Оглавление > Режимы дампирования траффика

PCAPdroid предлагает несколько способов для экспортирования захваченного траффика. Они называются режимом дампирования и могут быть изменены из настроек приложения.

2.1 Никакой

Данный режим не экспортирует траффик никоим образом. Этот вариант подходит если целью является анализ траффика напрямую из вкладки соединений PCAPdroid.

2.2 HTTP Сервер

Данный режим запускает HTTP сервер, к которому Вы можете получить доступ с любого ПК в локальной сети, и загрузить PCAP-файл, содержащий захваченный траффик. Этот режим используется по умолчанию и не нуждается в конфигурировании или какой-то специфической системе.

Для того чтобы корректно загрузить PCAP-файл, следуйте инструкциям ниже:

1. Убедитесь что выбран режим “HTTP сервер” на главном экране приложения
2. Начните захват траффика
3. На другом устройстве откройте URL отображенный в приложении, например http://192.168.43.1:8080 в случае если на устройстве запущена точка доступа Wi-Fi. Посещение адреса автоматически начнет загрузку PCAP-файла. Если у Вас не отображает прогресс загрузки - не беспокойтесь, все в порядке! Это вызвано тем, что данные идут потоком и браузеру не известно каким будет конечный размер загруженного дампа.
4. Получив нужный траффик, остановите захват в приложении. Это так же прекратит поток данных в загружаемый PCAP-файл и ваш браузер успешно завершит загрузку дампа.

2.3 PCAP-файл

В этом режиме захваченный траффик сохранится в памяти устройства как PCAP-файл. Имя файла и путь для сохранения могут быть выбраны после нажатия на кнопку старта захвата (будет системный диалог для выбора места и имени). Некоторые Android-TV устройства не имеют такой возможности, в таких случаях имя для PCAP-файла подбирается автоматически и сохраняется он в папку Загрузки (Downloads). Когда захват траффика в этом режиме будет остановлен, у Вас появится диалог о том что дальше делать с этим файлом - поделиться PCAP-файлом, удалить его или просто оставить в памяти устройства.

2.4 Экспорт через UDP

Данный режим является “продвинутым” и предназначен специально для того, чтобы проводить анализ траффика в реальном времени. Для этого режима необходим Python-скрипт udp_receiver.py и устройство с ОС на базе ядра Linux. В этом режиме PCAPdroid заворачивает PCAP-записи в UDP пакеты, отправляемые на удаленный приемник этого UDP потока. IP и порт нужно указать в настройках приложения.

Скрипт udp_receiver.py будет принимать UDP пакеты на указанном порту, извлекать из них PCAP-данные и выводить их в стандартный поток вывода(stdout). Перенаправляя этот вывод в нужную Вам программу для мониторинга траффика можно получить анализ данных в реальном времени.

Некоторые примеры использования этого режима (команды для ОС на базе Linux):

• Анализ траффика с wireshark:

udp_receiver.py -p 1234 | wireshark -k -i -

• Мониторинг активных соединений и их адресов в ntopng:

udp_receiver.py -p 1234 | ntopng -m “10.215.173.0/24” -i -

• Запись траффика в PCAP-файл:

udp_receiver.py -p 1234 | tcpdump -w dump.pcap -r -

На заметку: вместо Python-скрипта для приема UPD можно использовать socat для достижения аналогичного результата. В таком случае необходимо использовать опцию -b как указано ниже:

socat -b 65535 - udp4-listen:1234

Использование nc не будет работать по причине того, что слишком большие пакеты будут урезаться и могут быть потеряны критичные данные.