网页抓包实战，工具选型、分层排查与真机取证流程

test抓网页流量看起来简单：打开代理、刷新页面，但遇到跨域、HTTPS 握手、HTTP/2 多路复用或真机特有问题时，单靠直觉很难定位根因。本文从工程实战出发，讲清抓包的分层逻辑、常用工具与职责、可复制的排查步骤，并给出在代理无效或 iOS/Android 真机场景下使用Sniffmaster抓包大师，便于开发与测试团队快速闭环问题。

工具与职责分工

• 代理类（应用层可解密）：Charles、Fiddler、Proxyman、mitmproxy——用于查看并修改 HTTP/HTTPS 明文，适合前端联调与调试 header、cookie、请求体。
• 底层抓包与分析：tcpdump、tshark、Wireshark——在网关或服务器抓原始包，分析 TCP 三次握手、TLS 握手、重传与分片。
• 安全/渗透：Burp Suite——用于深度篡改、自动化测试与漏洞复现。
• 脚本化与复现：tcpreplay、socat、Python（scapy/pyshark）——把抓到的流量在隔离环境回放给后端复现。
• iOS设备抓包：当代理无法在设备上生效（例如 App 做证书 pinning、企业网络替换证书）时，需要从设备直接导出原始包。此类场景下，可以采用支持按 App 过滤并导出 pcap 的Sniffmaster，把设备端 pcap 与服务端 pcap 对比是判断问题归属的决定性证据。

分层排查流程（必做顺序）

1. 网络层（TCP）：确认 SYN/SYN-ACK/ACK 是否完成，是否有大量重传或 RST。命令示例：

sudo tcpdump -i any host <client_ip> and port 443 -s 0 -w /tmp/cap.pcap

1. TLS 层：查看 ClientHello（SNI、cipher）、ServerHello、证书链与 TLS Alert。快速验证：

openssl s_client -connect host:443 -servername host -showcerts

1. 应用层（HTTP/2/1.1）：在能解密时用代理或 Wireshark 分析请求/响应；关注请求头（Origin、Host、Cookie）与 CORS、Content-Type 等问题。

实战案例（跨域资源请求总是失败）

问题现象：桌面 Chrome 能正常加载资源，部分用户手机上报 403 或空响应。排查步骤：

1. 在复现手机上用浏览器访问，记录时间并在边缘抓 tcpdump；
2. 在桌面用 Charles 代理复现，看请求与 response header；若 Charles 可见但手机不可见，说明可能为网络中间件或证书链问题；
3. 若 Charles 无法捕获手机 App 流量，按合规流程导出设备端 pcap（按 App 过滤以减少噪音），并在 Wireshark 中和服务端 pcap 对比 ClientHello 与证书 Issuer；结论常见于企业网络替换证书或移动网络对某些端口/协议作特殊处理。
4. 对症修复：补全 fullchain、修正 CORS header、或协调网络方放通/信任链改造；复测并归档证据。

设备侧抓包的合理使用

使用Sniffmaster来抓取iOS设备侧 pcap 是解决“只在真机复现”问题的关键证据。实务中，团队把设备侧抓包作为“最后一招”纳入 playbook：先在实验室用代理复现，代理无效再上设备取证，把得到的 device.pcap 和 server.pcap 在 Wireshark 中并排分析，精准定位故障点。

小结与建议清单

• 抓包要按层次做事：TCP → TLS → HTTP。
• 工具按职责组合使用，代理用于明文调试，tcpdump/Wireshark 用于证据化分析，Burp 用于安全测试。
• Sniffmaster抓包能补齐代理盲区，但要严格合规、最小采集与受控保存。
• 把常用 tshark/tcpdump/openssl 命令写成脚本，纳入团队工具箱，提高首次响应效率。