Fiddler移动端抓包实战：从零配置到HTTPS解密全攻略

1. 为什么需要移动端抓包？

作为移动开发者或测试工程师，你一定遇到过这样的场景：App突然报错却找不到原因，接口返回数据异常但服务端坚称没问题，或者想分析竞品的网络请求却无从下手。这时候，抓包工具就是你的"显微镜"。

Fiddler作为老牌抓包工具，我用了8年依然爱不释手。它就像网络世界的监控摄像头，能完整记录手机与服务器之间的所有对话。最近帮团队新人配置环境时，发现很多小伙伴卡在HTTPS解密和证书安装环节，今天就把我的实战经验整理成这份保姆级指南。

2. 环境准备：从安装到汉化

2.1 选择合适的Fiddler版本

第一次打开官网可能会眼花缭乱，目前主要版本有：

• Fiddler Classic：Windows专属，功能最全（推荐新手使用）
• Fiddler Everywhere：跨平台支持Mac/Linux
• FiddlerCap：轻量级便携版

我建议从Classic版入手，下载时注意：

bash复制# 检查系统要求
Windows 7及以上
.NET Framework 4.7.2+

2.2 汉化配置技巧

英文界面看着头疼？按这个步骤汉化：

1. 下载汉化包（含FdToChinese.dll和FiddlerTexts.txt）
2. 将dll文件复制到Fiddler安装目录\Scripts\
3. 把txt文件放到Fiddler安装目录\
4. 重启软件即可生效

实测发现部分菜单可能仍有英文，这时可以编辑FiddlerTexts.txt自定义翻译。我常用的几个关键术语翻译：

code复制"Session" => "会话"
"Inspectors" => "解析器"
"AutoResponder" => "自动响应"

3. 核心配置三步走

3.1 电脑端基础设置

打开Tools > Options开始关键配置：

1. Connections标签：

   • 端口建议用8888（避开常见服务端口）
   • 务必勾选"Allow remote computers to connect"

2. HTTPS标签：

   • 勾选"Decrypt HTTPS traffic"
   • 勾选"Ignore server certificate errors"

3. Actions菜单：

   • 点击"Trust Root Certificate"安装证书
   • 在证书管理器确认出现"DO_NOT_TRUST_FiddlerRoot"

注意：如果遇到证书安装失败，可能是权限问题，建议用管理员身份运行Fiddler

3.2 手机代理配置实战

以华为手机为例的详细步骤：

1. 长按已连接的WiFi → 修改网络 → 显示高级选项
2. 代理选择手动 → 输入电脑IP和Fiddler端口
3. 保存后立即测试：

bash复制# 电脑端检查IP
ipconfig | findstr "IPv4"
# 手机端测试连通性
ping 电脑IP

常见坑点：

• 电脑防火墙拦截（需放行入站连接）
• 代理设置未保存（华为手机需要额外点击"√"）
• 端口被占用（netstat -ano | findstr "8888"）

3.3 HTTPS解密关键步骤

这是最容易出问题的环节，我总结了三重保障：

1. 电脑端：

   • 确认已导出根证书（Actions → Export Root Certificate）

2. Android手机：

   markdown复制1. 访问 http://电脑IP:端口
   2. 下载FiddlerRoot.cer
   3. 设置 → 安全 → 加密与凭据 → 安装证书
   

3. iOS特殊处理：

   • 安装证书后必须额外开启信任：

     markdown复制设置 → 通用 → 关于 → 证书信任设置 → 启用Fiddler根证书
     

4. 实战抓包技巧

4.1 过滤无关流量

面对海量请求，这样过滤更高效：

1. 右侧Filters标签勾选"Use Filters"
2. 设置Hosts过滤规则：

   text复制*.example.com;!*.google.com
   

3. 快捷键Ctrl+X快速清屏

我的常用过滤组合：

• 只显示手机流量：Process=SYSTEM
• 隐藏图片请求：NOT Content-Type:image/*

4.2 断点调试妙用

修改请求/响应的两种方式：

1. 全局断点：

   javascript复制// 在FiddlerScript设置
   if (oSession.uriContains("target_api")){
     oSession["x-breakrequest"]="";
   }
   

2. 手动断点：
   • 请求前断点：F11
   • 响应后断点：Alt+F11

上周就用这招发现了接口参数加密漏洞，成功拦截了未加密的身份证号传输。

4.3 性能分析技巧

Timeline面板藏着这些宝藏信息：

• 蓝色：DNS查询时间
• 绿色：TCP连接时间
• 黄色：SSL握手时间
• 红色：服务器响应时间

我曾用这个功能优化App启动速度，发现有个第三方SDK的DNS解析竟耗时1.8秒，改用IP直连后启动时间直接降低20%。

5. 疑难问题排查指南

5.1 证书相关错误

症状："证书不受信任"警告

• 解决方案：
  1. 电脑端重新导出证书
  2. 手机端删除旧证书后重装
  3. 检查证书有效期（Fiddler证书默认有效期2年）

症状：iOS 15+无法抓包

• 特殊处理：

  markdown复制1. 设置 → 通用 → 传输或还原iPhone → 还原网络设置
  2. 重新安装证书后重启设备
  

5.2 网络连接问题

症状：手机显示无网络

• 检查清单：
  • 电脑是否共享了网络（尤其常见于USB共享网络）
  • Fiddler是否开启了"Act as system proxy"
  • 尝试关闭电脑防火墙测试

症状：抓不到特定APP流量

• 可能原因：
  • APP使用了证书绑定（SSL Pinning）
  • 使用了WebSocket等非HTTP协议
  • 解决方案：

    markdown复制1. 尝试用JustTrustMe等工具绕过SSL Pinning
    2. 在FiddlerScript中添加规则：
       if (oSession.HTTPMethodIs("CONNECT")){
         oSession["x-replywithtunnel"] = "fake-tunnel";
       }
    

5.3 数据解析技巧

遇到乱码响应时试试这些解码方式：

1. JSON美化：右键 → Transform → JSON
2. 图片预览：切换到ImageView标签
3. ProtoBuf解析：安装插件后选择"Protobuf"解码器

上周分析某APP时发现响应是gzip压缩的，在Inspectors标签点击"Decode"按钮后，终于看到了明文的业务数据。

6. 高阶玩法与安全建议

6.1 自动化脚本实践

用FiddlerScript实现自动修改请求：

javascript复制// 修改所有百度请求的User-Agent
if (oSession.HostnameIs("www.baidu.com")){
    oSession.oRequest["User-Agent"] = "MyCustomAgent/1.0";
}

// 模拟慢速网络
if (oSession.uriContains("api/payment")){
    oSession["request-trickle-delay"] = "5000"; // 5秒延迟
}

6.2 安全防护建议

抓包是把双刃剑，务必注意：

1. 敏感数据：

   • 抓包完成后立即关闭代理
   • 及时清除含敏感信息的会话

2. 证书管理：

   markdown复制- 测试结束后移除手机端的Fiddler证书
   - 定期更换Fiddler根证书（Options → HTTPS）
   

3. 企业级防护：

   • 对测试机实施网络隔离
   • 使用专用测试证书而非默认证书

记得有次在咖啡店测试时，意外抓到了隔壁桌的微信消息（他们连的同一个WiFi），立刻意识到公共网络抓包的风险，现在都会用手机热点来测试。