iOS App的tcp、udp数据包抓取与分析教程

在对app进行安全分析时,有时需要检查app的网络接口请求是否安全,网络协议交互是否可被恶意利用。因此就需要运行app并捕获其与服务端交互的网络数据进行分析。前面文章已介绍过http、https数据包的捕获,该篇文章主要介绍捕获app的tcp、udp流量数据。我们将使用tcpdump捕获tcp、udp流量,再通过wireshark过滤、分析app的tcp、udp流量

一、tcpdump捕获app流量

  1. tcpdump安装(iOS设备已越狱)

    ios设备越狱后,则会在设备中安装cydia。安装tcpdump只需要打开cydia搜索"tcpdump",然后点击安装即可,如下所示

    image
    image

    如果搜索不到tcpdump,则可以尝试添加如下源

    https://apt.bingner.com

  2. 运行tcpdump捕获app流量

    ios设备通过数据线连接到电脑

    ssh连接ios设备,如下所示

    image

    使用命令ifconfig 查看tcpdump需要抓包的网络接口,如下所示

    image

    启动tcpdump监听上面查看到的网络接口,捕获该网络接口的数据流,并进行保存,如下所示

    捕获tcp、udp命令:tcpdump -i en0 -vv -w 1.pcap

    image

    运行需要分析的app,让它产生网络数据,如下所示

    image

    tcpdump继续抓包,app运行后不要马上关掉,准备查看app的流量特征

  3. 识别app的流量特征

    安装lsof,用于查看app网络交互信息。打开cydia,搜索"lsof",(lsof很强大,这里有点大材小用了,想了解更多关于lsof知识点的朋友可以自行百度Google或者查看文末的参考链接****)点击安装,如下所示

image
image

在运行app后,不要马上关掉app进程,我们要找出与app通信的服务端ip或者端口以及网络协议(tcp、udp),方便后续wireshark过滤

新开一个终端,ssh再连接一次ios设备,查看app的进程pid(比如该app的进程pid为11524),如下所示

image

找到app的进程pid后,查看app的网络交互情况,我们使用lsof,它可查看系统中的文件使用情况,广义上网络套接字也属于文件描述符,因此可以通过lsof查看,如下所示

image

lsof -i -a -p <pid> #我们上面查看到的进程pid

-i 表示 列出所有网络连接

-a 表示 指定当前用户

-p 表示 某个进程(pid)

我们即可看到该app网络交互的网络协议ip端口

最后停止tcpdump捕获app网络数据,结束抓包

image

二、wireshark过滤分析app流量

  1. wireshark下载安装

    wireshark下载,可通过如下链接下载(如果下载慢,也可以公众号回复"wireshark",百度盘下载)

    https://www.wireshark.org/download.html

    wireshark安装

    双击wireshark安装包,如下所示

    image

    拖动wireshark到Applications中

    image
  2. 根据app的流量特征过滤数据包

    通过scp将tcpdump捕获到的网络数据包拷贝到电脑中,如下所示

    image

    使用wireshark打开网络数据包,如下所示

    image
    image
  3. 根据上面识别到的app的流量特征(IP、端口)过滤出app的流量,如下所示

    image
  4. 跟踪app的整个流量交互过程

    右键选择 follow

    image

    再选择 tcp stream

    image

    即可看到app与服务端tcp网络交互过程

    image
  5. 后续文章将对app进行逆向分析还原交互过程

参考链接:

https://linux.die.net/man/8/lsof

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,377评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,390评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,967评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,344评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,441评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,492评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,497评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,274评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,732评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,008评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,184评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,837评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,520评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,156评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,407评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,056评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,074评论 2 352

推荐阅读更多精彩内容