Fiddler HTTP/HTTPS 抓包工具完整实操技术教程

Fiddler HTTP/HTTPS 抓包工具完整实操技术教程

一、工具基础原理与能力概述

1. 工具定位

Fiddler Classic 是运行于 Windows 平台的免费 HTTP 代理抓包工具,常用于 Web 开发、接口测试、移动端接口调试。程序工作在客户端与服务端中间层,以中间人代理形式拦截全部网络请求,完整记录、解析、篡改 HTTP/HTTPS 报文,无需额外运行依赖环境,安装包体积小巧。

2. 底层工作机制

  1. 启动程序时自动修改系统全局代理地址为本机127.0.0.1:8888
  2. 浏览器、App 发起的网络请求会先转发至 Fiddler,再由工具转发至目标业务服务器;
  3. 服务端返回响应数据同样经过 Fiddler 中转后回传给客户端;
  4. 关闭软件时自动还原系统代理配置,无需手动修改网络设置;
  5. 默认监听端口:888,修改路径:顶部Tools → Options → Connections

3. 核心功能清单

  • 完整捕获 PC 浏览器、手机 App 的 HTTP、HTTPS 完整请求与响应报文;
  • 断点拦截机制,支持中途修改请求参数、返回响应数据;
  • AutoResponder 本地模拟接口返回,无需改动后端服务;
  • 带宽限速模拟,复现弱网、高延迟场景下应用表现;
  • 多维度流量过滤,精准筛选目标域名、接口、进程流量;
  • Composer 自定义构造请求,支持各类 Method 手动发起调用;
  • 原始会话保存、回放,用于复现线上接口问题。

二、软件安装流程

资源下载

百度网盘下载地址: https://pan.baidu.com/s/1VQsjfaZWeFiZUuLnSQOD0A?pwd=5555 提取码: 5555

Windows 安装步骤

  1. 下载.exe安装程序,双击启动安装向导;
  2. 可自定义安装目录至非系统磁盘,持续点击下一步完成部署;
  3. 首次启动弹窗提示「是否解密 HTTPS 流量」,选择Yes;若拒绝该选项,工具仅能捕获明文 HTTP 请求,加密 HTTPS 报文无法解析。

三、软件界面分区说明

软件主体分为左侧会话列表、右侧详情操作面板两大区域:

  1. 左侧会话列表记录全部捕获流量,每条条目包含请求序号、协议、域名、URL、响应状态码、耗时; 颜色区分规则:红色 = 4xx/5xx 异常请求,绿色 = HTTP 明文请求,灰色 = HTTPS 加密请求。
  2. 右侧详情面板(Inspectors 为主)选中单条流量后展示完整报文,上区块为客户端请求内容,下区块为服务端返回内容; 支持 Raw 原始文本、JSON 格式化、请求头 Headers、图片、网页等多视图切换。
  3. 底部命令输入栏快捷指令入口,用于快速设置 / 清除断点、批量过滤流量。

四、八大核心实操分步教程

4.1 PC 浏览器网页抓包(基础用法)

  1. 正常启动 Fiddler,保持软件前台运行;
  2. 打开 Chrome/Edge/Firefox 浏览器访问网页;
  3. 左侧列表自动实时刷新全部网络请求;
  4. 选中目标接口,切换右侧Inspectors标签查看:
    • 上栏:请求方法、URL、Header、表单 / JSON 请求体;
    • 下栏:响应状态码、返回 Header、页面 HTML / 接口 JSON 数据。
域名流量过滤操作

仅保留指定业务域名,过滤静态资源、第三方埋点流量:

  1. 右侧切换Filters标签,勾选Use Filters启用过滤;
  2. Show only the following Hosts填入目标域名(如api.test.com);
  3. 点击Actions → Run Filterset Now生效。

HTTPS 解密补充配置(首次未开启时)
  1. 顶部菜单栏Tools → Options → HTTPS
  2. 勾选Capture HTTPS CONNECTsDecrypt HTTPS traffic
  3. 弹窗确认安装根证书并完成系统信任;
  4. 重启 Fiddler,HTTPS 报文即可正常解析明文内容。

4.2 手机 App 移动端抓包(WiFi 同网前提)

前置条件:电脑、手机连接同一局域网 WiFi,分三步配置。

步骤 1:Fiddler 开启远程访问权限
  1. Tools → Options → Connections
  2. 勾选Allow remote computers to connect,端口保持 8888;
  3. 弹窗确认权限后保存设置。
步骤 2:手机 WiFi 手动代理配置
  1. Windows 终端执行ipconfig,获取本机 IPv4 内网地址(例:192.168.1.102);
  2. 手机进入当前连接 WiFi 详情,修改代理为「手动」;
    • 代理主机:填写电脑 IPv4 地址
    • 代理端口:8888
  3. 保存网络配置。
步骤 3:安装并信任根证书(HTTPS 必做)
  1. 手机浏览器访问地址http://电脑IP:8888
  2. 页面底部下载FiddlerRoot certificate证书文件;
  • Android:设置 - 安全 - 凭据,安装下载证书,标记为用户信任凭据;
  • iPhone:下载证书后,设置→通用→VPN 与设备管理安装证书,再进入「证书信任设置」开启对应信任开关。
补充注意
  1. 抓包完成后务必关闭手机 WiFi 代理,否则断开 WiFi 后无法上网;
  2. 采用 SSL Pinning 证书锁定的 App,常规方式无法解密 HTTPS 流量,需额外工具绕过限制。

4.3 断点拦截、修改请求 / 响应数据

工具底部命令行输入指令实现拦截,支持请求前、响应前两种断点。

  1. 拦截请求(修改入参)指令:bpu 目标完整URL触发匹配接口后自动暂停,在 Inspectors 修改 Header、请求体,点击Run to Completion放行请求。 清除断点:仅输入bpu回车。
  2. 拦截响应(模拟返回数据)指令:bpafter 目标完整URL服务返回报文后暂停,可修改 JSON、状态码等响应内容,再放行至手机 / 浏览器。 清除断点:仅输入bpafter回车。

4.4 AutoResponder 本地模拟接口返回

无需启动后端服务,本地静态文件替代接口响应,适用于前端调试:

  1. 左侧会话选中需要模拟的接口,拖拽至右侧AutoResponder标签;
  2. 勾选Enable rules(启用规则)、Unmatched requests passthrough(未匹配流量正常转发);
  3. 右键已创建规则,三种编辑方式:
    • Edit Response:直接手动编辑返回 JSON / 文本;
    • Find a file:读取本地保存的 JSON 文件作为返回体;
    • Create New Response:从零自定义完整响应报文。
  4. 再次触发该接口,工具自动返回预设本地内容。

4.5 弱网带宽模拟测试

用于复现网络卡顿、接口超时场景:

  1. 顶部Rules → Performance → Simulate Modem Speeds勾选开启弱网;
  2. 自定义上传 / 下载延迟:Rules → Customize Rules打开脚本编辑器; 找到如下配置代码块修改毫秒数值:

javascript

运行

if (m_SimulateModem) { // 每KB上传延迟毫秒 oSession["request-trickle-delay"] = "300"; // 每KB下载延迟毫秒 oSession["response-trickle-delay"] = "150"; }

修改后保存脚本,限速规则即时生效。

4.6 Composer 手动构造、发送接口请求

自主拼接 GET/POST/PUT/DELETE 等接口,用于独立接口测试:

  1. 右侧切换Composer标签;
  2. 下拉选择请求 Method,填写目标 URL;
  3. 补充请求 Headers(Token、Content-Type 等);
  4. POST 请求在 Request Body 填写 JSON / 表单参数;
  5. 点击右上角Execute发送,请求记录自动存入左侧列表,可查看返回结果。

4.7 多维度流量过滤

除域名过滤外,Filters 面板支持多条件筛选:

  1. 进程过滤:Show only traffic from,仅捕获指定程序(chrome.exe 等);
  2. URL 关键词过滤:Show only if URL contains,只展示含关键词接口;
  3. 状态码过滤:Hide if status code is,屏蔽 200/304 等正常流量,仅看异常;
  4. 资源类型过滤:屏蔽 HTML、JS、CSS 静态资源,只保留业务 API。

4.8 会话请求重放

  1. 左侧选中需要重复调用的接口;
  2. 顶部工具栏点击Replay回放按钮,原样发起一次请求;
  3. 如需修改参数再重放,拖拽请求至 Composer 编辑后执行。

五、使用注意事项

  1. HTTPS 抓包必须完整安装并信任 Fiddler 根证书,移动端苹果设备需额外开启全局信任;
  2. 手机抓包结束及时关闭 WiFi 代理,避免网络异常;
  3. SSL Pinning 加固 App 无法通过常规方式解密加密流量;
  4. 断点、弱网、模拟接口功能测试完成后,及时关闭对应规则,避免影响正常浏览;
  5. 软件仅原生支持 Windows 系统,macOS/Linux 需搭配虚拟机或同类替代工具。