iOS系統設備網絡抓包方法,抓包工具介紹:越獄和不越獄的辦法 (3)

　　當然也可以保存成Wireshark能夠識別的pcap格式，然后使用Wireshark進行查看。

　　操作步驟

　　1) 采用ssh登陸iphone手機，使用top命令獲?。?/p>

　　具體步驟如下：

　　a) 獲取設備IP地址(wifi地址)：

　　b) 在PC上打開終端，輸入ssh root@IP地址：

　　輸入密碼：alpine (root用戶的默認密碼)

　　2) 通過“tcpdump -X -s0 -w /data.pcap”命令將tcp數據包保存到iOS設備的根目錄下。

　　3) 通過91助手等工具取出pcap文件，在Windows下使用雙擊使用Wireshark打開查看。

　　當然也可以不輸出到文件，tcpdump的命令格式和參數說明：

　　tcpdump [ -adeflnNOpqStvx ] [ -c 數量 ] [ -F 文件名 ]

　　[ -i 網絡接口 ] [ -r 文件名] [ -s snaplen ]

　　[ -T 類型 ] [ -w 文件名 ] [表達式 ]

　　選型介紹：

　　-a 　　 將網絡地址和廣播地址轉變成名字;

　　-d 　　 將匹配信息包的代碼以人們能夠理解的匯編格式給出;

　　-dd 　　將匹配信息包的代碼以c語言程序段的格式給出;

　　-ddd 　 將匹配信息包的代碼以十進制的形式給出;

　　-e 　　 將捕獲的包數顯示出來

　　-f 　　　將外部的Internet地址以數字的形式打印出來;

　　-l 　　　使標準輸出變為緩沖行形式;

　　-n 　　 不把網絡地址轉換成名字;

　　-t 　　 在輸出的每一行不打印時間戳;

　　-v 　　 輸出一個稍微詳細的信息，例如在ip包中可以包括ttl和服務類型的信息;

　　-vv 　 輸出詳細的報文信息;

　　-c 　　 在收到指定的包的數目后，tcpdump就會停止;

　　-F 　　 從指定的文件中讀取表達式,忽略其它的表達式;

　　-i 　　 指定監聽的網絡接口;

　　-r 　　 從指定的文件中讀取包(這些包一般通過-w選項產生);

　　-w 　　直接將包寫入文件中，并不分析和打印出來;

　　-T 　　 將監聽到的包直接解釋為指定的類型的報文，常見的類型有rpc (遠程過程調用)和snmp(簡單網絡管理協議;)

　　在使用該命令的時候，我主要使用的主要選項是: -i [接口名] -w [文件名] -v -vv -c -X -e

　　例如：

　　我在從eth0捕獲100個數據包的時候，并將數據寫入到capture.cap文件中，命令格式為：

　　tcpdump -i eth0 -w capture.cap -v -vv -c 100 -X -e

　　抓取一個一個ip段之間的數據包：

　　tcpdump –s 0 –w socket host 10.1.3.9 and host 10.1.3.84

　　如果從eth0且通信協議端口為22，目標IP為192.168.1.100獲取數據：

　　tcpdump -i eth0 port 22 and src host 192.168.1.100

　　此外還有其他的一些關鍵詞：host,(主機) ， net( 網關)， port(端口) ， src(源IP) , dst(目的IP), 正則表達式：and , or。

　　未越獄ios設備的抓包方法

　　2014-04-24 22:33 181人閱讀 評論(0) 收藏 舉報

　　Remote Virtual Interface

　　在iOS 5以后增加了RVI(Remote Virtual Interface)，它讓我們使用OS X來抓取ios device上數據包。

　　基本的方法就是把設備通過USB連上mac上。然后為這臺設備安裝RVI，這個虛擬的在Mac上的網卡，就代表這臺ios設備的使用網卡。然后在mac上跑抓包的工具，定位到這個虛擬的網卡上，來抓包。

　　(1)安裝RVI，需要使用rvictl工具，以下步驟在mac的終端中操作：

　　$ # First get the current list of interfaces.

　　$ ifconfig -l

　　lo0 gif0 stf0 en0 en1 p2p0 fw0 ppp0 utun0

　　$ # Then run the tool with the UDID of the device.

　　$ rvictl -s 74bd53c647548234ddcef0ee3abee616005051ed

　　Starting device 74bd53c647548234ddcef0ee3abee616005051ed [SUCCEEDED]

　　$ # Get the list of interfaces again, and you can see the new virtual

　　$ # network interface, rvi0, added by the previous command.

　　$ ifconfig -l

　　lo0 gif0 stf0 en0 en1 p2p0 fw0 ppp0 utun0 rvi0

　　(2)安裝成功后，此時其實可以用任何抓包工具來抓取。包括wireshark等。因為這時就會看到一個rvi0的網卡。不過今天我們介紹的是通過tcpdump來搞。

　　在終端中輸入如下命令：

　　sudo tcpdump -i rvi0 -n -s 0 -w dump.pcap tcp

　　解釋一下上面重要參數的含義：

　　-i rvi0 選擇需要抓取的接口為rvi0(遠程虛擬接口)

　　-s 0 抓取全部數據包

　　-w dump.pcap 設置保存的文件名稱

原文轉自：http://blog.csdn.net/fengsh998/article/details/8677556