iOS 防止抓包实践-2020-06-10

关于抓包

• 用Mac开发iOS APP之后，用得最多的抓包工具就是Charles，并且版本是4.0，不升级。整体来说还是比较好用的。

• 如果域名是http的，用起来比较方便，上手就能用，对于调试网络相关功能，带来很大帮助。

• 如果域名是https，那么就要装证书，不然，抓包数据可能会不正常。并且还需要信任证书。

企业微信截图_09b30088-3433-46e1-8ac7-3ba6d1eda590.png

• 由于现在基本上都是https了，所以，这里还是直接改成“始终信任”比较方便。

企业微信截图_1c133c4a-ae47-4437-acb2-d79e950f41ca.png

这个时候，模拟器就可以随便用了，因为模拟器的网络，本质上是mac电脑本身

• 如果是真机的https抓包，那么就需要在真机上装证书，并且还需要把Mac作为手机的代理。比如我的Mac本身就是连WiFi的，设热点不方便，所以真机抓包就比较难做。

iOS Charles 抓包 https 实战并篡改返回数据

防止抓包？

事情都有两面性。通过抓包，给开发网络相关的功能带来了便利，不过正式使用的时候，被抓包了怎么办？是否存在安全风险？所以，对于安全关切比较重视的APP，会提出“防止抓包”的需求。

方案1：代理检测

既然抓包工具的核心原理是代理，那么问题就转化为检测代理。如果有代理，那么很有可能就是有人在抓包了，不进行网络数据传输就可以了。

检测是否有代理的代码如下：

- (BOOL)checkProxySetting:(NSString *)url {
     NSDictionary *proxySettings = (__bridge NSDictionary *)(CFNetworkCopySystemProxySettings());
     NSArray *proxies = (__bridge NSArray *)(CFNetworkCopyProxiesForURL((__bridge CFURLRef _Nonnull)([NSURL URLWithString:url]), (__bridge CFDictionaryRef _Nonnull)(proxySettings)));
     NSLog(@"\n%@",proxies);
     NSDictionary *settings = proxies[0];
     NSLog(@"%@",[settings objectForKey:(NSString *)kCFProxyHostNameKey]);
     NSLog(@"%@",[settings objectForKey:(NSString *)kCFProxyPortNumberKey]);
     NSLog(@"%@",[settings objectForKey:(NSString *)kCFProxyTypeKey]);
     if ([[settings objectForKey:(NSString *)kCFProxyTypeKey] isEqualToString:@"kCFProxyTypeNone"]) {
          NSLog(@"没设置代理");
          return NO;
     } else {
          NSLog(@"设置了代理");
          return YES;
     }
}

在网络数据传输前，查一下是否有代理。如果有代理，在读取下配置，看看是否允许抓包，（这个主要给测试用，一般情况都是不允许抓包的）。如果不允许抓包，那么就退出，不进行网络服务。

    BOOL isProxy = [self checkProxySetting:url];
    if (isProxy) {
        NSLog(@"检测到当前手机在使用代理，有安全风险");
        BOOL isAllowCapture = [KJTBackDoor fetchCapturePackageStatus];
        if (!isAllowCapture) {
            NSLog(@"有代理，并且不允许抓包，拒绝网络数据传输。");
            return;
        }
    }

怎样防止ios系统被抓包

• Android的防止抓包，也是通过禁止代理来做的。比如：

    private static OkHttpClient initDefaultHttpClient() {
        OkHttpClient.Builder clientBuilder = new OkHttpClient.Builder();

        // 超时
        clientBuilder.readTimeout(READ_SECONDS, TimeUnit.SECONDS);
        clientBuilder.writeTimeout(WRITE_SECONDS, TimeUnit.SECONDS);
        clientBuilder.connectTimeout(CONNECT_SECONDS, TimeUnit.SECONDS);

        // 禁止抓包
        clientBuilder.proxy(Proxy.NO_PROXY);

        // dns
        try {
            clientBuilder.dns(OkHttpDns.getInstance());
        } catch (Exception ex) {
            ex.printStackTrace();
        }

        // 返回
        clientBuilder.retryOnConnectionFailure(false); // 失败不重试
        return clientBuilder.build();
    }

方案2：私有证书

• 简单讲就是让服务端生成一个证书，放在客户端中，进行验证

• 网络库要用AFNetworking，有现成的接口，比较方便

+ (AFHTTPSessionManager *)manager
{
    static AFHTTPSessionManager *manager = nil;
    static dispatch_once_t onceToken;
    dispatch_once(&onceToken, ^{
    
        NSURLSessionConfiguration *config = [NSURLSessionConfiguration defaultSessionConfiguration];
        manager =  [[AFHTTPSessionManager alloc] initWithSessionConfiguration:config];

        AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey withPinnedCertificates:[AFSecurityPolicy certificatesInBundle:[NSBundle mainBundle]]];
        manager.securityPolicy = securityPolicy;
    });
    return manager;
}

iOS 防止抓包（SSL Pinning）