iOS 如何防止抓包
iOS 如何防止抓包
1、抓包原理
為了防止被抓包那麼就要了解抓包的原理。
其實原理很是簡單:一般抓包都是通過代理服務來冒充你的伺服器,客戶端真正互動的是這個假冒的代理服務,這個假冒的服務再和我們真正的服務互動,這個代理就是一個中間者
,我們所有的資料都會通過這個中間者
,所以我們的資料就會被抓取。HTTPS 也同樣會被這個中間者
偽造的證書來獲取我們加密的資料。
2、防止抓包
為了資料的更安全,那麼我們如何來防止被抓包。
第一種思路是:如果我們能判斷是否有代理,有代理那麼就存在風險。
第二種思路:針對HTTPS 請求。我們判斷證書的合法性。
第一種方式的實現:
一、發起請求之前判斷是否存在代理,存在代理就直接返回,請求失敗。
CFDictionaryRef dicRef = CFNetworkCopySystemProxySettings(); CFStringRef proxyStr = CFDictionaryGetValue(dicRef, kCFNetworkProxiesHTTPProxy); NSString *proxy = (__bridge NSString *)(proxyStr);
+ (BOOL)getProxyStatus { NSDictionary *proxySettings = NSMakeCollectable([(NSDictionary *)CFNetworkCopySystemProxySettings() autorelease]); NSArray*proxies = NSMakeCollectable([(NSArray *)CFNetworkCopyProxiesForURL((CFURLRef)[NSURL URLWithString:@"http://www.baidu.com"], (CFDictionaryRef)proxySettings) autorelease]); NSDictionary *settings = [proxies objectAtIndex:0]; NSLog(@"host=%@", [settings objectForKey:(NSString *)kCFProxyHostNameKey]); NSLog(@"port=%@", [settings objectForKey:(NSString *)kCFProxyPortNumberKey]); NSLog(@"type=%@", [settings objectForKey:(NSString *)kCFProxyTypeKey]); if ([[settings objectForKey:(NSString *)kCFProxyTypeKey] isEqualToString:@"kCFProxyTypeNone"]) { //沒有設定代理 return NO; } else { //設定代理了 return YES; } }二、我們可以在請求配置中清空代理,讓請求不走代理
我們通過hook到
sessionWithConfiguration:
方法。然後清空代理+ (void)load{ Method method1 = class_getClassMethod([NSURLSession class],@selector(sessionWithConfiguration:)); Method method2 = class_getClassMethod([NSURLSession class],@selector(px_sessionWithConfiguration:)); method_exchangeImplementations(method1, method2); Method method3 = class_getClassMethod([NSURLSession class],@selector(sessionWithConfiguration:delegate:delegateQueue:)); Method method4 = class_getClassMethod([NSURLSession class],@selector(px_sessionWithConfiguration:delegate:delegateQueue:)); method_exchangeImplementations(method3, method4); } + (NSURLSession*)px_sessionWithConfiguration:(NSURLSessionConfiguration*)configuration delegate:(nullable id)delegate delegateQueue:(nullable NSOperationQueue*)queue { if(configuration) configuration.connectionProxyDictionary = @{}; return [self px_sessionWithConfiguration:configuration delegate:delegate delegateQueue:queue]; } + (NSURLSession*)px_sessionWithConfiguration:(NSURLSessionConfiguration*)configuration { if(configuration) configuration.connectionProxyDictionary = @{}; return [self px_sessionWithConfiguration:configuration]; }
第二種思路的實現:
主要是針對HTTPS 請求,對證書的一個驗證。
通過 SecTrustRef 獲取服務端證書的內容
static NSArray * AFCertificateTrustChainForServerTrust(SecTrustRef serverTrust) { CFIndex certificateCount = SecTrustGetCertificateCount(serverTrust); NSMutableArray *trustChain = [NSMutableArray arrayWithCapacity:(NSUInteger)certificateCount]; for (CFIndex i = 0; i < certificateCount; i++) { SecCertificateRef certificate = SecTrustGetCertificateAtIndex(serverTrust, i); [trustChain addObject:(__bridge_transfer NSData *)SecCertificateCopyData(certificate)]; } return [NSArray arrayWithArray:trustChain]; }
然後讀取本地證書的內容進行對比
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"certificate" ofType:@"cer"];//證書的路徑 NSData *certData = [NSData dataWithContentsOfFile:cerPath]; SSet<NSData*> * set = [[NSSet alloc]initWithObjects:certData , nil]; // 本地證書內容 // 服務端證書內容 NSArray *serverCertificates = AFCertificateTrustChainForServerTrust(serverTrust); for (NSData *trustChainCertificate in [serverCertificates reverseObjectEnumerator]) { if ([set containsObject:trustChainCertificate]) { // 證書驗證通過 } }
SSL Pinning(AFN+SSL Pinning)推薦
SSL Pinning,即SSL證書繫結。通過SSL證書繫結來驗證伺服器身份,防止應用被抓包。
1、取到證書
客戶端需要證書(Certification file), .cer格式的檔案。可以跟伺服器端索取。
如果他們給個.pem檔案,要使用命令列轉換:openssl x509 -inform PEM -in name.pem -outform DER -out name.cer
如果給了個.crt檔案,請這樣轉換:
openssl x509 -in name.crt -out name.cer -outform der
如果啥都不給你,你只能自己動手了:
openssl s_client -connect www.website.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > myWebsite.cer**
2、把證書加進專案中
把生成的.cer證書檔案直接拖到你專案的相關資料夾中,記得勾選Copy items if neede和Add to targets。
3、引數名意思
AFSecurityPolicy
SSLPinningMode
AFSecurityPolicy是AFNetworking中網路通訊安全策略模組。它提供三種SSL Pinning Mode/** ## SSL Pinning Modes The following constants are provided by `AFSSLPinningMode` as possible SSL pinning modes. enum { AFSSLPinningModeNone, AFSSLPinningModePublicKey, AFSSLPinningModeCertificate, } `AFSSLPinningModeNone` Do not used pinned certificates to validate servers. `AFSSLPinningModePublicKey` Validate host certificates against public keys of pinned certificates. `AFSSLPinningModeCertificate` Validate host certificates against pinned certificates. */
AFSSLPinningModeNone:完全信任伺服器證書;
AFSSLPinningModePublicKey:只比對伺服器證書和本地證書的Public Key是否一致,如果一致則信任伺服器證書;
AFSSLPinningModeCertificate:比對伺服器證書和本地證書的所有內容,完全一致則信任伺服器證書;
選擇那種模式呢?
AFSSLPinningModeCertificate:最安全的比對模式。但是也比較麻煩,因為證書是打包在APP中,如果伺服器證書改變或者到期,舊版本無法使用了,我們就需要使用者更新APP來使用最新的證書。
AFSSLPinningModePublicKey:只比對證書的Public Key,只要Public Key沒有改變,證書的其他變動都不會影響使用。
如果你不能保證你的使用者總是使用你的APP的最新版本,所以我們使用AFSSLPinningModePublicKey。allowInvalidCertificates
/** Whether or not to trust servers with an invalid or expired SSL certificates. Defaults to `NO`. */ @property (nonatomic, assign) BOOL allowInvalidCertificates;
是否信任非法證書,預設是NO。
validatesDomainName/** Whether or not to validate the domain name in the certificate's CN field. Defaults to `YES`. */ @property (nonatomic, assign) BOOL validatesDomainName;
是否校驗證書中DomainName欄位,它可能是IP,域名如*.google.com,預設為YES,嚴格保證安全性。
4、使用AFSecurityPolicy設定SLL Pinning
+ (AFHTTPSessionManager *)manager { static AFHTTPSessionManager *manager = nil; static dispatch_once_t onceToken; dispatch_once(&onceToken, ^{ NSURLSessionConfiguration *config = [NSURLSessionConfiguration defaultSessionConfiguration]; manager = [[AFHTTPSessionManager alloc] initWithSessionConfiguration:config]; AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey withPinnedCertificates:[AFSecurityPolicy certificatesInBundle:[NSBundle mainBundle]]]; manager.securityPolicy = securityPolicy; }); return manager; }
擴充套件
Android 防止抓包
1、單個介面訪問不帶代理的URL url = new URL(urlStr); urlConnection = (HttpURLConnection) url.openConnection(Proxy.NO_PROXY);
2、OkHttp框架
OkHttpClient client = new OkHttpClient().newBuilder().proxy(Proxy.NO_PROXY).build();