Fiddler HTTP/HTTPS 抓包工具完整实操技术教程
一、工具基础原理与能力概述
1. 工具定位
Fiddler Classic 是运行于 Windows 平台的免费 HTTP 代理抓包工具,常用于 Web 开发、接口测试、移动端接口调试。程序工作在客户端与服务端中间层,以中间人代理形式拦截全部网络请求,完整记录、解析、篡改 HTTP/HTTPS 报文,无需额外运行依赖环境,安装包体积小巧。
2. 底层工作机制
- 启动程序时自动修改系统全局代理地址为本机
127.0.0.1:8888; - 浏览器、App 发起的网络请求会先转发至 Fiddler,再由工具转发至目标业务服务器;
- 服务端返回响应数据同样经过 Fiddler 中转后回传给客户端;
- 关闭软件时自动还原系统代理配置,无需手动修改网络设置;
- 默认监听端口:888,修改路径:顶部
Tools → Options → Connections。
3. 核心功能清单
- 完整捕获 PC 浏览器、手机 App 的 HTTP、HTTPS 完整请求与响应报文;
- 断点拦截机制,支持中途修改请求参数、返回响应数据;
- AutoResponder 本地模拟接口返回,无需改动后端服务;
- 带宽限速模拟,复现弱网、高延迟场景下应用表现;
- 多维度流量过滤,精准筛选目标域名、接口、进程流量;
- Composer 自定义构造请求,支持各类 Method 手动发起调用;
- 原始会话保存、回放,用于复现线上接口问题。
二、软件安装流程
资源下载
百度网盘下载地址: https://pan.baidu.com/s/1VQsjfaZWeFiZUuLnSQOD0A?pwd=5555 提取码: 5555
Windows 安装步骤
- 下载
.exe安装程序,双击启动安装向导; - 可自定义安装目录至非系统磁盘,持续点击下一步完成部署;
- 首次启动弹窗提示「是否解密 HTTPS 流量」,选择Yes;若拒绝该选项,工具仅能捕获明文 HTTP 请求,加密 HTTPS 报文无法解析。
三、软件界面分区说明
软件主体分为左侧会话列表、右侧详情操作面板两大区域:
- 左侧会话列表记录全部捕获流量,每条条目包含请求序号、协议、域名、URL、响应状态码、耗时; 颜色区分规则:红色 = 4xx/5xx 异常请求,绿色 = HTTP 明文请求,灰色 = HTTPS 加密请求。
- 右侧详情面板(Inspectors 为主)选中单条流量后展示完整报文,上区块为客户端请求内容,下区块为服务端返回内容; 支持 Raw 原始文本、JSON 格式化、请求头 Headers、图片、网页等多视图切换。
- 底部命令输入栏快捷指令入口,用于快速设置 / 清除断点、批量过滤流量。
四、八大核心实操分步教程
4.1 PC 浏览器网页抓包(基础用法)
- 正常启动 Fiddler,保持软件前台运行;
- 打开 Chrome/Edge/Firefox 浏览器访问网页;
- 左侧列表自动实时刷新全部网络请求;
- 选中目标接口,切换右侧
Inspectors标签查看:- 上栏:请求方法、URL、Header、表单 / JSON 请求体;
- 下栏:响应状态码、返回 Header、页面 HTML / 接口 JSON 数据。
域名流量过滤操作
仅保留指定业务域名,过滤静态资源、第三方埋点流量:
- 右侧切换
Filters标签,勾选Use Filters启用过滤; - 在
Show only the following Hosts填入目标域名(如api.test.com); - 点击
Actions → Run Filterset Now生效。
HTTPS 解密补充配置(首次未开启时)
- 顶部菜单栏
Tools → Options → HTTPS; - 勾选
Capture HTTPS CONNECTs、Decrypt HTTPS traffic; - 弹窗确认安装根证书并完成系统信任;
- 重启 Fiddler,HTTPS 报文即可正常解析明文内容。
4.2 手机 App 移动端抓包(WiFi 同网前提)
前置条件:电脑、手机连接同一局域网 WiFi,分三步配置。
步骤 1:Fiddler 开启远程访问权限
Tools → Options → Connections;- 勾选
Allow remote computers to connect,端口保持 8888; - 弹窗确认权限后保存设置。
步骤 2:手机 WiFi 手动代理配置
- Windows 终端执行
ipconfig,获取本机 IPv4 内网地址(例:192.168.1.102); - 手机进入当前连接 WiFi 详情,修改代理为「手动」;
- 代理主机:填写电脑 IPv4 地址
- 代理端口:8888
- 保存网络配置。
步骤 3:安装并信任根证书(HTTPS 必做)
- 手机浏览器访问地址
http://电脑IP:8888; - 页面底部下载
FiddlerRoot certificate证书文件;
- Android:设置 - 安全 - 凭据,安装下载证书,标记为用户信任凭据;
- iPhone:下载证书后,设置→通用→VPN 与设备管理安装证书,再进入「证书信任设置」开启对应信任开关。
补充注意
- 抓包完成后务必关闭手机 WiFi 代理,否则断开 WiFi 后无法上网;
- 采用 SSL Pinning 证书锁定的 App,常规方式无法解密 HTTPS 流量,需额外工具绕过限制。
4.3 断点拦截、修改请求 / 响应数据
工具底部命令行输入指令实现拦截,支持请求前、响应前两种断点。
- 拦截请求(修改入参)指令:
bpu 目标完整URL触发匹配接口后自动暂停,在 Inspectors 修改 Header、请求体,点击Run to Completion放行请求。 清除断点:仅输入bpu回车。 - 拦截响应(模拟返回数据)指令:
bpafter 目标完整URL服务返回报文后暂停,可修改 JSON、状态码等响应内容,再放行至手机 / 浏览器。 清除断点:仅输入bpafter回车。
4.4 AutoResponder 本地模拟接口返回
无需启动后端服务,本地静态文件替代接口响应,适用于前端调试:
- 左侧会话选中需要模拟的接口,拖拽至右侧
AutoResponder标签; - 勾选
Enable rules(启用规则)、Unmatched requests passthrough(未匹配流量正常转发); - 右键已创建规则,三种编辑方式:
- Edit Response:直接手动编辑返回 JSON / 文本;
- Find a file:读取本地保存的 JSON 文件作为返回体;
- Create New Response:从零自定义完整响应报文。
- 再次触发该接口,工具自动返回预设本地内容。
4.5 弱网带宽模拟测试
用于复现网络卡顿、接口超时场景:
- 顶部
Rules → Performance → Simulate Modem Speeds勾选开启弱网; - 自定义上传 / 下载延迟:
Rules → Customize Rules打开脚本编辑器; 找到如下配置代码块修改毫秒数值:
javascript
运行
if (m_SimulateModem) { // 每KB上传延迟毫秒 oSession["request-trickle-delay"] = "300"; // 每KB下载延迟毫秒 oSession["response-trickle-delay"] = "150"; }修改后保存脚本,限速规则即时生效。
4.6 Composer 手动构造、发送接口请求
自主拼接 GET/POST/PUT/DELETE 等接口,用于独立接口测试:
- 右侧切换
Composer标签; - 下拉选择请求 Method,填写目标 URL;
- 补充请求 Headers(Token、Content-Type 等);
- POST 请求在 Request Body 填写 JSON / 表单参数;
- 点击右上角
Execute发送,请求记录自动存入左侧列表,可查看返回结果。
4.7 多维度流量过滤
除域名过滤外,Filters 面板支持多条件筛选:
- 进程过滤:
Show only traffic from,仅捕获指定程序(chrome.exe 等); - URL 关键词过滤:
Show only if URL contains,只展示含关键词接口; - 状态码过滤:
Hide if status code is,屏蔽 200/304 等正常流量,仅看异常; - 资源类型过滤:屏蔽 HTML、JS、CSS 静态资源,只保留业务 API。
4.8 会话请求重放
- 左侧选中需要重复调用的接口;
- 顶部工具栏点击
Replay回放按钮,原样发起一次请求; - 如需修改参数再重放,拖拽请求至 Composer 编辑后执行。
五、使用注意事项
- HTTPS 抓包必须完整安装并信任 Fiddler 根证书,移动端苹果设备需额外开启全局信任;
- 手机抓包结束及时关闭 WiFi 代理,避免网络异常;
- SSL Pinning 加固 App 无法通过常规方式解密加密流量;
- 断点、弱网、模拟接口功能测试完成后,及时关闭对应规则,避免影响正常浏览;
- 软件仅原生支持 Windows 系统,macOS/Linux 需搭配虚拟机或同类替代工具。
