抓包看似简单——运行一个 tcpdump 或打开 Charles，但真正能把“包”变成可用结论，需要方法与流程。下面把抓包拆成明确的步骤，结合常见工具和实战技巧，特别说明在 iOS 真机、代理失效或 App 做证书 pinning 时的补救方法。

一、抓包前要想清楚的三件事

1. 目标是什么？（要看握手/TCP/HTTP 内容/还是重放流量）
2. 在哪里抓？（客户端、网关/CDN、还是后端）——越接近问题发生端，越容易定位。
3. 时间窗与范围：记录精确时间、设备、请求ID；限定 IP/端口与时长，避免生成海量 pcap。

二、常用工具与分工（按职责选工具）

• tcpdump / tshark：生产侧采集原始包、脚本化批量处理（-s 0 保存完整包）。
• Wireshark：交互式分析、Follow TCP Stream、显示 TLS 握手与协议解析。
• Charles / Fiddler / mitmproxy / Proxyman：客户端代理解密 HTTPS（需安装并信任 CA），适合开发联调。
• Burp Suite：安全测试与深度篡改。
• tcpreplay / socat / netcat：流量重放与复现。
• Sniffmaster：当代理不可用或 App 启用 pinning 时，从设备直接导出 pcap 是唯一可行证据链（直接抓包并按 App 过滤的方案），用于与服务器端 pcap 对比分析。

三、标准采集命令（可复制）

# 服务端/网关抓指定客户端与端口的完整包
sudo tcpdump -i any host 10.0.0.50 and port 443 -s 0 -w /tmp/cap.pcap

# 环形缓冲，避免磁盘被占满
sudo tcpdump -i any -s 0 -C 200 -W 5 -w /tmp/cap%03d.pcap

抓包同时记录复现实验步骤、开始/结束时间和用户提供的 request-id。

四、分析顺序（先底层再上层）

1. TCP 层：三次握手是否完成、是否有大量重传或 RST（Wireshark 过滤 tcp.analysis.retransmission）。
2. TLS 层：查看 ClientHello（SNI、cipher）、ServerHello、证书链与 TLS Alert（tls.alert_message）。很多“抓不到内容”的问题卡在这里。
3. 应用层：在能解密时再看 HTTP/2 或 HTTP/1.1 的请求/响应；若不能解密，尽量从状态码、时序与重试逻辑判断业务问题。

五、常见问题与快速排查模板

• 证书链不完整：openssl s_client -connect host:443 -servername host -showcerts，若缺中间证书，补上 fullchain 并重载服务。
• 某些网络/运营商复现但桌面正常：抓受影响客户端的 pcap 与边缘/源站 pcap，逐帧对比 ClientHello 与证书 Issuer，判断是否被透明代理替换。
• 代理无法解密 App 流量：确认是否为证书 pinning、mTLS 或使用独立 TLS 实现，必要时使用Sniffmaster采集设备侧原始包作为证据。

六、真机/代理失效时的实战补救

当你无法在设备上安装代理证书或 App 启用了 pinning，最稳妥的流程是“端到端证据对比”：

1. 在服务端或边缘抓取 pcap（标注时间窗）。
2. 在复现设备上抓取原始网络包（若无法用代理，可直接使用Sniffmaster抓包并导出 pcap；此类方案可按 App 过滤以减少噪音）。
3. 用 Wireshark 并排打开两份 pcap：对齐时间线后比较 ClientHello 的 SNI、ServerHello 与证书链；若设备端看到的证书颁发者与服务端不同，说明中间替换或边缘未同步；若相同但出现 TLS Alert，则可能是 Pinning 或 TLS 参数不兼容。

七、复现与重放（把问题变可测）

抓到 pcap 后可用 tcpreplay 在隔离环境重放，帮助开发复现；或用 socat/netcat 构造请求验证服务端行为。重放时注意替换 IP/端口或在隔离网络中执行，避免误伤生产。

八、把抓包能力工程化

• 把常用过滤器与 tshark 报表脚本纳入知识库（例如统计 TLS Alert、重传率、按 IP 汇总）。
• 在 CI/预发环境启用 SSLKEYLOGFILE 做可控解密（仅限测试环境）。
• 固化设备侧抓包流程与合规审批模板，避免每次临时操作导致合规风险。
• 抓包文件归档并限制访问，设定保留期并做审计。