Charles和Fiddler作为业界主流的抓包工具，能够突破HTTPS的加密层，还原请求与响应的完整数据。本文将从HTTPS通信原理切入，分步骤讲解两款工具的配置流程、抓包操作及常见问题解决方案，帮助开发者快速掌握HTTPS调试技能。

一、HTTPS通信原理与抓包核心逻辑

要理解抓包工具的工作机制，首先需要明确HTTPS的加密通信流程。HTTPS并非独立协议，而是在HTTP基础上加入TLS/SSL加密层，通过证书验证、对称加密与非对称加密结合的方式实现安全传输。其标准通信流程包含以下关键步骤：

• TCP三次握手：客户端与服务器建立TCP连接，为后续通信奠定基础；
• SSL/TLS握手：客户端向服务器请求证书，验证证书合法性（如颁发机构、有效期、域名匹配度），随后双方协商会话密钥（通常采用RSA或ECDHE算法）；
• 加密通信：客户端与服务器使用协商后的对称密钥（如AES算法）加密HTTP数据，实现请求与响应的安全传输；
• 连接关闭：通信结束后，通过四次挥手关闭TCP连接。

抓包工具之所以能破解HTTPS加密，核心在于中间人攻击（MITM）原理：工具在客户端与服务器之间扮演"中介"角色，分别与两端建立独立的HTTPS连接。具体来说，工具会向客户端伪装成服务器（返回自身伪造的证书），同时向服务器伪装成客户端（使用真实服务器证书），从而获取解密后的明文数据。这一过程的前提是客户端信任抓包工具生成的根证书，否则会触发证书验证错误。

二、Charles抓包工具配置与实战

Charles是一款跨平台的可视化抓包工具，支持macOS、Windows和Linux系统，以操作简洁、功能强大著称，特别适合移动应用调试。

1. 基础环境配置

（1）工具安装与激活

• 官方下载地址：https://www.charlesproxy.com/（提供30天免费试用）；
• 安装完成后，启动Charles并完成初始设置（如端口配置，默认8888）；
• 激活方式：购买正版授权或使用教育邮箱申请免费许可（需符合官方政策）。

（2）根证书安装（关键步骤）

HTTPS抓包的核心是让客户端信任Charles的根证书，分为"Charles自身证书安装"和"客户端证书安装"两步：

第一步：Charles本地证书配置

• 打开Charles，点击菜单栏「Help」→「SSL Proxying」→「Install Charles Root Certificate」；
• 在弹出的系统证书管理窗口中，选择「信任」→「始终信任」（macOS）或「放置到"受信任的根证书颁发机构"」（Windows）；
• 验证：重启Charles后，在「Proxy」→「SSL Proxying Settings」中确认证书状态为"Valid"。

第二步：移动设备证书安装

以iOS设备为例（Android流程类似）：

• 确保手机与电脑处于同一局域网（如连接相同WiFi）；
• 在Charles中查看代理地址：点击菜单栏「Help」→「Local IP Address」，记录电脑IP（如192.168.1.100）；
• 手机端配置代理：进入「设置」→「无线局域网」→点击当前WiFi右侧「i」图标→「配置代理」→选择「手动」，输入电脑IP和Charles端口（默认8888）；
• 安装证书：打开手机浏览器，访问chls.pro/ssl，按照提示下载并安装证书（iOS需在「设置」→「通用」→「VPN与设备管理」中信任证书）；
• Android额外步骤：进入「设置」→「安全」→「加密与凭据」→「安装从存储设备的证书」，选择下载的Charles证书并命名。

2. HTTPS抓包实战流程

（1）开启SSL代理

• 在Charles中，点击菜单栏「Proxy」→「SSL Proxying」→勾选「Enable SSL Proxying」；
• 配置代理规则：点击「Proxy」→「SSL Proxying Settings」→点击「Add」，在「Host」栏输入目标域名（如api.example.com，支持通配符*，表示所有域名），「Port」输入443（HTTPS默认端口），点击「OK」保存。

（2）抓取目标请求

• 启动需要调试的应用（如手机App或网页），Charles会自动捕获所有经过代理的请求；
• 在左侧「Structure」面板中，按域名筛选目标请求（如展开api.example.com）；
• 点击具体请求，右侧面板可查看详细信息：

「Overview」：请求URL、方法（GET/POST）、状态码、响应时间；

「Request」：请求头（Headers）、请求体（Form Data/JSON）；

「Response」：响应头、响应体（支持JSON格式化、图片预览）；

「SSL」：证书链信息（验证是否使用Charles证书）。

（3）高级功能应用

• 请求重写（Rewrite）：点击菜单栏「Tools」→「Rewrite」，可修改请求参数（如将user_id=123改为user_id=456），用于测试不同用户状态；
• 断点调试（Breakpoints）：右键点击目标请求→「Breakpoints」，触发请求时会暂停，允许手动修改请求/响应数据后再发送；
• 流量控制（Throttle）：点击菜单栏「Proxy」→「Throttle Settings」，模拟弱网环境（如3G/4G网速），测试应用在低带宽下的表现。

3. 常见问题与解决方案

（1）证书安装后仍无法抓包

排查1：确认手机与电脑是否在同一局域网，代理IP和端口是否正确；

排查2：iOS 16+需在「设置」→「隐私与安全性」→「证书信任设置」中手动开启Charles证书信任；

排查3：检查目标域名是否已添加到SSL Proxy规则中（避免漏加或端口错误）。

（2）请求显示"Unknown"或"SSL Handshake Failed"

原因1：目标服务器启用了证书锁定（SSL Pinning），拒绝非官方证书；

解决方案：在测试环境中关闭SSL Pinning（如通过代码注释或配置开关），或使用Frida等工具动态绕过；

原因2：Charles版本过低，不支持TLS 1.3协议；

解决方案：升级Charles至4.6.0以上版本（支持TLS 1.3）。

三、Fiddler抓包工具配置与实战

Fiddler是另一款经典抓包工具，由Telerik开发，免费且Windows兼容性极佳，支持丰富的脚本扩展（如FiddlerScript），适合复杂场景的调试。

1. 基础环境配置

（1）工具安装与初始化

• 官方下载地址：https://www.telerik.com/fiddler（推荐下载Fiddler Everywhere，支持跨平台；经典版Fiddler仅支持Windows）；
• 安装完成后，首次启动需配置代理端口（默认8888），并启用HTTPS抓包功能。

（2）根证书安装与信任

第一步：Fiddler证书生成

• 打开Fiddler，点击菜单栏「Tools」→「Options」→「HTTPS」；
• 勾选「Capture HTTPS CONNECTs」和「Decrypt HTTPS traffic」，在弹出的证书生成向导中点击「Yes」，生成Fiddler根证书（FiddlerRoot）；
• 点击「Actions」→「Export Root Certificate to Desktop」，将证书保存到桌面（用于移动设备安装）。

第二步：客户端证书安装

以Android设备为例：

• 手机与电脑连接同一WiFi，配置代理（IP为电脑IP，端口8888）；
• 手机浏览器访问http://ipv4.fiddler:8888（Fiddler内置的配置页面）；
• 点击页面中的「FiddlerRoot certificate」，下载并安装证书（Android需在「安全」→「证书管理」中信任）；
• Windows客户端调试：在Fiddler的「HTTPS」选项中点击「Actions」→「Trust Root Certificate」，完成系统信任。

2. HTTPS抓包实战流程

（1）开启HTTPS捕获

• 在Fiddler的「HTTPS」选项中，确认「Decrypt HTTPS traffic」已勾选，并选择「...from all processes」（捕获所有进程的HTTPS请求）；
• 点击「OK」保存设置，Fiddler会自动重启代理服务。

（2）筛选与分析请求

• 启动目标应用（如浏览器或App），Fiddler会在左侧「Session List」中显示所有请求，HTTPS请求以锁形图标标识；
• 筛选目标请求：

按域名筛选：在底部「QuickExec」输入框中输入urlcontains api.example.com（仅显示包含该域名的请求）；

按类型筛选：点击顶部「Filters」标签，在「Hosts」中选择「Show only the following Hosts」，输入目标域名；

• 查看请求详情：

点击请求，右侧「Inspectors」面板可查看：

「Headers」：请求头（如User-Agent、Cookie）和响应头；

「TextView」：请求体和响应体（支持JSON、XML格式化）；

「Raw」：原始请求/响应数据（包含HTTP协议头和正文）。

（3）高级调试功能

• 自动回复（AutoResponder）：点击顶部「AutoResponder」标签，勾选「Enable rules」，可将特定请求映射到本地文件（如将api.example.com/getUser映射到本地user.json），用于模拟服务器响应；
• 脚本扩展（FiddlerScript）：点击顶部「Rules」→「Customize Rules」，使用JScript编写脚本（如自动添加请求头、修改响应状态码）；
• 性能分析（Timeline）：选中多个请求，右键点击「Properties」→「Timeline」，查看请求的时间线分布，定位慢请求。

3. 常见问题与解决方案

（1）HTTPS请求显示"Tunnel to"且无法解密

原因：Fiddler未正确捕获HTTPS CONNECT请求，或证书未被信任；

解决方案：

• 确认「Capture HTTPS CONNECTs」已勾选；
• 重新安装并信任Fiddler根证书；
• 关闭杀毒软件（部分软件会拦截Fiddler的证书操作）。

（2）移动设备无法连接Fiddler代理

原因1：电脑防火墙阻止了8888端口；

解决方案：在Windows防火墙中添加8888端口的入站规则；

原因2：Fiddler未允许远程连接；

解决方案：打开「Tools」→「Options」→「Connections」，勾选「Allow remote computers to connect」，重启Fiddler。

四、Charles与Fiddler对比及选型建议

两款工具各有优势，选择需结合使用场景和平台需求：

选型建议：

• 若为macOS用户或主要调试iOS应用，优先选择Charles，其流畅的界面和简单的证书配置能提升效率；
• 若为Windows用户或需要复杂脚本扩展（如批量修改请求、自动化测试），推荐Fiddler，尤其是免费的经典版；
• 若需跨平台调试且预算有限，可尝试Fiddler Everywhere（免费试用）或Charles的教育版。

五、抓包调试注意事项与安全规范

• 仅用于合法场景：抓包仅可用于自己开发或授权的应用调试，禁止抓取他人隐私数据或未经授权的通信，避免违反《网络安全法》；
• 测试环境隔离：在生产环境中禁用抓包工具，防止证书泄露导致安全风险；
• 证书管理：调试完成后，及时在客户端删除抓包工具的根证书，避免被恶意利用；
• 数据保密：抓包过程中会获取敏感信息（如Token、密码），需妥善保管抓包日志，避免泄露。

通过本文的步骤指导，开发者可快速掌握Charles和Fiddler的HTTPS抓包技能。实际调试中，需结合具体问题灵活运用工具功能，如遇到证书锁定、弱网测试等复杂场景，可进一步学习Frida绕过、流量模拟等进阶技术，逐步提升调试效率。

Dogssl.cn拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!