一、fiddler4安装
打开官网,官网下载地址是https://www.telerik.com/download/fiddler
按照安装步骤,选择你需要安装的路径即可,另一篇文章有具体安装步骤
二、设置fiddler相关设置
-
电脑端打开安装好的fiddle,打开Tools-Options。
-
fiddler,默认是只抓取http的,然后修改一下设置,可以抓取到https。
-
设置connection,端口号默认为8888,可修改,但需注意:一是本机空闲端口(若本机上JMeter设置的代理端口也是8888,最好将两者之间区别,即使不同时启用时,使用同一端口,也有可能会造成影响),二是手机代理设置时端口保持一致。
-
手机端(客户端)设置
(1)首先查看电脑IP地址,确保手机和电脑在同一个局域网内
(2)打开WiFi设置页面,选择要连接的wife,连接后点击设置,点击“代理”,选择“手动”(或者直接开启手动代理,依据个人手机进行设置)。代理服务器主机名设置为PC端的IP,代理服务器端口设置为Fiddler上配置的端口号,点击保存
(3)手机上的配置:将Fiddler代理服务器的证书导到手机上才能抓这些APP的包,导入的过程为,打开手机端浏览器—在地址栏中输入代理服务器的IP和端口(即电脑的IP加fiddler的端口,格式为:http://电脑IP:端口),会看到一个Fiddler提供的页面,然后确定安装就好了
-
手机端证书下载
点击下载后,安装证书并起个名字,随便写就可以,点击确定;
要求设置一个手机密码,自己设置一个,记住密码就行,最后不用了去系统—安全—密码中去掉即可 -
操作手机,电脑Fiddler中会显示一些http及https信息,完成抓包,并分析数据即可。
三、异常情况分析
- fiddler抓不到的情况:
fiddler并不是支持全部协议,目前已知的有http2、tcp、udp、websocket等,如果应用走了以上协议,那么fiddler是抓不到的;http2是因为fiddler是基于.net framework实现的,因为.net framework不支持http2,所以fiddler无法抓取http2。
证书写死在app中,fiddler不能抓取:fiddler抓包的原理是中间人gong’j攻击,也就是说,两头瞒,欺骗客户端和服务端,如果https证书写死在App里,也就是说,App不信任fiddler颁发给他的证书,App只信任自己的证书,fiddler没法瞒客户端了,因此fiddler也就抓取不到包了(如果自己开发的App,开发调试方便起见,可以使用类似wireshark的工具导入服务器证书,抓包解密) - 排查过程:
确认能否抓到手机浏览器的百度首页:因为百度是https加密的,所以如果配置正确肯定是可以抓取的。
重新安装证书:如果抓不到,可以确定是配置有问题。核实fiddler使用certmarker插件并且在手机上也安装了;如果已安装,则重新安装。如果还不工作,那么,重新生成证书,电脑和手机都要重新安装,然后重启fiddler。 - 手机设置代理后,无法访问网络,如断网般…
(1)打开注册表,在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Fiddler2下创建一个DWORD(32位),值设置为80(十进制)
(2)对FiddlerScript rule,点击Rules—Customize Rules,用ctr+f 查找OnBeforeRequest方法,在此方法下ti添加一行代码:此处的“webserver”:端口为上面设置的自定义端口号。
if (oSession.host.toLowerCase() == "webserver:8888"){ oSession.host = "webserver:80";}
四、Fiddler展示服务器IP
Fiddler默认配置中看不到服务器IP的,如何修改如下:
1、Fiddler—Rules—Customize Rules(和上面调试所展示出的文件一致)
2、在此Js文件中,搜索static function Main()
3、添加一行脚本
FiddlerObject.UI.lvSessions.AddBoundColumn("Server IP", 120, "X-HostIP");
添加后的js文件如下:
重启Fiddler后,就可以显示出请求的服务器IP,位置展示在最后。
