本文使用青花瓷軟件和Wireshark進行抓包分析

network.jpg

Wireshark下載地址 點這里

Wireshark的使用：

本次主要通過 RVI 抓取 iPhone 數據包

 使用 Mac 抓取 iPhone 數據包可通過共享和代理兩種方式：
 使用 Mac 的網絡共享功能將 Mac 的網絡通過 WiFi 共享給 iPhone 連接；
 使用代理軟件（例如 Charles、Flidder for Mono、Andiparos）在Mac上    建立HTTP代理服務器。
 這兩種方式都是將 iPhone 的網絡流量導入到 Mac 電腦中，通過 Mac 連接互聯網。這就要求 Mac 本身是聯網的，對于網絡共享的方式還要求 Mac 本身的網絡不能使用 WiFi，而且在 iPhone 上只能使用 WiFi 連接，無法抓取到 xG（2G/3G/4G） 網絡包。
 蘋果在 iOS 5 中新引入了“遠程虛擬接口（Remote Virtual Interface,RVI）”的特性，可以在 Mac 中建立一個虛擬網絡接口來作為 iOS 設備的網絡棧，這樣所有經過 iOS 設備的流量都會經過此虛擬接口。此虛擬接口只是監聽 iOS 設備本身的協議棧（但并沒有將網絡流量中轉到 Mac 本身的網絡連接上），所有網絡連接都是 iOS 設備本身的，與 Mac 電腦本身聯不聯網或者聯網類型無關。iOS設備本身可以為任意網絡類型（WiFi/xG），這樣在 Mac 電腦上使用任意抓包工具（tcpdump、Wireshark、CPA）抓取 RVI 接口上的數據包就實現了對 iPhone 的抓包。
 Mac OS X 對 RVI 的支持是通過終端命令 rvictl 提供的，在終端（Terminal）中輸入“ rvictl  ? ”命令可查看幫助：

  rvictl Options:
       -l, -L                     List currently active devices
       -s, -S                     Start a device or set of devices
       -x, -X                    Stop a device or set of devices

  使用 “ rvictl  -s ”命令創建虛擬接口
  首先，通過 MFI USB 數據線將 iPhone 連接到安裝了 Mac OS+Xcode 4.2(or later) 的 Mac 機上。iOS 7 以上需要搭配 Xcode 5.0（or later），抓包過程中必須保持連接。
  然后，通過 Xcode->Organizer->Devices 獲取 iPhone 的 UDID（identifier）。

接著，使用“rvictl -s”命令創建 RVI 接口，使用 iPhone 的 UDID 作為參數。

 $rvictl -s <UDID>

pic1.png

30C647E4-A061-4CDD-9F73-43D0468B35FF.png

Http報文首部

報文首部.png

HTTP協議的請求和響應報文必定包含HTTP首部。首部內容為客戶端和服務端分別處理請求和響應提供所需的信息。

HTTP請求報文

請求報文.png

詳解請求報文.png

響應報文

在響應中，HTTP報文是有HTTP版本、狀態碼、HTTP首部字段3部分構成。

響應報文.png

HTTP首部字段會根據實際用途分為4種類型

 1.  通用首部字段             請求報文和響應報文兩方都會使用首部。
 2.  請求首部字段             從客戶端向服務端發送請求報文的時候使用首部字段。補充了請求的附加內容，也會要求客戶端附加額外的內容信息。
 3.  響應首部字段              從服務端向客戶端返回響應報文時使用的首部。
 4.  實體首部字段              針對請求報文和響應報文的實體部分使用的首部。

首部字段圖.png

篩選網絡請求.png

通用首部字段

請求首部字段

響應首部字段

響應首部字段是由服務器端向客戶端返回響應報文中所使用的字段，用于補充響應的附加信息、服務器信息，以及對客戶端的附加要求等信息。

| 首部字段名 | 說明 | 舉例 |
| ------------- |:-------------:| |
|Accept-Ranges| 是否接受字節范圍請求 |首部字段 Accept-Ranges 是用來告知客戶端服務器是否能處理范圍請求，以指定獲取服務器端某個部分的資源?？芍付ǖ淖侄沃涤袃煞N，可處理范圍請求時指定其為 bytes，反之則指定其為 none。 |
| Age | 推算資源創建經過時間 | Age: 600；首部字段 Age 能告知客端，源服務器在多久前創建了響應。字段值的單位為秒。若創建該響應的服務器是緩存服務器，Age 值是指緩存后的響應再次發起認證到認證完成的時間值。代理創建響應時必須加上首部字段＝Age。 |
| ETag | 資源的匹配信息|ETag: "82e22293907ce725faf67773957acd12”。首部字段 ETag 能告知客戶端實體標識。它是一種可將資源以字符串形式做唯一性標識的方式。服務器會為每份資源分配對應的 ETag值。 另外，當資源更新時，ETag 值也需要更新。生成 ETag 值時，并沒有統一的算法規則，而僅僅是由服務器來分配。資源被緩存時，就會被分配唯一性標識。例如，當使用中文版的瀏覽器訪問 http://www.google.com/ 時，就會返回中文版對應的資源，而使用英文版的瀏覽器訪問時，則會返回英文版對應的資源。兩者的URI 是相同的，所以僅憑 URI 指定緩存的資源是相當困難的。若在下載過程中出現連接中斷、再連接的情況，都會依照 ETag 值來指定資源。強 ETag 值和弱 Tag 值。ETag 中有強 ETag 值和弱 ETag 值之分強 ETag 值。強 ETag 值，不論實體發生多么細微的變化都會改變其值。ETag: "usagi-1234"弱 ETag 值弱 ETag 值只用于提示資源是否相同。只有資源發生了根本改變，產生差異時才會改變 ETag 值。這時，會在字段值最開始處附加 W/ETag: W/"usagi-1234" |
| Location | 令客戶端重定向至指定URI| Location: http://www.usagidesign.jp/sample.html。使用首部字段 Location 可以將響應接收方引導至某個與請求 URI 位置不同的資源?；旧?，該字段會配合 3xx ：Redirection 的響應，提供重定向的URI。幾乎所有的瀏覽器在接收到包含首部字段 Location 的響應后，都會強制性地嘗試對已提示的重定向資源的訪問。 |
| Proxy-Authenticate| 代理服務器對客戶端的認證信息| 首部字段 Proxy-Authenticate 會把由代理服務器所要求的認證信息發送給客戶端。它與客戶端和服務器之間的 HTTP 訪問認證的行為相似，不同之處在于其認證行為是在客戶端與代理之間進行的。而客戶端與服務器之間進行認證時，首部字段 WWW-Authorization 有著相同的作用。有關HTTP 訪問認證，后面的章節會再進行詳盡闡述。 |
| Retry-After |對再次發起請求的時機要求| Retry-After 告知客戶端應該在多久之后再次發送請求。主要配合狀碼 503 Service Unavailable 響應，或 3xx Redirect 響應一起使用。字段值可以指定為具體的日期時間（Wed, 04 Jul 2012 06：34：24GMT 等格式），也可以是創建響應后的秒數。 |
| Server|HTTP服務器的安裝信息 | Server: Apache/2.2.17 (Unix)。首部字段 Server 告知客戶端當前服務器上安裝的 HTTP 服務器應用程序的信息。不單單會標出服務器上的軟件應用名稱，還有可能包括版本號和安裝時啟用的可選項。Server: Apache/2.2.6 (Unix) PHP/5.2.5|
| Vary|代理服務器緩存的管理信息| 當代理服務器接收到帶有 Vary 首部字段指定獲取資源的請求時，如果使用的 Accept-Language 字段的值相同，那么就直接從緩存返回響應。反之，則需要先從源服務器端獲取資源后才能作為響應返回。首部字段 Vary 可對緩存進行控制。源服務器會向代理服務器傳達關于本地緩存使用方法的命令。從代理服務器接收到源服務器返回包含 Vary 指定項的響應之后，若再要進行緩存，僅對請求中含有相同 Vary 指定首部字段的請求返回緩存。即使對相同資源發起請求，但由于 Vary 指定的首部字段不相同，因此必須要從源服務器重新獲取資源。|
| WWW-Authenticate| 服務器對客戶端的認證信息 | WWWAuthenticate: Basic realm="Usagidesign Auth"首部字段 WWW-Authenticate 用于 HTTP 訪問認證。它會告知客戶端適用于訪問請求 URI 所指定資源的認證方案（Basic 或是 Digest）和帶參數提示的質詢（challenge）。狀態碼 401 Unauthorized 響應中，肯定帶有首部字段 WWW-Authenticate。|

實體首部字段

實體首部字段是包含在請求報文和響應報文中的實體部分所使用的首部，用于補充內容的更新時間等與實體相關的信息。

pic4.png