Proxy-Aufzeichnung
Das Proxy-Aufzeichnungsmodul von Trace Eagle bringt die Netzwerkanfragen Ihres Computers, Ihres Smartphones und anderer Geräte in Ihrem LAN vollständig, klar und entschlüsselt ins Blickfeld. Sie schauen nicht nur zu: Sie können sie bearbeiten, abfangen, erneut senden, vergleichen und bis zur Quelle zurückverfolgen.
Der grundlegende Unterschied zu „noch einem weiteren Proxy-Aufzeichnungswerkzeug“ ist dieser: Gewöhnliche Proxy-Tools haben nur einen Weg, „einen Proxy setzen + Man-in-the-Middle-Entschlüsselung“. In dem Moment, in dem ihnen ein Programm begegnet, das den Proxy ignoriert, eine App mit Certificate Pinning, ein Java-/Python-Programm, ein privates Binärprotokoll oder eine Anwendung, die auf Verkehrsmerkmale reagiert, sind sie im Grunde am Ende. Trace Eagle schließt diese blinden Flecken einen nach dem anderen: Es zeichnet sogar Programme auf, die den Proxy ignorieren, entschlüsselt sogar Apps mit Certificate Pinning, rekonstruiert sogar private Formate, ermittelt genau, wer einen Datenfluss gesendet hat, selbst wenn er im Systemrauschen begraben liegt, und hält den Verkehr für Anwendungen, die auf Verkehrsmerkmale reagieren, unverändert, um sie mit hoher Wiedergabetreue zu beobachten, ohne ihren normalen Betrieb zu stören.

1. Worin es sich von gewöhnlichen Proxy-Aufzeichnungswerkzeugen unterscheidet
Abschnitt betitelt „1. Worin es sich von gewöhnlichen Proxy-Aufzeichnungswerkzeugen unterscheidet“Bei derselben Proxy-Aufzeichnung liegt der Unterschied nicht darin, „ob Sie die Anfrage sehen können“, sondern darin, ob Sie weiterarbeiten können, wenn Sie auf einen harten Fall stoßen, und ob Sie tiefer blicken können.
| Szenario | Gewöhnliche Proxy-Aufzeichnungswerkzeuge | Trace Eagle |
|---|---|---|
| Programm ignoriert den Systemproxy (viele Clients, Hintergrunddienste, direkt verbundener Verkehr) | Kann nicht aufzeichnen, verpasst es vollständig | Transparenter Proxy: keine App-Konfiguration nötig; er zeichnet trotzdem Programme auf, die den Proxy ignorieren, direkt verbundenen Verkehr und Verkehr, der weitergeleitet wird, wenn der Rechner als Hotspot/Gateway dient, und kann präzise nach Prozess eingegrenzt werden |
| App nutzt Certificate Pinning | Fehler / keine Verbindung / muss aufgeben | Mit einem Klick lässt sich die Zertifikatsprüfung der Ziel-App auflösen, sodass sie dem Aufzeichnungszertifikat vertraut und die Entschlüsselung weiterläuft; Seiten, die Sie lieber nicht anfassen möchten, werden präzise durchgereicht |
| Java-, Python- und ähnliche Programme | Selbst mit installiertem Systemzertifikat nutzlos, keine Entschlüsselung möglich | Vollständige Zertifikatsabdeckung: Diese Programme, die gewöhnliche Proxys nicht entschlüsseln können, werden auch hier entschlüsselt |
| HTTP/3-Verkehr (QUIC) | Schwache Unterstützung, meist nicht sichtbar | Wählen Sie je nach Bedarf aus drei Stufen: herabgestufte Aufzeichnung, originalgetreues Durchreichen (hohe Wiedergabetreue) oder echte Entschlüsselung |
| Private / binäre Protokolle, komprimierte und verschlüsselte Hüllen | Ein Haufen unlesbarer Datenmüll | Automatisches Dekomprimieren, automatisches Erkennen vieler Formate, dazu benutzerdefiniertes Dekodieren per Framing-Regeln oder JS-Skripten |
| Ein Haufen durcheinandergemischter Prozesse, keine Ahnung, welcher den Verkehr gesendet hat | Nur IP / Domain, Sie müssen raten | Jeder Datenfluss ist mit seiner Quell-App / seinem Quellprozess gekennzeichnet; klicken Sie auf den Host, um auch dessen vollständiges Profil nachzuschlagen |
| Sie möchten wissen, wer die Gegenstelle ist und welcher Client kommuniziert | Nichts | Klicken Sie auf einen Host für dessen Zuordnung / Zertifikat / Geo-Profil und sehen Sie den Client-Fingerabdruck (JA3/JA4) jeder Verbindung |
| Anwendungen, die auf Verkehrsmerkmale reagieren | Ein MITM-Proxy verändert die Merkmale des Verkehrs, sodass das Beobachtete nicht mehr der echte Verkehr ist, und er kann das Ziel stören | Mehrere Modi mit hoher Wiedergabetreue: Der Verkehr bleibt unverändert, ohne dass seine Merkmale geändert werden, sodass Sie weder die Ziel-App stören noch die echte Verbindung aus dem Blick verlieren, die Sie analysieren |
| Zugangsmethode / paralleles Arbeiten | Im Grunde nur der Proxy, einzelne Sitzung | Proxy + direkte NIC-Aufzeichnung + transparente Aufzeichnung + mobile Direktverbindung, mehrere Sitzungen parallel, mehrere Ports ohne gegenseitige Störung |
Kurz gesagt: Gewöhnliche Tools machen „Proxy-Aufzeichnung“, während Trace Eagle „aufzeichnen, entschlüsseln, verstehen und wissen, wer es an wen gesendet hat“ macht, ganz gleich, in welcher Situation.
2. Flexible Zugangsmethoden (zwei lokale Zugangsmodi)
Abschnitt betitelt „2. Flexible Zugangsmethoden (zwei lokale Zugangsmodi)“Wie der Verkehr in die Aufzeichnung gelangt, hängt vom Szenario ab. In der Sitzungs-Symbolleiste können Sie unter „Proxy lokal“ → Zahnrad „Zugangseinstellungen“ zwischen zwei Zugangsmodi wählen:
- Klassischer Proxy (nutzt den Systemproxy, klassische Aufzeichnung): Zugang per Klick; Browser, Kommandozeile und die meisten Apps laufen automatisch über den Proxy. Nach dem Stoppen wird er automatisch wiederhergestellt, sodass der normale Internetzugang gewährleistet ist, und es gibt auch eine Wiederherstellungsabsicherung für anormale Beendigungen. Einschränkung: Wenn eine App den Systemproxy nicht verwendet, kann sie nicht aufgezeichnet werden.
- Transparenter Proxy (aller Verkehr): der blinde Fleck gewöhnlicher Tools: keine App-Konfiguration nötig; aller lokale Verkehr (einschließlich direkt verbundenem Verkehr und Verkehr, der weitergeleitet wird, wenn der Rechner als Hotspot/Gateway dient) kann aufgezeichnet werden; Apps, die den Systemproxy nicht verwenden, werden ebenso aufgezeichnet; Sie können präzise nach App/Prozess eingrenzen, um nur wenige Programme aufzuzeichnen; auf Mobilgeräten reicht es, das Stammzertifikat zu installieren, ohne dass ein Proxy von Hand gesetzt werden muss.

LAN-Geräte aufzeichnen: Richten Sie den Proxy eines Smartphones/Tablets/anderen Computers auf diesen Rechner, um ihn aufzuzeichnen, mit einer Anleitung zur Zertifikatsinstallation per Klick (iOS-/macOS-Konfigurationsprofil, Installation per QR-Scan).
Einen vorgelagerten Proxy verketten: Die Aufzeichnungssitzung selbst kann obendrauf einen weiteren vorgelagerten Proxy verketten (die Aufzeichnung dieses Rechners mit einem Firmenproxy, einem Sprungserver oder einem anderen sekundären Proxy verbinden); die Verbindung ist transparent und beeinträchtigt die Entschlüsselung nicht.
3. Drei Stufen der HTTP/3-Behandlung (QUIC)
Abschnitt betitelt „3. Drei Stufen der HTTP/3-Behandlung (QUIC)“Immer mehr Apps setzen auf HTTP/3, und gewöhnliche Tools scheitern hier oft. In den „Zugangseinstellungen“ können Sie wählen:
- Blockieren (herabgestufte Aufzeichnung): Versuchen, HTTP/3 auf HTTP/2 herabzustufen, um es aufzeichenbar zu machen (einige wenige Apps unterstützen dies nicht).
- Ignorieren (originalgetreues Durchreichen): unverändert weiterleiten, ohne zu entschlüsseln, hohe Wiedergabetreue, stört die Datenanfragen des Programms nicht.
- Entschlüsseln (echter H3-MITM): tatsächlich aufzeichnen und entschlüsseln, Klartext betrachten genau wie bei gewöhnlichem HTTPS.
Der klassische Proxy unterstützt „Blockieren / Ignorieren“; „Entschlüsseln“ muss im transparenten Proxy-Modus verwendet werden.
4. Entschlüsselungsfähigkeit: mehr als „nur ein Zertifikat installieren“
Abschnitt betitelt „4. Entschlüsselungsfähigkeit: mehr als „nur ein Zertifikat installieren““Die Entschlüsselung gewöhnlicher Tools besteht aus „ein Systemzertifikat installieren + ein Proxy als Man-in-the-Middle“, was schon bei der kleinsten Absicherung versagt. Trace Eagle ist eine Kombination von Zügen:
- HTTPS-Entschlüsselung per Klick: ein integriertes Zertifikatssystem; einmal installieren für durchgehende Entschlüsselung.
- Installation mit vollständiger Zertifikatsabdeckung: Mit einem Klick das Systemzertifikat überall abdecken. Java-, Python- und ähnliche Programme, die gewöhnliche Proxys selbst mit installiertem Systemzertifikat nicht entschlüsseln können, werden auch hier entschlüsselt.
- Certificate Pinning auflösen (Pinning entfernen): Bei Apps, die Pinning nutzen und die Verbindung normalerweise ohne Weiteres mit einem Fehler ablehnen würden, löst ein Klick ihre Zertifikatsprüfung auf und die Entschlüsselung läuft weiter.
- Whitelist / Erlaubnisliste / Sperrliste: Die Whitelist entschlüsselt nur bestimmte Domains und reicht den Rest direkt durch; die Erlaubnisliste reicht streng geprüfte Seiten unverändert durch, ohne zu entschlüsseln, um Fehler zu vermeiden; die Sperrliste verwirft Domains, die Sie gar nicht durchlassen möchten, sofort.

5. Mehrere Sitzungen / mehrere Proxys parallel
Abschnitt betitelt „5. Mehrere Sitzungen / mehrere Proxys parallel“- Öffnen Sie mehrere Aufzeichnungssitzungen gleichzeitig; jede ist ein eigenständiger Tab, der für sich gestartet/gestoppt/gewechselt werden kann.
- Sitzungen sind vollständig isoliert: eigene Datenflusslisten, Details, Auswahlzustand und Konfiguration; mehrere Proxy-Sitzungen können jeweils an einem anderen Port lauschen und gleichzeitig arbeiten.
- Proxy, direkte NIC-Aufzeichnung, transparente Aufzeichnung und mobile Direktverbindung können gleichzeitig ausgeführt und je nach Szenario kombiniert werden, ohne sich gegenseitig zu beeinflussen.
6. Vollständige Protokollunterstützung
Abschnitt betitelt „6. Vollständige Protokollunterstützung“| Protokoll | Unterstützte Fähigkeit |
|---|---|
| HTTP / HTTPS | Vollständige Analyse von Anfrage und Antwort, Klartextanzeige |
| HTTP/2 | Native Analyse, Betrachtungserlebnis konsistent mit HTTP/1.1 |
| HTTP/3 (QUIC) | Drei Stufen zur Auswahl: herabgestufte Aufzeichnung / originalgetreues Durchreichen / echte Entschlüsselung (siehe oben) |
| WebSocket | Frame-für-Frame-Anzeige gesendeter und empfangener Nachrichten (text/binary/ping/pong, mit gekennzeichneter Richtung) |
| Server-Sent Events (SSE) | Ereignisströme werden Ereignis für Ereignis angezeigt |
| gRPC / protobuf | Feldstrukturen auflösen, ohne die .proto zu benötigen |
| Rohes TCP / UDP | Rohdaten auch für nicht-HTTP-eigene Protokolle aufzeichnen |
| SOCKS5 | Teilt sich denselben Port für den Zugang; sowohl CONNECT als auch UDP ASSOCIATE werden unterstützt, und SOCKS-Verkehr kann ebenfalls entschlüsselt / durchgereicht werden |
7. Beobachtung mit hoher Wiedergabetreue: das Ziel nicht stören, die Verkehrsmerkmale nicht verändern
Abschnitt betitelt „7. Beobachtung mit hoher Wiedergabetreue: das Ziel nicht stören, die Verkehrsmerkmale nicht verändern“Ein gewöhnlicher Man-in-the-Middle-Proxy verändert die Merkmale von Netzwerkanfragen, und das Ergebnis ist, dass das Beobachtete nicht mehr der echte Verkehr der App ist und dass es das normale Verhalten der Ziel-App beeinträchtigen kann. Für Anwendungen, die auf Verkehrsmerkmale reagieren (etwa Dienste, die für Konsistenzprüfungen auf Datenfingerabdrücke von Netzwerkanfragen setzen), stört dies sowohl das Ziel als auch die Analyse.
Trace Eagle bietet mehrere Wiedergabetreue-Stufen, um den Aufzeichnungsvorgang so „transparent“ und so nah an der echten Verbindung wie möglich zu halten: originalgetreue Beobachtung (auf die Art beobachten, die einem echten Client am nächsten kommt, mit minimalen Änderungen an den Verkehrsmerkmalen), Fingerabdruck-Rekonstruktion (einen konsistenten Client-Fingerabdruck beibehalten, selbst wenn der Verkehr umgeschrieben werden muss) und festes Client-Profil (Verkehrsmerkmale auf die eines Standard-Clients zurücksetzen: Desktop-Chrome / Firefox / Safari, mobiles Safari oder ein zufälliges Profil). Kombiniert mit „H3 Ignorieren (originalgetreues Durchreichen)“ können Sie selbst bei Anwendungen, die auf Verkehrsmerkmale reagieren, originalgetreu aufzeichnen und analysieren, während Sie ihren normalen Betrieb nicht stören.
8. Prozesszuordnung und präzise Filterung
Abschnitt betitelt „8. Prozesszuordnung und präzise Filterung“- Auf einen Blick sehen, wer es gesendet hat: Jeder Datenfluss ist mit seiner Quell-App/seinem Quellprozess gekennzeichnet, sodass Sie das Ziel in einer vollen Umgebung schnell festmachen, etwas, das gewöhnliche Tools, die nur IP/Domain anzeigen, Ihnen nicht bieten können.
- Nur aufzeichnen, was Sie interessiert: Kombinieren Sie es mit dem transparenten Proxy, um die Aufzeichnung präzise nach App/Prozess einzugrenzen und das Rauschen auszusperren.

9. Weitere leistungsstarke Begleitfähigkeiten (jede in ihrem eigenen Artikel)
Abschnitt betitelt „9. Weitere leistungsstarke Begleitfähigkeiten (jede in ihrem eigenen Artikel)“Sobald aufgezeichnet, gehen „verstehen, zurückverfolgen, umschreiben, erneut senden, Lasttest“ jeweils in die Tiefe, daher werden sie in eigenen Artikeln behandelt:
| Fähigkeit | In einem Satz | Details |
|---|---|---|
| Untersuchen und dekodieren | 5 Betrachtungsmodi + automatisches Dekomprimieren/Erkennen/Verschönern + eingebettete Medienvorschau + Framing-/Skript-Dekodierung privater Protokolle | Untersuchen und dekodieren |
| Host-Details | Klicken Sie auf einen beliebigen Host für Zuordnung (ASN/Organisation/Registrierung) + Geo-Karte + DNS + Prüfung des TLS-Zertifikats + Web-Techstack | Host-Details |
| Umschreibregeln und Breakpoint-Abfangen | Einfache Regeln bearbeiten Anfragen per Klick, ohne Skripting + Breakpoints bearbeiten jede einzeln von Hand + Skripte/Plugins als Rückfalloption für komplexe Szenarien | Umschreibregeln und Breakpoint-Abfangen |
| Anfragen zusammenstellen und erneut senden | Erneutes Senden per Klick/bearbeiten-und-erneut-senden + Anfragen-Editor + dynamisches Signieren + Sammlungen/Umgebungen + Code-Generierung | Anfragen zusammenstellen und erneut senden |
| Anfragenvergleich (Diff) | Zwei Anfragen/Antworten Zeile für Zeile nebeneinander vergleichen, über Sitzungen und Quellen hinweg, um auf einen Blick zu sehen, wo sie sich unterscheiden | Anfragenvergleich |
| Sitzungswiederholung und Lasttest | Eine Reihe von Anfragen der Reihe nach im Stapel erneut abspielen; Rechtsklick auf eine einzelne für „diese Anfrage einem Lasttest unterziehen“, mit Echtzeit-Durchsatz und Latenz-Perzentilen | Sitzungswiederholung und Lasttest |
Es gibt außerdem eine leichtgewichtige, aber praktische Fähigkeit:
- Verbindungsfingerabdruck (JA3 / JA4): Betrachten Sie für jede beliebige HTTPS-Verbindung den TLS-Fingerabdruck ihres Clients (JA3 mit Rohzeichenkette, JA4, Kopieren per Klick). Er ändert sich nicht mit IP/UA und dient dazu, den Client-Typ zu erkennen sowie die Verkehrsverfolgung und Sicherheitsanalyse zu unterstützen.
10. Typische Anwendungsfälle
Abschnitt betitelt „10. Typische Anwendungsfälle“- Debugging der API-Integration: mocken, um Daten zu erzeugen; einen Produktionsendpunkt an eine lokale/Testumgebung weiterleiten.
- Mobile Aufzeichnung: die HTTPS-Anfragen einer Smartphone-App aufzeichnen, um Endpunkte zu analysieren und Fehler zu untersuchen.
- Die harten Fälle angehen: Programme, die den Proxy ignorieren, Certificate Pinning nutzen oder in Java / Python geschrieben sind; behandeln Sie sie mit dem transparenten Proxy + Pinning entfernen + vollständige Zertifikatsabdeckung.
- Analyse privater Protokolle: die Struktur binärer/eigener Protokolle mit Framing-Regeln oder Skripten auflösen.
- Fehlersuche: klar sehen, was die Anfrage gesendet und was der Server zurückgegeben hat, um Probleme mit Parametern/Rückgaben/Cross-Origin festzumachen.
- Test bei schwachem Netz / Lasttest: mit Regeln ein schlechtes Netz simulieren; mit dem Lasttest die Kapazität eines Endpunkts einschätzen.
- Sicherheitsprüfung / Bestandsaufnahme: ausgehende Kommunikation durchsehen, auf Preisgabe sensibler Informationen prüfen, Zertifikate überprüfen und mithilfe von Host-Profilen die Zuordnung der Gegenstelle herausfinden.
- Analyse mit hoher Wiedergabetreue: bei Anwendungen, die auf Verkehrsmerkmale reagieren, originalgetreu aufzeichnen und analysieren, während der Verkehr unverändert bleibt und sein Verhalten nicht gestört wird.
Die Proxy-Aufzeichnung ist Teil der Datenerfassungsfähigkeiten von Trace Eagle. Neben der Proxy-Methode unterstützt das Produkt auch die direkte NIC-Aufzeichnung, die Direktverbindung mobiler Geräte und weitere Aufzeichnungsmethoden, die sich je nach Szenario flexibel kombinieren lassen.