接上篇《基于iOS的Charles抓包實踐》，Charles是很強大的網絡請求抓包工具，常用于抓包HTTP/HTTPS請求。而作者在做IoT項目時，智能硬件配網協議是基于TCP/UDP或者藍牙的，需要用Wireshark進行抓包調試。

本文基于作者在項目中抓包iPhone和智能硬件之間TCP/UDP通信數據的經驗來介紹Wireshark的使用方式。

一、啟動Wireshark

Wireshark是免費軟件，可以從官網直接下載安裝。

PS：從非官方網站下載資源時要注意甄別安裝包來源，謹防木馬和病毒。

安裝成功后，啟動Wireshark，可看到本地接口列表界面。圖示如下：

此時，要選擇一個接口，雙擊后進入抓包界面。Ethernet:en0(以太網卡)和Wi-Fi:en1(無線網卡)是教常用的兩個接口。而作者要捕捉的數據(iPhone和智能硬件之間的TCP/UDP通信數據)不經過PC的網卡。所以，在抓包之前，需要先創建出來待捕捉的接口。

二、創建虛擬網卡

這里的虛擬網卡就是上述的待捕捉的接口。創建虛擬網卡的過程如下：

第1步：獲取iPhone的UDID

將iPhone通過USB接口連接Mac，然后在終端上使用下述命令獲取iPhone的UDID。

$ system_profiler SPUSBDataType | grep "Serial Number:.*" | sed s#".*Serial Number: "## 
 
結果：decb66caf7012a7799c2c3edxxxxxxxx7f5a715e 

如果Mac上連接了多個iPhone，從Xcode菜單欄 -> Window -> Devices and Simulators可以更方便地獲取準確的UDID。圖示如下：

第2步：為iPhone創建虛擬網卡

(1)查看已有的接口

$ ifconfig -l 
 
結果：lo0 gif0 stf0 XHC20 en0 en1 en2 en3 p2p0 awdl0 bridge0 utun0 en27 

(2)創建虛擬網卡

$ rvictl -s decb66caf7012a7799c2c3edxxxxxxxx7f5a715e 
 
結果：Starting device decb66caf7012a7799c2c3edxxxxxxxx7f5a715e [SUCCEEDED] with interface rvi0 

PS：可以使用 rvictl -x [UDID]命令在需要的時候去除網卡。

(3)再次查看已有的接口

$ ifconfig -l 
 
結果：lo0 gif0 stf0 XHC20 en0 en1 en2 en3 p2p0 awdl0 bridge0 utun0 en27 rvi0 

在末尾多出的 rvi0 就是為iPhone創建出來的虛擬網卡。使用 rvi0 就可以抓包了。

三、啟動虛擬網卡

打開Wireshark，本地接口列表界面中出現了 rvi0 。圖示如下：

雙擊 rvi0 即可進入抓包界面。

若此時出現如下彈窗，則說明無權限訪問該接口。

這時，退出Wireshark，然后在終端上使用下述命令重新打開Wireshark就可以了。

$ sudo /Applications/Wireshark.app/Contents/MacOS/Wireshark  
Password: 

四、TCP/UDP抓包

1. 抓包界面

要對TCP/UDP進行抓包，首先需要了解Charles主界面。圖示如下：

(1)工具欄

工具欄中包含一些功能按鈕，可以控制開始抓包、停止抓包等。工具欄底部的輸入框叫做顯示過濾器，可以通過設定一些過濾條件，控制數據包列表欄的顯示情況。

(2)數據包列表欄

這部分顯示抓到的請求列表(包列表)，不同類型的請求會以不同的顏色表示。頂部的No.、Time、 Source、 Destination、 Protocol、 Length 、Info是單條請求的的屬性，可以在菜單欄 -> 視圖中調整顯示效果。

(3)數據包詳情欄

在數據包列表欄中點擊某條數據，可在此區域內查看詳情。

(4)數據包流信息欄

此區域展示包的原始數據，在數據包詳情欄中顯示的內容在此區域都能對應到byte級別的數據。

2. 過濾器

由于Wireshark捕捉經過網卡的所有數據，在稍復雜的網路環境中，數據包的數量會瞬間增加，達到難以閱讀和難以查找目標數據包的狀態。此時，使用Wireshark捕獲過濾器和顯示過濾器會很有幫助。

(1)捕獲過濾器

啟動Wireshark后，在本機接口列表頁面可以看到捕獲過濾器(Capture Filter)。圖示如下：

在藍色框內的過濾器輸入框中，可以輸入一些規則，來指明Wireshark只捕捉符合該規則的數據***濾規則示例如下：

// 只捕獲HTTP/HTTPS數據 
port 80 or port 443 
 
// 只捕獲制定host的數據 
host 192.168.10.1 

(2)顯示過濾器

顯示過濾器(Display Filter)在抓包界面的工具欄底部(上面有介紹)。輸入一些規則，可以從數據包列表欄過濾掉不符合該規則的數據包，當去掉規則時，被過濾掉的數據包會重新顯示出來。過濾規則示例如下：

// 只顯示TCP/UDP數據 
tcp || udp 
 
// 只顯示HTTP/HTTPS數據 
tcp.port == 80 || tcp.port == 443 
 
// 只顯示指定host的數據 
ip.addr == 192.168.10.1 
 
// 只顯示指定端口的數據 
tcp.port == 52360 || udp.port == 36025 

PS：從Wireshark官方使用文檔可以查看更多的過濾規則示例。

【本文是51CTO專欄機構360技術的原創文章，微信公眾號“360技術（ id: qihoo_tech）”】

戳這里，看該作者更多好文