为什么需要Fiddler抓手机包？

在移动端调试接口、排查广告劫持、验证HTTPS证书时，**直接查看手机 *** 请求几乎不可能**。Fiddler通过 *** 机制，把手机的流量镜像到电脑，**实时展示每一条请求的Header、Body、响应时间**，让问题一目了然。

准备工作：环境检查清单

• 电脑与手机处于**同一局域网**（同一路由器或电脑开热点）
• Fiddler Classic已安装（**版本≥5.0**，低版本对TLS支持不完整）
• 手机系统**Android 7+ 或 iOS 10+**（低版本需额外导入系统级证书）
• 一条**Type-C或Lightning数据线**（仅首次安装证书时需要）

Fiddler端配置：三步开启监听

步骤1：允许远程连接

Tools → Options → Connections → 勾选Allow remote computers to connect → 重启Fiddler。

步骤2：导出根证书

Tools → Options → HTTPS → Actions → Export Root Certificate to Desktop，得到FiddlerRoot.cer。

步骤3：查看本机IP

将鼠标悬停在Fiddler右上角的Online Indicator，弹出的IP列表中选择**与手机同网段的IPv4地址**，例如192.168.1.88。

手机端配置：Android与iOS差异

Android（以MIUI 14为例）

1. 设置 → WLAN → 长按当前Wi-Fi → 修改 *** → *** → 手动 → 主机名填192.168.1.88，端口8888
2. 浏览器访问http://192.168.1.88:8888 → 下载证书 → 设置 → 密码与安全 → 系统安全 → 凭据存储 → 从存储设备安装 → 选择FiddlerRoot.cer
3. 若提示“无法安装”，需**先设置锁屏密码**。

iOS（以iOS 16为例）

1. 设置 → Wi-Fi → 点击当前 *** → HTTP *** → 手动 → 服务器192.168.1.88，端口8888
2. Safari访问http://192.168.1.88:8888 → 下载描述文件 → 设置 → 已下载描述文件 → 安装
3. 设置 → 通用 → 关于本机 → 证书信任设置 → 开启FiddlerRoot的完全信任。

常见问题：抓不到包的六大原因

• 防火墙拦截：Windows防火墙未放行8888端口，需在“高级设置”里新建入站规则。
• *** 被系统忽略：Android 9+默认禁止非信任证书抓HTTPS，需在network_security_config.xml中手动信任用户证书。
• 证书未生效：iOS安装证书后忘记在“证书信任设置”里开启开关。
• 应用启用SSL Pinning：如微信、银行类App内置证书校验，需配合Frida或Xposed绕过。
• IPv6优先：部分路由器优先分配IPv6地址，导致手机访问的是IPv6而Fiddler监听IPv4，**关闭路由器IPv6或手机强制IPv4**。
• *** 环路：电脑自身也走8888 *** ，造成无限循环，需在Fiddler的Gateway里排除127.0.0.1。

进阶技巧：让抓包更高效

过滤无关流量

在Filters选项卡中，Hosts选择Show only the following Hosts，填入*.example.com;api.xxx.com，瞬间清净。

模拟弱网环境

Rules → Performance → Simulate Modem Speeds，或自定义Rules → Customize Rules，修改m_SimulateModem上行下行延迟。

自动保存会话

File → Export Sessions → All Sessions → 选择HTTPArchive v1.2，后续可用Chrome DevTools离线分析。

实战案例：定位H5页面加载慢

某电商App内嵌H5活动页，用户反馈白屏3秒。

1. 抓包发现vendor.js响应2.8s，但Content-Length仅580KB。
2. 查看Timing，发现TTFB（首字节时间）2.7s，判定服务器计算慢。
3. 对比PC端同一文件TTFB 200ms，确认移动端CDN节点回源延迟。
4. 解决方案：在CDN控制台预热该文件，TTFB降至150ms。

安全提醒：抓包后的善后工作

• 用完立即关闭Allow remote computers to connect，防止局域网嗅探。
• 手机端删除已安装证书：Android在“凭据存储”里移除，iOS在“描述文件”里删除。
• 若调试的是**生产环境**，务必**用测试账号**，避免泄露用户Token。