iptables 安卓_安卓系统按应用/进程抓包方法

最新推荐文章于 2023-03-17 12:09:02 发布
最新推荐文章于 2023-03-17 12:09:02 发布
阅读量1k 收藏 3
点赞数 1
文章标签: iptables 安卓
原文链接:https://blog.csdn.net/jmh1996/article/details/106011155
版权

前言

日常科研生活中有许多抓取安卓手机上特定应用的纯净数据包的需求。目前常见的做法是通过应用设置,关闭其他非目标应用的网络访问权限(包括访问WLAN和流量数据),只把目标应用的访问网络权限打开。这种方法具有一定的可行性,但是缺点在于无法去除关闭OS自己产生的流量,这还是会引入一些背景杂流。

本文提供的方法可以实现直接按进程/应用过滤数据包,可以捕获完全纯净的应用数据。

本方法的技术路线如下:

  1. Android系统在用户安装好某个APP后,就会给这个APP分配一个设备内唯一的user id,这个user id的生存周期是从APP成功安装开始到APP被用户卸载结束。APP的包名和它的user id直接的映射关系可以在系统的/data/system/packages.xml文件得到,这个文件内容类似于如下,里面就有package name和userId的映射关系。135f91cfb1a0868e45cd2d17fb673a7e.png

  2. 自Linux 2.6.14 开始,iptables的扩展就已经支持通过出站数据包的拥有者(进程的用户名或用户ID)来过滤数据包【1】,并将数据包打上相应的内核过滤标签。当然只有使用socket api产生的网络数据包才有所谓的拥有者。ICMP啥的是没有应用者一说的。

  3. 为了将应用的入站数据包捕获下来,可以通过iptables的connmark给流打上流标签。

  4. 使用iptables把带有流标签的INPUT和OUTPUT的数据包丢到NFLOG的消息池里面去,并指定消息池的标号。

  5. 使用tcpdump,从NFLOG的消息池中获取相应的数据包。特定NFLOG消息池的数据包会首先被内容丢到一个名为“NFLOG:标号”的虚拟网卡上,通过tcpdump –i 参数来指定从这个特定的虚拟网卡上抓包就可以获取所需数据包了。从“NFLOG:标号”抓取的数据包,链路层头是NFLOG的linux内核网络过滤器的日志头,它和创建的以太网头不同。网络层、传输层、应用层是正常的,没有被NFLOG改动。

系统要求

• libpcap 1.2.1 or newer (commit cc8520ff5294900d93509eaf843684c51af102a9) • Linux Kernel with NFLOG (CONFIG_NETFILTER_XT_TARGET_NFLOG). • Effective UID 0 (root) or the CAP_NET_ADMIN capability.(需要获取Android设备的root权限),不想root自己真机的,可以使用模拟器,比如雷电模拟器,这个速度快,而且系统自带root。

案例解说

  1. 捕获安卓自带的浏览器(com.android.browser)访问youtube的流量。首先,获取安卓自带浏览器的用户ID:100121304c578a2fe1d4df7d299d477c94fa3.png使用adb获取带root的shell:
adb root
adb shell

编写iptables规则:

iptables -A OUTPUT -m owner --uid-owner 10012 -j CONNMARK --set-mark 10012
#把OUTPUT数据包里面,用户ID是10012的流打上10012的流标签
iptables -A INPUT -m connmark --mark 10012 -j NFLOG --nflog-group 10012
#把入站流中带有10012标签的数据包放到nflog消息池中,消息池的标号为10012
iptables -A OUTPUT -m connmark --mark 10012 -j NFLOG --nflog-group 10012
#把出站流中带有10012标签的数据包放到nflog消息池中,消息池的标号为10012

最后捕获数据包:

tcpdump -i nflog:10012 -w uid-10012.pcap

附件里面有两个pcap文件:browser-only.pcap是从nflog:10012抓取的,broswer-eth0.pcap是同一时刻从以太网卡抓取的。他们都是访问youtube.com时的流量。

  1. 捕获Spotify登录时的流量。Spotify的包名:com.spotify.music,它的userID通过查看packages.xml文件可知是10157.
adb root
adb shell
iptables -A OUTPUT -m owner --uid-owner 10157 -j CONNMARK --set-mark 10157
#把OUTPUT数据包里面,用户ID是10157的流打上10157的流标签
iptables -A INPUT -m connmark --mark 10157 -j NFLOG --nflog-group 10157
#把入站流中带有10012标签的数据包放到nflog消息池中,消息池的标号为10012
iptables -A OUTPUT -m connmark --mark 10157 -j NFLOG --nflog-group 10157
#把出站流中带有10157标签的数据包放到nflog消息池中,消息池的标号为10157
tcpdump -i nflog:10157 -w uid-10157.pcap

附件有两个pcap: uid-10157.pcap和uid-10157-eth0.pcap。可以对比着看。

资源链接

【1】iptables-extensions文档: http://ipset.netfilter.org/iptables-extensions.man.html

坑点

【1】如果tcpdump,频繁出现 No buffer space avaiable的错误,考虑:1)升级tcpdump,2)使用-w 把数据包直接写入文件。【2】报错:

tcpdump: Can't listen on group group index: Operation not permitted

这是因为iptables的规则提交给netfilter内核模块需要时间!解决方法:下完上面的三条iptables命令后,sleep几秒,再tcpdump抓nflog的包就可以了。

weixin_39721009
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Iptables小结
EdisonChang的博客
08-30 1763
转载请标明出处:http://blog.csdn.net/EdisonChang/article/details/52372701这篇文章是对近期学习Iptables的一些小结,博文参考到一些网络上的资料,包括一些名称定义都是在各类文章中摘抄的,先推荐几篇文章。iptables规则配置 增加、删除和修改命令 iptables详解 Linux防火墙iptables学习笔记(一)入门要领 L
防火墙白名单设置方法_iptables_centos6
10-31
防火墙白名单设置方法_iptables_centos6 防火墙白名单设置方法_iptables_centos6 防火墙白名单设置方法_iptables_centos6
iptables.rar_Linux/Unix编程_Unix_Linux_
08-12
简要介绍iptables 让你短时间内对iptables 有比较深刻的认识!
go-nflog-acctd:在Linux iptables下使用NFLOG进行IP记帐
05-16
%go-nflog-acctd(1)用户手册%Nick Craig-Wood%2013年5月17日 进行NFLOG记帐 这是一个在Linux iptables下使用NFLOG进行IP记帐的程序。 要使用它,您需要在iptables(和ip6tables)中添加一些NFLOG规则,并配置go-nflog-acctd来读取它们。 它将定期转储.csv文件供您分析。 要监视与该主机之间的IPv4,可以使用 iptables -A OUTPUT -j NFLOG --nflog-group 4 --nflog-range 20 --nflog-threshold 50 --nflog-prefix "IPv4out" iptables -A INPUT -j NFLOG --nflog-group 5 --nflog-range 20 --nflog-threshold 50 --nflog
新装linux系统/etc/sysconfig目录下无iptables文件的解决方法
01-20
今天新装了Linux,希望去做些防火墙的策略,使用service iptables status查看防火墙的状态时,无任何反应,且使用service iptables start也启动不聊。后来发现在/etc/sysconfig目录下没有iptables文件(防火墙的策略一般都写在此文件中)。 原因:在新安装的Linux系统中,防火墙默认是被禁掉的,一般也没有配置过任何防火墙的策略,所有不存在/etc/sysconfig/iptables文件。 解决方法: 在控制台使用iptables命令随便写一条防火墙规则,如:iptables -P OUTPUT ACCEPT 使用service ipta
iptables配置(/etc/sysconfig/iptables)操作方法
09-15
下面小编就为大家带来一篇iptables配置(/etc/sysconfig/iptables)操作方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
安卓系统应用/进程抓包方法
jmhIcoding
05-11 3113
前言 日常科研生活中有许多抓取安卓手机上特定应用的纯净数据包的需求。目前常见的做法是通过应用设置,关闭其他非目标应用的网络访问权限(包括访问WLAN和流量数据),只把目标应用的访问网络权限打开。这种方法具有一定的可行性,但是缺点在于无法去除关闭OS自己产生的流量,这还是会引入一些背景杂流。 本文提供的方法可以实现直接按进程/应用过滤数据包,可以捕获完全纯净的应用数据。 本方法的技术路线如下: Android系统在用户安装好某个APP会,就会给这个APP分配一个设备内唯一的user id,这个user i
iptables 原来这么简单
Alan Zhuang的博客
03-21 6840
你在找一个完整的iptables教程吗?在本文中,我们将向您展示如何在linux系统上安装和使用iptables。通过了解这个Linux防火墙工具,您可以使用命令行界面更好的保护Linux,免受攻击。 一、什么是iptables ,它是如何工作的? 简单地说,iptables是一个Linux防火墙程序。它将使用表(tables)来监视服务器发送及接收的数据包。这些表包含一组称为...
如何利用 iptables 统计某个 ip 地址+端口号 的数据量
all for one,one for all
07-04 3218
iptables用于linux的防火墙,可以设置允许/禁止网络连接,也可以用来防止DDOS攻击等。 如果需要监控某一个ip地址在某一个端口的数据流量,也可以用到iptables. 例如,我需要监控ip地址是 192.168.1.5 的机器和 本机端口 8080 和 8090 交换的网络数据流量,可以按照如下添加 rules (需要 root 执行,注意 sport 和 dport 参数别写错了...
su命令cannot set groups: Operation not permitted的解决方法
qian_xiaoqian的博客
10-29 1万+
版权声明:本文由曾倩倩原创文章,转载请注明出处:  文章原文链接:https://www.qcloud.com/community/article/103 来源:腾云阁 https://www.qcloud.com/community 问题场景: user_00@hadoop-10-125-224-102:> su root Password: su: cannot set gr
快速掌握任意 Android 应用抓包
个人笔记
02-02 5555
撰写本文最大目的在于,快速掌握任意 Android 应用抓包,因为现实场景中,往往会遇到常规方法无法抓包的问题。而只需要通过 `iptables` 即可解决绝大多数问题。
Android 通过adb禁止某个应用上网
热门推荐
ytuglt的博客
02-27 1万+
#通过包名查找应用的uid ➜ apk adb shell cat /data/system/packages.xml | grep com.xzh.hbls <package name="com.xzh.hbls" codePath="/data/app/com.xzh.hbls-htP4fJSjJ2QQGmIifZ6xpA==" nativeLibraryPath="/data/app/com.xzh.hbls-htP4fJSjJ2QQGmIifZ6xpA==/lib" publicFl
iptables 在 Android 抓包中的妙用
有价值炮灰
01-31 904
本文主要介绍了 iptables 规则的配置方法,并且实现了一种在 Android 中全局 HTTP(S) 抓包的方案,同时借助owner拓展实现应用维度的进一步过滤,从而避免手机中其他应用的干扰。相比于传统的 HTTP 代理抓包方案,该方法的优势是可以实现全局抓包应用无法通过禁用代理等方法绕过;
Android抓包攻防技术(代理检测与反代理)
键盘的起始页
05-17 7456
一.检测代理 1. 原理 APP在发起网络请求前会检测系统是否设置了代理,如果发现有代理,就不发起请求。以下是一段APP检测系统是否有代理的实例代码: public static boolean isWifiProxy(Context context) { final boolean IS_ICS_OR_LATER = Build.VERSION.SDK_INT >= Build.VERSION_CODES.ICE_CREAM_SANDWICH; String proxyAdd
Android APP 抓包
孟志翔android博客-2020~fight!
06-14 4034
目录 0.前言 1.归因 2.抓不到 2.1 路由重定向+透明代理 2.2 强制全局代理 2.3 VPN 3.抓到了,然后呢? 3.1 系统校验证书 3.2 App自校验证书 3.3 双向校验 4.其他 5.尾声 6.参考 0.前言 实习一个半月,习得了一些App抓包姿势,于是自己总结了一套思路。第一次写技术文,欢迎各位批评指正。 1.归因 App抓包有两种失败: 1、笑死,根本抓不到。即丝毫抓不到我们想要的数据包。 2、抓到了,但又没抓到。通常表现为Burp中弹Aler.
su: cannot set groups: Operation not permitted解决办法(小白版,大神请忽略)
m0_48854541的博客
01-08 6762
一、背景   chmod 777 * 在根目录执行了,年轻不知社会黑啊。   二、现象   目前的现象就是su无法进入boot了   三、解决办法   网上清一色的回答: chown -R root:root /bin/su chmod u+s /bin/su   对于小白这就相当于没有说,都进不去root,怎么去修改/bin这些文件的权限?   四、小白式解决办法   首先: 先要拿到root权限,再谈怎么修改。 1.进入单用
android iptables 屏蔽某个app网络访问
hknaruto的专栏
07-31 1万+
uid=`cat /data/system/packages.list | grep com.sohu.inputmethod.sogou | busybox awk '{print $2}'` iptables -t filter -A OUTPUT -m owner --uid-owner=$uid -j DROP
安卓安全】透明代理定向抓APP包
Godam
03-17 1484
参考了以下大佬的文章:工具:iptables + redsocks2 + Charles。
dest: /backup/iptables/{{ansible_date_time.date}}/{{ inventory_hostname }}_iptables中语法有错吗?
最新发布
03-31
根据您提供的信息,这个目的地路径中的语法没有错误。它使用了Ansible的date_time模块来获取当前日期,并使用inventory_hostname变量来获取当前主机的名称,然后将它们组合成一个目录路径。最终路径的格式将是/backup/iptables/YYYY-MM-DD/hostname_iptables,其中YYYY-MM-DD是当前日期,hostname是当前主机的名称。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值