在国内开发环境里做网页抓包，经常要面对中文界面、证书信任、企业内网与移动真机这几类狭窄场景。本文从「工具功能分工、中文版差异、实战操作步骤、以及遇到代理/Pinning 无效时的补救」四个角度出发，面向前后端与移动开发者给出可落地的排查流程与命令示例，顺带说明把设备侧直连抓包作为最后一步证据的常用做法（文中出现的工具均为业内常见方案，写法以工程师视角呈现，非商业推广）。

工具功能分工（要把事情拆清楚）

• Charles / Fiddler / Proxyman（客户端代理，中文或有中文社区）：用于快速查看请求/响应、断点修改、Mock 回包，适合开发联调。中文版通常只是界面或帮助本地化，核心功能一致。
• mitmproxy（脚本化代理）：适合自动化、批量重放与测试流水线，命令行友好，适合写脚本做回归。
• Burp Suite（安全测试）：当需要做深度篡改、模糊测试或权限绕过验证时更适合安全团队。
• Wireshark / tcpdump（底层抓包）：用于抓取原始包、分析 TCP/TLS 握手、查看重传与分片等网络层问题。
• 抓包大师 Sniffmaster（USB 直连，中文定位强）：在无法通过代理解密或无法安装 CA 时，用于从 iOS/Android 设备直接抓取原始流量并导出 pcap，便于与服务器抓包进行对比分析。

中文版工具的实际差异
界面中文化有助于新人上手，但核心差别在于：文档、本地社区支持、以及是否在中文网络环境下有预置规则（比如国内常见的证书链问题、代理证书一键信任脚本）。选择工具时更要关注是否易于在团队内共享会话（HAR、pcap、脚本）和能否与 CI/测试流水线集成。

实战流程（快速定位一条线）

1. 复现问题并记录精确时间点、设备与网络类型。
2. 桌面优先：用 Charles/Fiddler 抓代理（设备安装并信任代理 CA），观察请求、响应、重定向与 header 差异。
3. 若代理无法复现（App 有 Pinning / 企业网络替换证书）：在服务端或边缘抓 tcpdump：

sudo tcpdump -i any host <device_ip> and port 443 -s 0 -w server.pcap

1. 设备侧取证：用能直连设备的抓包工具（如 抓包大师 Sniffmaster）导出 device.pcap（按 App 过滤），然后在 Wireshark 中同时打开 server.pcap 与 device.pcap，对比 ClientHello 的 SNI、ServerHello 与证书链、以及 tls.alert。
2. 根据证据判断是“证书链缺中间证书 / CDN 边缘缓存旧链 / 客户端 Pinning / 运营商透明代理”等，给出修复建议并验证。

常见命令与排查点

• 验证证书链：openssl s_client -connect host:443 -servername host -showcerts。
• 查看 HTTP/2 与 ALPN：curl -v --http2 https://host/。
• Wireshark 过滤 TLS 握手：tls.handshake.type == 1，查看 SNI 与 cipher list。

合规与团队要求
抓包会暴露敏感信息（Token、个人数据）。任何生产抓包或设备抓包前必须有审批流程、最小化时间窗、脱敏与安全存储策略。设备侧抓包（如 Sniffmaster 导出 pcap）要记录授权人、用途与保留期。

中文版的抓包工具能降低本地化使用门槛，但解决问题的关键在于把工具按「代理层—脚本化—底层抓包—设备取证」这四步组合起来。