在日常开发和移动端调试中,Charles 是最常使用的代理抓包工具之一。但只要涉及 iOS、HTTPS、证书校验、QUIC 或应用侧特殊网络逻辑,Charles 偶尔会出现“完全抓不到包”的情况。明明已经设置了 Wi-Fi 代理,也安装了证书,可就是不出现任何流量——这是很多工程师最常见的抓包难题。

本文从工程角度深入分析 “Charles 抓不到包怎么办?”,拆解常见成因、系统排查方式,以及代理无效时如何通过Sniffmaster工具补齐证据

一、为什么 Charles 会抓不到包?(实际工程中出现最多的五个原因)

HTTPS 证书未被系统信任或被替换

典型表现:

  • 只有 CONNECT,没有明文 HTTPS
  • App 报“证书不可信”

这通常来自:

  • 证书未信任
  • Wi-Fi 或 VPN 注入中间证书
  • ATS 冲突导致握手失败

App 启用了证书 Pinning

这是 iOS 抓包失败的最高频原因。

表现:

  • Safari 能抓
  • Charles 能抓网页
  • 但 App 完全没有流量

说明 App 拒绝代理证书。

部分域名走 QUIC(HTTP/3)绕过代理

Charles 基于 TCP 代理,而 QUIC 走的是 UDP,所以:

  • QUIC 流量不会被代理截获
  • 视频类、海外接口尤其常见
  • HTTP/3 开启后抓包直接失效

App 走了自定义网络栈或私有协议

例如:

  • TCP 二进制协议
  • WebSocket
  • 内嵌 SDK 的私有栈

这些不会走系统代理,Charles 无法看到。

公司网络环境导致流量劫持

例如:

  • 企业 Wi-Fi 替换证书链
  • 强制网关代理
  • 安全系统阻断 TLS 中间人行为

导致 Charles 无法正常建立解密链路。

二、Charles 抓不到包的排查步骤(工程团队可直接复用)

下面的流程可直接用作团队抓包 SOP。

① 检查代理与证书设置(基础排查)

检查:

  • Charles 是否开启 macOS 代理
  • 证书是否安装并信任
  • 端口是否被其他软件占用
  • Charles 是否启用了 SSL Proxying

若 HTTPS 一条不出现 → 不是业务问题,是证书链/网络问题。

② 验证是否为证书 Pinning

判断方式:

  • Safari 能抓包
  • App 抓不到包
  • Charles 面板始终干净

这说明 App 内有 pinning。

继续依赖 Charles 无意义,必须以底层方式补抓。

③ 排查是否为 QUIC / HTTP3 导致

QUIC 是代理抓包失败的重要来源。

测试方法:

  • 强制关闭 HTTP/3
  • 用移动网络(4G/5G)重新测试

若关闭后能抓 → 即为 QUIC 绕过。

④ 看服务器端是否收到请求(确认链路)

使用 tcpdump 抓后端:

sudo tcpdump -i any port 443 -s 0 -w server.pcap
  • 若服务端没有握手 → APP 本地就失败
  • 若有 TLS Alert → 证书链异常

这一步非常关键。

三、当 Charles 完全抓不到包时,就要用“补抓工具”

也就是解决代理彻底失效场景的方式。

抓包大师(Sniffmaster)如何补充 Charles 无法完成的环节?

Sniffmaster 补充的技术能力:

  • 无需代理即可抓取 HTTP / HTTPS / TCP / UDP
  • App / 域名 过滤,极大减少噪音
  • 自动识别 HTTP、HTTPS、mdns、自定义协议
  • 查看 TCP 数据流(文本、十六进制、二进制)
  • 支持 JavaScript 拦截器修改请求/响应
  • 支持导出 pcap 文件(可在 Wireshark 中继续分析)
  • 支持 Windows/macOS/iOS 多平台

尤其适合用于:

  • Pinning 无法绕过
  • QUIC 走 UDP
  • 自定义协议
  • 系统代理被覆盖
  • Charles 完全无数据

也就是说,Sniffmaster 补足了 Charles 的盲区。

四、补抓流程示例:Charles 抓不到 HTTPS 的真实场景

某 App 在 Charles 下完全无 HTTPS 内容,排查如下:

  1. 证书已信任 → 排除基础问题
  2. Safari 可抓包 → 说明系统代理正常
  3. APP 抓不到 → 怀疑 pinning
  4. 后端 tcpdump 无握手 → 流量未发出
  5. 使用 Sniffmaster 捕获流量 → 看到 TLS Alert: bad certificate
  6. Wireshark 对比发现证书链被内部网关替换
  7. 更换网络 → 抓包恢复正常

结论:并非 Charles 的问题,而是链路证书冲突。

这一类问题只能通过“补抓 + pcap 分析”定位。

Charles 抓不到包的真正解决方案是“分层抓包”

抓包类型 可用工具 适用场景
代理抓包 Charles / Proxyman / Fiddler HTTP/HTTPS 调试
TCP/TLS 分析 Wireshark / tcpdump 握手失败、链路确认
自动化 mitmproxy / pyshark 批量抓包、测试
补抓(绕过代理) 抓包大师(Sniffmaster) Pinning、QUIC、自定义协议、系统代理失效

真正完整的抓包体系必须多工具协同,而不是依赖 Charles 单独解决问题。