详解IOS如何防止抓包

抓包原理

其实原理很是简单：一般抓包都是通过代理服务来冒充你的服务器，客户端真正交互的是这个假冒的代理服务，这个假冒的服务再和我们真正的服务交互，这个代理就是一个中间者 ，我们所有的数据都会通过这个中间者，所以我们的数据就会被抓取。https 也同样会被这个中间者伪造的证书来获取我们加密的数据。

防止抓包

为了数据的更安全，那么我们如何来防止被抓包。

第一种思路是：如果我们能判断是否有代理，有代理那么就存在风险。

第二种思路：针对https 请求。我们判断证书的合法性。

第一种方式的实现：

一、发起请求之前判断是否存在代理，存在代理就直接返回，请求失败。

二、我们可以在请求配置中清空代理，让请求不走代理

我们通过hook到sessionwithconfiguration: 方法。然后清空代理

​ 第二种思路的实现：

主要是针对https 请求，对证书的一个验证。

通过 sectrustref 获取服务端证书的内容

然后读取本地证书的内容进行对比

ssl pinning（afn+ssl pinning）推荐

ssl pinning，即ssl证书绑定。通过ssl证书绑定来验证服务器身份，防止应用被抓包。

1、取到证书

客户端需要证书(certification file)， .cer格式的文件。可以跟服务器端索取。

如果他们给个.pem文件，要使用命令行转换：

openssl x509 -inform pem -in name.pem -outform der -out name.cer

如果给了个.crt文件，请这样转换：

openssl x509 -in name.crt -out name.cer -outform der

如果啥都不给你，你只能自己动手了：

openssl s_client -connect www.website.com:443 </dev/null 2>/dev/null | openssl x509 -outform der > mywebsite.cer**

2、把证书加进项目中

把生成的.cer证书文件直接拖到你项目的相关文件夹中，记得勾选copy items if neede和add to targets。

3、参数名意思

afsecuritypolicy

sslpinningmode

afsecuritypolicy是afnetworking中网络通信安全策略模块。它提供三种ssl pinning mode

/**

 ## ssl pinning modes

 the following constants are provided by `afsslpinningmode` as possible ssl pinning modes.

 enum {

 afsslpinningmodenone,

 afsslpinningmodepublickey,

 afsslpinningmodecertificate,

 }

 `afsslpinningmodenone`

 do not used pinned certificates to validate servers.

 `afsslpinningmodepublickey`

 validate host certificates against public keys of pinned certificates.

 `afsslpinningmodecertificate`

 validate host certificates against pinned certificates.

*/

afsslpinningmodenone：完全信任服务器证书；

afsslpinningmodepublickey：只比对服务器证书和本地证书的public key是否一致，如果一致则信任服务器证书；

afsslpinningmodecertificate：比对服务器证书和本地证书的所有内容，完全一致则信任服务器证书；

选择那种模式呢?

afsslpinningmodecertificate：最安全的比对模式。但是也比较麻烦，因为证书是打包在app中，如果服务器证书改变或者到期，旧版本无法使用了，我们就需要用户更新app来使用最新的证书。

afsslpinningmodepublickey：只比对证书的public key，只要public key没有改变，证书的其他变动都不会影响使用。
如果你不能保证你的用户总是使用你的app的最新版本，所以我们使用afsslpinningmodepublickey。

allowinvalidcertificates

是否信任非法证书，默认是no。

validatesdomainname

是否校验证书中domainname字段，它可能是ip,域名如*.google.com，默认为yes，严格保证安全性。

4、使用afsecuritypolicy设置sll pinning

扩展

android 防止抓包

1、单个接口访问不带代理的

2、okhttp框架

以上就是详解ios如何防止抓包的详细内容，更多关于ios如何防止抓包的资料请关注其它相关文章！