Remote Virtual Interface
在使用Mac抓取iPhone数据包中介绍了两种方式在Mac电脑上抓取iPhone上的数据包,一是使用Mac的网络共享功能将Mac的网络通过WiFi共享给iPhone连接,一是使用代理软件在Mac上建立HTTP代理服务器;这两种方式都是将iPhone的网络流量导入到Mac电脑中,通过Mac连接互联网,这就要求Mac本身是联网的,对于网络共享的方式还要求Mac本身的网络不能使用WiFi,而且在iPhone上全是使用的WiFi连接,不能抓取2G/3G网络的包。
在iOS5中新引入了“远程虚拟接口(remote virtual interface ,RVI)“的特性,可以在Mac中建立一个虚拟网络接口来作为iOS设备的网络栈,这样所有经过iOS设备的流量都会经过此虚拟接口,此虚拟接口代替了iOS设备本身的协议栈,但并没有将网络流量中转到Mac本身的网络连接上,这样所有网络连接都是iOS设备本身的,Mac电脑本身连不联网或者连接的网络类型都没有关系,而iOS设备本身可以为任意网络类型,2G/3G/WiFi等。在Mac电脑上使用任意抓包工具抓取RVI接口上的数据包就可以看到iOS设备上的所有网络数据。
二.使用方法
1.通过USB口将iPhone连接到Mac上。
2.使用Xcode的organizer工具获取到iPhone的UDID
3.使用rvictl命令创建RVI接口(remote virtual interface),使用iPhone的UDID作为参数。
$ rvictl -s <UDID>
4.如果想捕获多个设备的网络包,可以使用上述命令创建多个设备的RVI,传递每个iOS设备的UDID作为参数即可。
RVI虚拟接口的命名规则为rvi0,rvi1,rvi2,…,可使用ifconfig命令查看
$ ifconfig rvi0
rvi0: flags=3005<UP,DEBUG,LINK0,LINK1> mtu 0
5.在Mac上使用任意抓包工具tcpdump、wireshark等,监听创建的rvi接口即可。
下面是wireshark 的简单使用(由于新的mac 需要去下载x11等 组件,这里环境默认wireshark 是正常工作的)
第一步:
第二步:
第三步:
第四步:
第五步:
以上便是抓的数据包 由于我对协议有些过滤 所以 某些协议没有显示 如果只想看某一种 协议可在 过滤栏 写要过滤的 然后点Applay
然后就是你对wireshark 抓到数据的分析了,这里不做具体解释和操作
6.使用完之后需要将创建的虚拟接口移除
$ rvictl -x <UDID>
