Android下使用TCPDUMP实现数据抓包教程

如果想分析Android下 某个APP的网络数据交互，需要在Android手机上抓包，最常用的抓包工具非tcpdump莫属，用tcpdump生成Wireshark识别的 pcap文件，然后将pcap文件下载到电脑上，用电脑上的Wireshark加载pcap文件，通过Wireshark分析tcpdump抓取的数据。

一、安装tcpdump

为Android手机安装tcpdump，首先必须将Android手机root，现在市面上常用的root工具都很傻瓜很强大，推荐使用root精灵，将手机root以后，我们就可以为手机安装tcpdump了。

先下载tcpdump文件， 下载地址：http://xiazai.jb51.net/201502/other/tcpdump.rar

adb push tcpdump /sdcard/ 
adb Shell 
su 
cat /sdcard/tcpdump > /system/bin/tcpdump 

上一条命令如果提示没有权限，接着执行如下命令尝试给 /system 目录增加写权限

su
mount

在mount结果中找到包含/system的一行，类似如下：

/dev/block/platform/msm_sdcc.1/by-name/system /system ext4 ro,seclabel,relatime,data=ordered 0 0 

去处/system前半行，即/dev/block/platform/msm_sdcc.1/by-name/system，执行如下命令：

mount -o remount /dev/block/platform/msm_sdcc.1/by-name/system /system 

这个时候/system就拥有写权限了，继续执行：

cat /sdcard/tcpdump > /system/bin/tcpdump 
chmod 777 /system/bin/tcpdump 

到此为止，tcpdump就成功安装到了/system/bin/目录下，接着用如下命令还是抓包

二、使用tcpdump抓包

tcpdump -i wlan0 -s 0 -w /sdcard/1.pcap 

可以结束时使用Ctrl+c快捷键让tcpdump结束抓包，抓到数据会存到/sdcard/1.pcap文件内

重新打开一个终端（Terminal），执行如下命令

adb pull /sdcard/1.pcap . 

1.pcap文件被下载到了终端上的当前目录下

三、安装Wireshark并分析pcap文件

从Wireshark官网https://www.wireshark.org/下 载适合你系统的Wireshark，然后点击你下载后的Wireshark安装包安装好Wireshark，找到刚刚下载好的1.pcap文件，双击 1.pcap文件，1.pcap文件会自动被Wireshark打开。在Wireshark的Filter内输入如下一些过滤条件，可以更加方便地分析数 据来源。

tcp.port == 80 //过滤来自80端口的TCP数据 
udp.port == 12345 //过滤来自12345端口的UDP数据 
ip.src == 192.168.0.1 //过滤源IP为192.168.0.1的数据 
ip.dst == 192.168.0.1 //过目的IP为192.168.0.1的数据 

以上过滤条件可以用and跟or相互组合，例如

tcp.port == 80 and ip.src == 192.168.0.1 //过滤来自80端口，源IP为192.168.0.1的TCP数
udp.port == 12345 or ip.dst == 192.168.0.1 //过滤来自12345端口的UDP数据，或者目的IP为192.168.0.1的数据