​在 iOS 开发与联调中，抓包常常是定位网络问题的第一步。

不同工具各有侧重：有的适合交互式调试（修改请求、断点重放），有的适合底层取证（tcp/tls 层面），还有专门用于无法用代理抓包时从设备端直接获取流量的方案。

下面把常见工具按职责拆清，给出典型取证流程与实战建议，便于工程师在遇到真机复现、证书 pinning 或运营商干预时快速决策。

工具矩阵（按职责）

• 代理式调试（应用层、解密）

Charles / Fiddler / Proxyman：图形界面友好，能拦截并修改 HTTP/HTTPS 请求，适合快速查看请求头/body、Mock 接口或调试签名逻辑。缺点是需要在设备上配置代理并信任 CA，对于启用证书 pinning 的 App 无效。

mitmproxy：命令行与脚本化能力强，适合自动化测试与 CI 环境下的流量回放。

• 安全/渗透测试

Burp Suite：强在请求篡改、自动化探测与插件生态，常被安全团队用于深度分析。对日常开发而言功能较强但学习成本也高。

• 底层抓包与协议分析

tcpdump / tshark / Wireshark：在服务器或网关侧抓原始包（-s 0 保存完整包），用于查看三次握手、重传、TLS 握手过程。Wireshark 的 Follow TCP Stream 能重组会话，是工程化定位的利器。

ngrep / netcat / tcpreplay：用于文本匹配、快速复现与流量回放。

• 平台专用工具

Apple PacketLogger（随 Xcode 附带）：针对 iOS/macOS 的无线抓包与蓝牙分析有帮助。

• 设备侧直连抓包（真机取证）

当代理不可用（证书 pinning、mTLS、企业网络替换证书）或无法在设备上安装 CA 时，必须从设备端拿到原始包。

这类场景下，可以使用能通过 USB 直连 iOS 设备并按 App 过滤导出 pcap 的工具来获取确凿证据。

例如抓包大师（Sniffmaster）在工程实践中常被用作设备侧取证：它能在不越狱、不配置代理的前提下抓取 iOS App 的 TCP/HTTPS 流量并导出 pcap，以便在 Wireshark 中做握手与证书链对比。

实战流程（快速排查模板）

1. ​重现并记录：记录设备型号、iOS 版本、App 版本、网络类型与精确时间点。

2. ​代理优先：若能配置代理并信任 CA，先用 Charles/Proxyman/mitmproxy 验证请求/响应，定位是否为请求头或签名问题。

3. ​服务器侧抓包：在可控环境或在问题时间窗于边缘/源站运行 tcpdump -i any host <device_ip> and port 443 -s 0 -w cap.pcap，保存原始证据。

4. 设备侧取证（若代理无效）：用支持 USB 直连的抓包方案按 App 抓取 device.pcap（合规授权），与服务器 pcap 在 Wireshark 中并排对齐，重点比对 ClientHello（SNI）、ServerHello、证书链与 TLS Alert。

结论与验证：根据证据判断是 Pinning、链不完整、透明代理还是回源问题；修复后在同一设备/网络复测并归档 pcap 与日志。

注意事项与合规

设备侧抓包通常包含敏感数据（cookie、token、个人信息），采集前必须获得产品/法务/安全审批；导出文件需加密保存、最小化时间窗并按规则销毁。

抓包工具是手段不是目的：优先通过可控测试环境（SSLKEYLOGFILE、测试证书）进行解密与复现，把Sniffmaster抓包留作“最后一招”证据。

参考文章：原文链接​