實時監控Android裝置網路封包

對android網路抓包分析，一般是使用tcpdump抓個檔案，再到pc用wireshark開啟分析。能不能達到直接使用wireshark的效果？答案是可以的，至少已經非常接近了。實現起來很簡單，原理就是將tcpdump的資料重定向到網路埠，再通過管道(pipe)轉到wireshark就可以了。

如下圖所示:

android上使用的指令:

i. tcpdump

正是因為可以生成libpcap格式的資料，wireshark可以加以處理。

官網:下面這個鏈結介紹了android版本的編譯:

ii. netcat, 又稱為瑞士軍刀，小巧而功能強悍。如果在手機沒有nc指令，可以方便地使用busybox提供的版本(直接到google play裡安裝)。

iii. wireshark, 不囉嗦了。

準備好了工具，依下面的方式執行兩條指令就可以了 (只需要替換tcpdump所在的路徑，以及nc前要不要加個busybox):

i. 使用adb shell在android裝置上執行:

tcpdump -n -s 0 -w - | busybox nc -l -p 11233

*其中nc -l -p 11233, 即建立乙個伺服器端，以11233埠提供服務。需要以root使用者執行。

ii. 在主機的命令下執行:

adb forward tcp:11233 tcp:11233 && nc 127.0.0.1 11233 | wireshark -k -s -i -

*其nc 127.0.0.1 11233，即建立乙個客戶端，連線到本機的11233埠。wireshark的引數見後面的補充說明。

*在mac os下有時需要在wireshark前加上sudo, 不然開啟失敗。如果沒有看到結果，可以在nc指令加-v引數，顯示更多的資訊來檢視。比如出現"connection refused「時，注意檢查指定的埠號是否正確。

也可以參考這裡:

效果如下，注意標題顯示"capturing from standard input"。

i. tcpdump詳解

ii. 什麼是libpcap格式

iii. wireshark引數

官方:docs/man-pages/wireshark.html

*wireshark還帶一些其它指令，如下：

docs/man-pages/

其它有關生產力相關的文章，看這裡。