[bug] APP抓包流量获取不完整

[am3k0]

Describe the bug

对一类APP流量获取有些问题，该类APP首次运行时会使用域名获取IP信息，目前在每天的涉诈样本中占比较高。
比如：jia.gz.duli53aitu.com:11053 解析IP 183.192.65.101
使用reqable 手机端+PC端协同 首次启动只能抓到解析后的IP 183.192.65.101

而更换Droni/Drony 作为手机客户端+reqable 可以抓到解析前的域名 jia.gz.duli53aitu.com:11053

To Reproduce

分别使用reqable和 Droni/Drony 作为手机客户端 搭配PC端抓包
如果需要具体APP，请提供邮箱。

Expected behavior

解析前的域名比较固定，解析后的IP多变，更希望可以抓到域名

[MegatronKing]

@Sebass007 感谢反馈。我测试了下确实是有这个问题，之前处理过类似的但没彻底解决，这个case下个版本应该可以解决。

[am3k0]

@Sebass007 感谢反馈。我测试了下确实是有这个问题，之前处理过类似的但没彻底解决，这个case下个版本应该可以解决。

这个问题解决对我来说就可以完全当主力来用了，已经购买了专业版支持一下。

[MegatronKing]

这个问题解决对我来说就可以完全当主力来用了，已经购买了专业版支持一下。

好的，非常感谢支持。你们是国内做安全的公司吗，不知道有没有机会更加深入合作下，欢迎致信 market@reqable.com 取得进一步的联系！

对于这个问题，我简单研究了下。域名是从HTTPS请求的SNI里面获取的，Reqable是先连接IP地址，连接成功了才会去解析SNI，如果连接失败就直接返回了不会去获取SNI。可能需要修改下这个策略，我先研究怎么处理。

[MegatronKing]

@Sebass007 试试最新版本v2.3.0，这个问题理论已修复。

[am3k0]

@Sebass007 试试最新版本v2.3.0，这个问题理论已修复。

我把PC端、安卓端都更新至最新版。
经过测试并未解决该问题。
APP代码内嵌域名为 ayix.gz.gmhgfdsfghjk373.com 解析IP为 81.71.4.169

APP启动后可以看到 reqable 手机端+PC端 抓包只获取到IP地址，而非域名

更换手机端为：droni/drony 后 可以获取到域名部分


该类型APP不实际使用域名访问，仅用于获取解析IP。

我把APP打包后分享给你，你有时间可以实际测试一下。
下载:https://wwkt.lanzoul.com/iuNK51khor0f 密码:3vir

[am3k0]

@MegatronKing 你好，有关注到么？没有的话我开个新帖？

[MegatronKing]

@MegatronKing 你好，有关注到么？没有的话我开个新帖？

我没测试机，用模拟器安装简单看了下也进不去。要不你在桌面端Reqable设置里面启用下“调试日志”开关，测试复现问题后，点击Reqable底部栏5下，把日志导出来贴到这里，我分析下。

[am3k0]

reqable.log
app_har.zip

2024-01-11 14:47 开启抓包
reqable PC端+手机端
2024-01-11 14:48:34 切换为
reqable PC端 + droni/drony 重装APP 抓包

[MegatronKing]

@Sebass007 感谢提供案例。我分析了下，像81.71.4.169这个IP没有识别出来是HTTPS协议，确实是有点问题，我先排查下原因。

[MegatronKing]

@Sebass007 你发我的样本无法测试，注册和登录都进不去。大概定位到什么原因，但是没有能复现的数据不好调试。2.4.0版本我加了些日志，您要是方便再帮我测试下。或者更加直接地用Wireshark抓到81.71.4.169这个ip的数据包也行。