1、BurpSuite(常用)

可以抓包的类型:

  • HTTP / HTTPS 代理流量(Web 应用为主)

  • 支持 WebSocket(部分版本)

  • 可通过插件扩展支持其他协议(如 gRPC、非 HTTP 流量需借助外部工具)

优点:

  • Web安全测试标杆:内置 Intruder、Repeater、Scanner(专业版)等强大的渗透测试模块

  • 高度可扩展:支持大量插件(BApp Store),可自定义攻击逻辑

  • 代理与拦截灵活:可方便地篡改请求、响应,进行模糊测试和重放攻击

  • 爬虫与自动化:主动/被动扫描、自动化漏洞挖掘能力强

与其他对比的缺点:

  • 几乎仅限 HTTP/HTTPS:无法像 Wireshark 那样直接抓取 TCP/UDP 原始包

  • 社区版功能受限:主动扫描、自动爬取等核心安全功能需要付费专业版

  • 界面侧重安全而非调试:日常接口调试不如 Fiddler 或 Charles 直观

  • 资源占用较高:处理大量请求时比同类工具更消耗内存

2、Charles(茶杯)

可以抓包的类型:

  • HTTP / HTTPS

  • WebSocket 支持较好

  • 可通过扩展支持部分 TCP/IP 流量(非主要功能)

优点:

  • 不需要设置代理就可以抓包(自动配置系统代理,移动端仍需手动设置,但电脑端浏览器抓包体验省心)

  • 界面清晰直观:按域名树状结构展示请求,便于快速定位

  • 断点与重写方便:图形化修改请求/响应,支持本地 Map Local / Map Remote

  • 弱网模拟内置:Throttling 设置非常人性化,支持常见网络模板

  • 跨平台:支持 Windows / macOS / Linux

与其他对比的缺点:

  • 商业软件且价格较高:标准版 $50/年,专业版更贵,免费版有30分钟/次的限制

  • 脚本扩展性弱:不支持像 FiddlerScript 或 Burp 插件那样深度自定义逻辑

  • 自动化能力有限:无法批量发起高性能的重放攻击或自动化扫描

  • 抓取非 HTTP 协议困难:无法直接抓取原生 Socket 或 UDP 流量

3、Fiddler

可以抓包的类型:

  • HTTP / HTTPS(经典主力)

  • 支持 WebSocket(部分版本)

  • 通过插件可扩展部分非 HTTP 协议(如 FTP over HTTP,但较弱)

优点:

  • 完全免费(经典版):无需付费即可使用绝大多数核心功能

  • 脚本能力强大:支持 C# 编写的 FiddlerScript,可深度自定义请求处理逻辑

  • 自动解压与格式化:对 JSON、XML、HTML 自动美化,支持断点、自动响应、模拟限速

  • Windows 深度整合:可监控 WinHTTP 应用(如服务后台请求),支持 IE/Edge 代理自动捕获

  • 社区插件丰富:有大量第三方扩展(如证书钉扎绕过、文件对比等)

与其他对比的缺点:

  • Windows 原生依赖:对 macOS / Linux 支持弱(Mono 版本不稳定,功能不全)

  • 界面老旧且复杂:学习曲线比 Charles 略高,会话列表默认展示列较多

  • 协议覆盖有限:主要专注 HTTP/HTTPS,无法像 Wireshark 或 tcpdump 抓取底层包

  • 移动端 HTTPS 解密配置稍繁琐:部分新安卓版本需手动安装用户证书或 root

  • 现代化版本收费:Fiddler Everywhere 跨平台但收费,经典版不再频繁更新

4、Wireshark

可以抓包的类型:

  • 支持数百种网络协议,覆盖各网络层次

  • 链路层协议:Ethernet、Wi-Fi 等

  • 网络层协议:IP、ICMP 等

  • 传输层协议:TCP、UDP 等

  • 应用层协议:HTTP、FTP、DNS、SMTP 等

  • 支持 HTTP/2、QUIC 等新一代协议深度解析

  • 可通过 tcpdump 在无 GUI 的服务器上抓包后导入分析

优点:

  • 功能强大,覆盖面广:能够捕获指定网卡上的所有协议数据,被誉为网络协议分析领域的“瑞士军刀”

  • 深度协议解析:以 OSI 七层模型格式展示报文,可清晰查看每一层协议的详细内容

  • 强大的过滤系统:支持捕获前过滤和捕获后过滤,过滤规则精细,可组合显式条件(如 tcp.port == 443)与隐式分析字段(如 tcp.analysis.retransmission)精准定位异常流量

  • 开源免费,跨平台:支持 Windows、macOS、Linux 等多个操作系统

  • 丰富的统计与可视化:提供 IO Graphs、协议分层统计等多种分析视图,便于流量趋势分析和性能评估

  • 离线分析:支持将线上服务器抓取的 pcap 文件导入本地进行分析,便于排查生产环境问题

  • 实时捕获与回放:支持实时监控网络数据包,也可保存为文件供后续回溯

与其他对比的缺点:

  • 无法直接分析 HTTPS 加密内容:Wireshark 在链路层捕获的是加密后的数据包,默认情况下无法看到明文(虽然可配置解密,但操作复杂、耗时较多)

  • 学习门槛较高:需要具备一定的网络协议基础,初学者面对大量数据包和过滤语法时可能感到困惑

  • 功能过于底层:与 Charles、Fiddler 等工具相比,Wireshark 不是为日常 HTTP/HTTPS 接口调试设计的,用于 Web 开发调试不够便捷

  • 无法在无 GUI 服务器上直接使用:需要配合 tcpdump 命令行工具抓取,再导入 Wireshark 分析

  • 资源消耗较大:在捕获超大流量时可能占用较多系统资源,处理速度变慢

代理工具:Proxifier

Proxifier 是一款功能强大的网络代理客户端工具,专门解决“应用程序不支持代理设置”的问题。它能够将任何应用程序的网络流量强制转发到指定的代理服务器上,实现对不支持代理的应用程序的流量管理和控制。

可以抓包/代理的类型:

  • 支持 HTTP、HTTPS、SOCKS v4、SOCKS v5 等代理协议

  • 支持 TCP、UDP 传输协议

  • 可以指定端口、指定IP、指定域名、指定应用程序等运行模式

  • 支持代理链(Proxy Chain),可串联多个代理节点

  • 支持 IPv6 隧道

优点:

  • 强制代理:可以强制任何不支持代理设置的网络应用程序通过代理服务器连接网络,应用程序无需任何修改即可代理上网

  • 灵活规则:支持基于应用程序名称、目标主机、端口号、域名等条件配置精细的代理规则

  • 代理链:支持将多个代理服务器串联,增强网络隐蔽性和安全性

  • DNS 代理解析:支持通过代理服务器解析 DNS 请求,有助于保护隐私并绕过某些网络限制

  • 实时监控:提供流量监控、日志记录和统计功能,帮助了解应用程序的网络使用情况

  • 跨平台:支持 Windows 和 macOS 等多个操作系统

  • 兼容性强:支持 64 位和 32 位应用程序

  • 配合抓包工具:可与 Burp Suite、Charles、Yakit 等抓包工具联动,解决非浏览器/桌面应用/微信小程序难以抓包的问题

与其他对比的缺点:

  • 付费软件:Proxifier 是商业软件,有试用期但需付费购买注册码才能长期使用

  • 学习成本:规则配置相对复杂,初学者需要一定时间掌握

  • 资源占用:对系统性能有一定影响,特别是批量配置或扫描时会增加 CPU 消耗

  • 代理循环风险:配置不当容易造成代理循环,导致网络无法正常使用

  • 仅限代理引导:本身不具备解密功能,必须配合其他抓包工具(如 Burp Suite 或 Charles)才能查看明文内容

  • 非抓包工具:作为代理转发客户端,核心作用是重定向流量而非捕获解析