一、环境准备与基础配置

1.1 工具安装与版本选择

Fiddler提供Windows经典版与跨平台版本（Fiddler Everywhere），后者支持macOS/Linux系统且界面更现代化。安装时需注意：

• 关闭所有浏览器进程避免代理冲突
• 跨平台版本需安装.NET Core运行时环境
• 企业网络环境需配置代理白名单

启动后默认开启系统级代理，状态栏显示”Capturing”表示正常抓包。建议立即配置：

1. 菜单栏 Tools → Options → HTTPS 取消勾选”Ignore server certificate errors”
2. 在Connections设置中调整端口号（默认8888可修改）
3. 启用Allow remote computers to connect为移动端抓包做准备

1.2 基础抓包操作

通过浏览器访问测试站点（如httpbin.org），在Web Sessions面板可观察到：

• 请求列表：包含URL、状态码、协议类型等字段
• 详情面板：分为Inspectors（请求/响应内容）、AutoResponder（请求拦截）、Timeline（时序分析）等标签页
• 统计面板：显示流量大小、响应时间等聚合数据

高级技巧：使用Ctrl+F启动快速过滤，支持正则表达式匹配特定请求。例如输入^https?://api\.example\.com/可精准捕获目标API流量。

二、多设备代理配置方案

2.1 移动端抓包全流程

2.1.1 PC端准备

1. 获取本地IP地址（命令行执行ipconfig查看IPv4地址）
2. 在Fiddler的Connections设置中：
   • 确认Allow remote...已勾选
   • 记录端口号（默认8888）
3. 临时关闭防火墙或添加端口放行规则

2.1.2 移动端配置

以Android设备为例：

1. 进入WiFi设置 → 修改网络 → 高级选项
2. 代理选择”手动”，填写：
   • 主机名：PC的IPv4地址
   • 端口：8888
3. 访问http://<PC_IP>:8888下载Fiddler根证书
4. 在系统设置中安装证书（设置 → 安全 → 加密凭证 → 从存储设备安装）

iOS设备差异：需在http://<PC_IP>:8888页面点击”FiddlerRoot certificate”下载.cer文件，通过邮件或AirDrop传输后安装。

2.2 虚拟机/容器环境配置

对于Docker容器或VMware虚拟机：

1. 桥接模式下直接使用主机IP作为代理地址
2. NAT模式需配置端口转发：

   # Linux示例（需root权限）
   iptables -t nat -A PREROUTING -p tcp --dport 8888 -j REDIRECT --to-port 8888

3. Windows Hyper-V需在虚拟机设置中添加网络适配器

三、HTTPS流量解密技术

3.1 解密原理与配置

HTTPS抓包的核心是中间人攻击（MITM）技术，配置步骤：

1. Tools → Options → HTTPS 勾选Decrypt HTTPS traffic
2. 点击Actions → Trust Root Certificate安装根证书到系统证书库
3. 对于移动端：
   • 导出证书（Actions → Export Root Certificate to Desktop）
   • 通过ADB推送至Android设备：

     adb push FiddlerRoot.cer /sdcard/
     adb shell "pm install -t /sdcard/FiddlerRoot.cer"

3.2 常见问题处理

问题1：证书不受信任警告

• 解决方案：确保证书已安装到”受信任的根证书颁发机构”存储区
• 企业环境需联系IT部门将Fiddler证书加入白名单

问题2：部分APP抓包失败

• 原因：APP启用了证书固定（Certificate Pinning）
• 解决方案：
  • 使用Frida或Xposed框架绕过检测
  • 针对Android可尝试objection工具：

    objection -g com.example.app explore --startup-command "android sslpinning disable"

四、高级调试技巧

4.1 请求修改与重放

通过AutoResponder功能实现：

1. 录制请求：在Web Sessions中右键选择Save → Response → to file
2. 创建规则：Add Rule → 选择录制文件
3. 修改响应内容后，后续匹配请求将自动返回修改后的数据

典型应用场景：

• 模拟API异常响应测试客户端容错能力
• 修改接口返回数据加速前端开发
• 绕过前端验证进行安全测试

4.2 性能分析实战

使用Timeline面板诊断性能问题：

1. 关注DNS Lookup、TCP Connect、SSL Handshake等阶段耗时
2. 识别慢请求（建议阈值：DNS解析>500ms、TCP连接>300ms需警惕）
3. 结合Filters面板分析特定域名性能：

   @url.contains example.com && @responseCode == 200

4.3 自动化脚本集成

Fiddler支持通过FiddlerScript（JScript.NET）实现自动化：

// 示例：自动修改请求头
static function OnBeforeRequest(oSession: Session) {
    if (oSession.uriContains("api.example.com")) {
        oSession.oRequest["X-Test-Header"] = "Automated-Value";
    }
}

保存为.cs文件后通过Rules → Customize Rules加载，可实现：

• 请求头动态修改
• 敏感信息脱敏
• 自动重试失败请求

五、安全注意事项

1. 证书管理：
   • 定期更新Fiddler根证书（建议每季度）
   • 离职时立即卸载证书
2. 数据保护：
   • 避免在公共网络使用Fiddler抓包
   • 敏感请求使用Filters排除记录
3. 合规要求：
   • 企业环境需遵守《网络安全法》相关条款
   • 测试前获取必要的授权

六、替代方案对比

对于特定场景可考虑：
| 工具名称 | 优势场景 | 局限性 |
|————————|——————————————|———————————|
| Charles Proxy | macOS生态集成更好 | 商业软件需付费 |
| Wireshark | 底层网络分析更专业 | 学习曲线陡峭 |
| mitmproxy | 编程式流量处理 | 缺乏图形界面 |
| Postman | API测试一体化 | 抓包功能较弱 |

本文通过系统化的操作指南与故障排查方案，帮助开发者构建完整的网络调试知识体系。建议结合实际项目进行实践，逐步掌握从基础抓包到自动化测试的高级技能。对于企业用户，可考虑将Fiddler与日志服务、监控告警系统集成，构建全链路网络性能观测体系。