微信内置的tbs浏览器和现在新的一些android手机浏览器做了dns防护,他们的主要目的应该是防止运营商的dns欺骗，现在的运营商，会做dns拦截 将正常的页面映射成一个带广告的页面，赚取广告收益。

网络基础知识

网关和路由

网关
在设置计算机网络的时候，一般都需要设置GATEWAY，即是网关。
网关是接收和转发ip包用的。网卡会把ip包发给网关。电脑或者手机所做的网络请求都会发给网关。
路由
并不是所有的网络ip包都会发给同一个网关。网卡设置的网关是默认网关，还会有一些其他的网关。
那么ip包怎么区分发给哪个网关呢？这时候就有一个路由表,即是一种转发规则。

cmd下的route print

ip匹配
网络掩码即mask 网络目标routeAddress，真实ip
假设真实ip是192.168.1.9
路由地址是192.168.0.0 mask 是 255.255.0.0
ip&mask==routeAddress
如果ip和mask做与运算结果等于路由地址 那么就是匹配的

路由会根据路由表规则 将ip包发送到不同的网关。

android下通过vpnService拦截流量

vpnService启动的时候会更新手机的路由表

if (vpnInterface == null)
        {
            VpnService.Builder builder = new VpnService.Builder();
            builder.addAddress(VPN_ADDRESS, 32);//vpn网卡的ip
            builder.addRoute(VPN_ROUTE, ROUTE_PREFIX);//设置路由规则
            builder.setMtu(15000);//数据超过多少之后 分包
            vpnInterface = builder.setSession(getString(R.string.app_name)).setConfigureIntent(pendingIntent).establish();
        }

根据前面的基础知识,就可以指定拦截某些流量
例子
VPN_ROUTE 是0.0.0.0 ROUTE_PREFIX是0的时候是拦截所有ip包
VPN_ROUTE 是192.168.0.0 ROUTE_PREFIX是16的时候是拦截192.168.0.0的ip包
VPN_ROUTE 是192.168.1.1 ROUTE_PREFIX是32的时候是只拦截192.168.1.1的ip包

ip包走向

当vpn启动成功之后

vpnInterface = builder.setSession(getString(R.string.app_name)).setConfigureIntent(pendingIntent).establish();//前面拿到的vpnInterface
FileDescriptor vpnFileDescriptor=vpnInterface.getFileDescriptor();
/***
* vpnInput 读取到所有的vpn网卡的ip包
**/
FileChannel vpnInput = new FileInputStream(vpnFileDescriptor).getChannel();
/**
  * vpnOutput 可以将ip包写入网卡 网卡会自动转发
**/
FileChannel vpnOutput = new FileOutputStream(vpnFileDescriptor).getChannel();
/**
 * 多大比较合适 这个需要根据mtu即网卡设置的ip包最大的大小 超过之后会
 * 分成多个包 一般路由器都有设置
 * 网络中一些常见链路层协议MTU的缺省数值如下：
*  FDDI协议：4352字节
*  以太网（Ethernet）协议：1500字节
*  PPPoE（ADSL）协议：1492字节
*  X.25协议（Dial Up/Modem）：576字节
*  Point-to-Point：4470字节
 */
ByteBuffer bufferToNetwork=ByteBuffer .allocateDirect(16384);
while(true){//循环读取
   int readBytes = vpnInput.read(bufferToNetwork);
   if(readBytes>0){
   }else{
      Thread.sleep(10);
   } 
}

ip包的结构

[ipv4Header tcpHeader/udpHeader data] 有三部分组成
ipv4Header指定了去往哪个ip 当前网卡ip 连接状态 数据大小等
tcpHeader 指定了来的端口 去的端口 数据大小等
udpHeader 指定了来的端口 去的端口 数据大小等
data 数据
发出去这样的
回来的时候 ip包就是把去哪的ip和当前ip对调 端口也对调

ipv4Header

tcp包

拦截后提取关键信息 并发到其他地方

//根据TCP的三次握手 伪装返回即可
//建立连接
SocketChannel outputChannel = SocketChannel.open();
outputChannel.configureBlocking(false);
//除了通过路由控制ip包走向 也可以通过protect方法 保证这个ip包不走vpn网卡
//这样可以防止造成死循环
vpnService.protect(outputChannel.socket());
//连接一个指定的server
outputChannel.connect(new InetSocketAddress("127.0.0.1", 30096));
/***
     通过socket把数据发送到指定server 拿到数据后 伪造ipv4包写回vpn网卡
***/
vpnOutput.write(/**回来数据并组装的ipv4包**/);

这样就完成了流量劫持

微信浏览器的安全性

微信浏览器普通网页是可以通过上述方法拦截的。但是微信auth认证的网页，微信做了流量保护，所有的http请求都做了加密并发送到微信自己的服务器，即微信自己在中间做了一层代理。虽然抓到了但是解密很费劲。
好做微信提供了http://debugtbs.qq.com可以强制使用内置浏览器的选项。
拦截后就可以微信打卡了。