用TLS解密功能，只需在设置页面勾选相应选项即可。

设置数据包转储

数据包转储分为三类：

HTTP服务器转储：安卓系统会启动一个HTTP服务，用于提供PCAP包。

PCAP文件：直接以PCAP格式文件存储至手机。

UDP导出器：把PCAP文件发送至远程UDP接收器。

没有特殊需求，最直截了当的方式建议选择第二种。

实时抓包并保存为pcapng格式

以第二种转储方式为例，点击“就绪”开始抓包时，系统会按照时间格式对生成的数据包文件进行命名。

之后先暂停抓包操作，接着在文件管理器中找到我们之前转储保存的抓包文件。

导出到电脑上使用wireshark打开看看

打开后呈现的是标准数据包格式以及完整交互的报文，涵盖TCP握手、DNS查询、TLS握手等内容，仅这一步就几乎超越了当前市面上所有的安卓端抓包软件。

ICMP和UDP也能全部捕获到

wireshark安装lua插件显示名称

可选项中包含一个Lua脚本，在Wireshark里启用该脚本后，就能查看每个数据帧对应的进程信息。

前提：

①开启PCAPdroid的Trailer选项，并关闭PCAPNG格式（关闭PCAPNG格式不会影响你导出PCAP格式的文件）：

解密https/tls报文

要解密HTTPS/TLS报文，需先安装一个附加组件，并且得通过该附加组件来启动操作。

安装PCAPdroid-mitm

在设置页面勾选TLS解密选项，点击下一步后，系统会提示你安装附加组件的具体方法。

导出并安装CA证书

PCAPdroid mitm借助mitmproxy来代理TLS会话，所以要导出PCAPdroid mitmproxy的CA证书，还要在安卓系统设置中安装该证书，证书的名称可以自行设定。

启用TLS解密功能

安装完成后，打开PCAPdroid mitm，再启动PCAPdropid，进入设置界面就能顺利勾选开启TLS解密功能了。

PCAPdroid查ip方法

进入连接页面点击要查看的应用程序的ip活跃连接

然后就可以看到ip地址了

PCAPdroid常见问题

客户端不信任代理的证书，如何修复?

对于大部分应用程序而言，若要顺利解密TLS流量，您的设备需要先完成root操作。

如何从应用程序中提取URL?

您可以点击HTTP连接查看其详细信息，其中包含请求的URL。不过，多数应用程序采用HTTPS，这种情况下需借助中间人攻击（MITM）解密连接才能提取URL，具体可参考TLS解密部分。若应用有网页版，则无需解密连接，直接在电脑浏览器中打开应用，通过浏览器开发者工具检查连接数据会更便捷。

为什么要求我创建 VPN?

为了能在不获取 root 权限的情况下运行，这款应用借助 Android 的 VpnService API，直接在设备本地收集数据包。所有数据都不会离开设备。

我可以捕获网络中其他设备的流量吗?

不行。只能捕获该应用在其运行的Android设备上产生的流量。

为什么我会看到 IP 为 10.215.173.1/.2 的连接呢？

215.173.1 是所创建虚拟接口的 IP 地址。因为它充当代理，所以所有连接的源地址都是这个。10.215.173.2 则是 PCAPdroid 用来捕获 DNS 流量的虚拟 IP 地址。

我可以捕获热点/网络共享流量吗?

这取决于您所使用的操作系统的具体实现。一般而言，若没有 root 权限，通常是无法实现这一操作的。若想了解更详细的说明，您可以参考链接 https://github.com/emanuele-f/PCAPdroid/issues/20。另外，还有一种可行的解决办法，即仅针对 HTTP/S 流量进行捕获：您可以在 Android 手机上安装 HTTP 代理，然后将客户端设备的网络设置配置为使用该代理。

我连接到 Android 设备，但未被捕获

在非root模式下，仅由Android设备主动发起的出口连接会被路由至VPNService并被捕获。若从其他设备向局域网发起连接（比如ping操作），这类连接不会显示在其中。由于多数网络处于NAT或防火墙之后，实际能进入的连接仅来自设备所连接的局域网。

更新日志

v1.8.6版本

添加TCP导出器的转储模式（即pcap-over-ip模式）

通过API密钥对PCAPdroid捕获进行无提示控制

小编点评：

这款工具的优势在于：其一，界面友好度高，采用简洁直观的设计风格，即便是对网络分析领域不太熟悉的用户，也能迅速掌握使用方法；其二，功能十分强大，涵盖了实时流量监控、协议解析、流量导出等关键功能模块，能够满足不同场景下的多样化需求；其三，隐私安全有保障，所有数据均在本地完成处理，有效规避了隐私信息泄露的潜在风险；其四，具备开源免费的特性，用户可以自由地使用、修改以及扩展相关代码。 不过它也存在一些不足：一方面，HTTPS解密的配置过程较为复杂，需要搭配mitmproxy插件，并且要手动安装CA证书，这对于普通用户来说存在一定的技术门槛；另一方面，部分功能需要付费才能解锁，例如导出PCAPNG格式的文件，就需要支付13港币的费用。