.pcap · .pcapng(tcpdump / Wireshark / dumpcap / pktmon 输出)
| # | Time (s) | Source | Destination | Protocol | Len | Info |
|---|
PCAP 抓包查看 把 tcpdump / Wireshark / dumpcap / pktmon 等工具产出的 .pcap / .pcapng 文件直接拖进浏览器,立刻看到包列表、各层协议详情、TLS 握手元数据、HTTP 请求/响应、DNS 查询应答。纯前端运行,文件不出本地,是 Wireshark 的”轻量速览”补位。
抓包文件常见的几个使用场景里,装一份 Wireshark 才看几十包显得太重——客户/同事甩来一个 100KB 的 pcap 让你帮看「这个握手为啥失败」、上课要给学生演示三次握手 / TLS 流程、生产环境抓了一段 HTTPS 想确认 SNI 和证书是不是对的。这些场景本工具一拖就能看,没有安装步骤、没有界面学习成本、没有文件上传风险。
| 层级 | 协议 |
|---|---|
| 链路层 | Ethernet(含 VLAN/QinQ)、Linux SLL/SLL2、BSD Loopback、Raw IP |
| 网络层 | IPv4(含 options)、IPv6(含扩展头) |
| 传输层 | TCP(含 options:MSS / WS / SACK / Timestamp)、UDP、ICMP/ICMPv6 |
| 应用层 | TLS 握手(SNI / ALPN / cipher / 证书 SAN/有效期)、HTTP/1.x 请求与响应、DNS(A/AAAA/CNAME/MX/TXT/SRV/SOA…) |
应用层是 单包检测:在每个 TCP/UDP 包上扫描有效负载特征,命中就解析。HTTP header 通常单包装得下、TLS ClientHello/ServerHello 也基本单包内,覆盖 95% 实际场景。少数跨包的 HTTP 大请求 / 大证书 MVP 不重组,会显示 TCP 段未能识别为应用层,这是已知限制。
PCAP 文件常包含完整的网络元数据:内网 IP、域名、连接的所有时间戳、TLS SNI(哪些站点被访问过)、未加密 HTTP 请求/响应(含 Cookie / Authorization)。任何把 pcap 上传到第三方在线分析的工具都是高危操作——一份生产抓包等同于一段时间内的会话与流量轨迹。本工具:
不解密 TLS / QUIC:握手后的 ApplicationData 是加密的,工具仅展示握手元数据。要看明文 HTTPS 请求需要在客户端用 mitmproxy / Charles 做 MITM、或导出 HAR(用本站 HAR 工具)。
不替代 Wireshark:协议覆盖、统计图表、流重组、专家系统、自定义解析器都是 Wireshark 的强项。本工具定位是「打开就能看的速览版」,跑深度分析请用 Wireshark / tshark。
单文件 200 MB 上限:pcap 是二进制紧凑格式,正常使用很少超出。超大抓包请用 tshark -r in.pcap -w out.pcap '<filter>' 先过滤再拖入。
要看浏览器导出的 HTTP 流量用 HAR 文件分析(含明文请求/响应体);解析单张证书用 证书解析(PEM/DER 完整字段);看任意二进制文件结构用 Hex 二进制查看。整条「看握手 → 看请求 → 看证书」链路都在 365 工具箱里,不需要离开浏览器。
macOS / Linux:sudo tcpdump -i en0 -w out.pcap 'tcp port 443',Ctrl+C 停止。Windows:装 Wireshark,或用 Win10+ 自带 pktmon start --capture --file out.etl + pktmon etl2pcap。iOS(不越狱):Mac 接 USB 后 rvictl -s <udid> 创建虚拟接口再 tcpdump。Android:装 PCAPdroid(免 root)。浏览器流量只能在系统层抓,Chrome/Firefox 自身导不出 pcap,能导的是 HAR(用本站 HAR 工具看)。
MVP 不支持。TLS 1.2/1.3 握手后是加密的 ApplicationData,看不到明文 HTTP。要解密需要客户端启动时设置 SSLKEYLOGFILE 环境变量导出会话密钥,再喂给解密引擎,工程量很大本工具暂不实现。本工具只看握手元数据(SNI / ALPN / 版本 / 选定 cipher / 证书),这已经能定位 80% 的 HTTPS 连不上类问题。看明文 API 请用 mitmproxy / Charles,或在客户端发 HTTP 后用本工具。
不替代。Wireshark 是抓包分析的金标准,协议覆盖、统计图表、专家系统、流追踪、自定义解析器都极强。本工具是「轻量速览」定位:浏览器打开秒解析、不装软件、不上传、能查 TLS 握手 / HTTP / DNS 三个最高频场景。客户/同事甩了一个 pcap 来排障、想给学生演示握手过程时用本工具最快;要做深度分析、看到 IGMP / OSPF / IS-IS / 802.11 帧细节、跑 tshark 脚本,用 Wireshark。
建议 50 MB 以内比较舒服,硬上限 200 MB会拒绝加载。pcap 是二进制格式,比 HAR 紧凑(HAR 同样信息量约是 pcap 的 5-10 倍),所以这个限制实际能装很多包。表格渲染上限是 5000 行——超出请用过滤条件(搜 IP / 端口 / 协议)缩小范围,超大文件请用 Wireshark 或 tshark 命令行预过滤后再拖进来。
不会。整个工具是一个静态页面,文件用 File.arrayBuffer() 读到内存,所有解析都在浏览器里跑。没有任何网络请求会发出去——首次加载完成后断网继续可用。pcap 中常含内网 IP、Cookie、Authorization、Host 名称等敏感信息,工具核心定位就是「本地解析、不上传」,比上传到第三方在线分析平台安全得多。
Ethernet(最常见)、Linux SLL / SLL2(tcpdump -i any 输出)、Raw IPv4 / IPv6(PPP / 隧道)、BSD Loopback(macOS 本地抓包 lo0)、含 VLAN 标签的以太网。不支持 802.11 / Radiotap(Wi-Fi 直接抓帧)、Bluetooth、USB 等少见类型——遇到这类抓包建议用 Wireshark。pcapng 多接口文件每包按其原接口的 linktype 分别解析。
HTTPS = HTTP over TLS,握手完成后 HTTP 报文整体被 TLS 加密成 ApplicationData,理论上就是看不到。这不是工具的问题,是密码学。如果你的目的是看 API 请求体,要么改用 HTTP(仅测试环境)、要么在客户端用 mitmproxy 做 MITM 解密、要么导 HAR(浏览器自己有完整 HTTPS 明文,只是不暴露给抓包层)。本工具只能告诉你「握手是否成功」「选了什么 cipher」「证书是不是对的」,看明文是另一类工具的活儿。
QUIC 是 UDP/443 上的加密协议,从 ClientHello 开始就被一层 QUIC 加密了,没有像 TLS over TCP 那样裸露的 ClientHello。工具会把 UDP/443 流量标成 QUIC? 并显示长度,但不解密内部内容。要看 QUIC 内部细节需要专门的 QUIC 解密(同样依赖 SSLKEYLOGFILE),Wireshark 较新版本支持。看 HTTP/3 业务请求建议用 Chrome DevTools / Charles。