Ir al contenido

Captura por NIC

La captura por proxy te muestra “la parte del tráfico que pasa por el proxy”; la captura por NIC te muestra todo lo que circula por la NIC de esta máquina: DNS, QUIC, juegos, IoT, toda clase de protocolos propietarios. Todo lo que cruza la NIC lo tienes delante. Y va un gran paso más allá que las herramientas de captura tradicionales: el HTTPS que capturas ya no es un montón de texto cifrado, sino algo que puedes descifrar, atribuir a quien lo envió y desmenuzar para comprender.


1. En qué se diferencia de la captura por proxy

Sección titulada «1. En qué se diferencia de la captura por proxy»

Las dos son formas complementarias de capturar, cada una con sus propios casos de uso:

Captura por proxy Captura por NIC
Cómo te enganchas Enrutar el tráfico por un proxy + confiar en un certificado Capturar los paquetes en crudo de la NIC directamente, sin cambiar ningún ajuste ni instalar un certificado
Qué puedes ver El tráfico que pasó por el proxy, principalmente HTTP(S) Todo el tráfico de la NIC: DNS, QUIC, ICMP, ARP, cualquier TCP / UDP…
¿Texto plano por defecto? Texto plano por defecto Texto cifrado por defecto; “Descifrar este programa” con un clic cuando haga falta (ver abajo)
Ideal para Depurar API de HTTP, reescribir / reenviar Ver tráfico que no es HTTP, ver todo lo que hace un programa en la red, evitar cualquier cambio a nivel de sistema

En resumen: la captura por proxy es “precisa”, la captura por NIC es “completa”. Si quieres saber exactamente a qué direcciones se conecta discretamente una aplicación y qué protocolos usa, la captura por NIC lo deja todo al descubierto.


2. En qué se diferencia de las herramientas de captura por NIC tradicionales

Sección titulada «2. En qué se diferencia de las herramientas de captura por NIC tradicionales»

Las herramientas de captura por NIC tradicionales pueden atrapar los paquetes, pero el HTTPS que capturan es un montón de texto cifrado, y además no tienen ni idea de qué programa lo envió. La captura por NIC parte de “poder capturar” y añade “poder comprender, poder rastrear”:

  • Puede descifrar: convierte el HTTPS de un programa de texto cifrado de vuelta a texto plano con un clic (ver la Sección 4), en lugar de poder mirar solo texto cifrado.
  • Sabe quién lo envió: cada flujo va etiquetado con su proceso de origen, de modo que lo identificas de un vistazo incluso en un entorno ruidoso.
  • Puede rastrear el trasfondo del interlocutor: haz clic en una IP remota para ir directamente a su perfil de host (atribución / geografía / certificado).
  • Puede desmenuzarlo y comprenderlo: los datos capturados se descomprimen automáticamente, se detecta su formato y se muestran de forma estructurada, y los protocolos propietarios se pueden decodificar con un decodificador personalizado (ver la Sección 6).
  • También puede alimentar a Wireshark: cuando necesitas un análisis profesional paquete a paquete, reenvía el tráfico en directo a Wireshark con un clic, donde se abre en texto plano, incluso en otra máquina.

  1. Elige una NIC: todas las NIC de la máquina se listan automáticamente, con la que está activa en ese momento seleccionada por ti por defecto.
  2. Configura un filtro antes de empezar, si quieres: para capturar solo el tráfico que te importa, introduce un filtro de captura. Hay presets comunes integrados (TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH, y más), con un clic para aplicarlos.

    El filtro de captura se configura antes de empezar y no se puede cambiar una vez que la captura está en marcha; determina “qué se captura” en la capa de la NIC. Para acotar dentro de los datos ya capturados, usa el “filtro de visualización” en la vista de paquetes (ver la Sección 6).

Nueva sesión · Captura por NIC: elige una NIC y empieza a capturar, sin ajustes que cambiar ni certificado que instalar; el HTTPS capturado se puede descifrar luego para un programa con un clic mediante “Descifrar este programa”


4. Ver texto plano: tres pasos que convierten el texto cifrado en texto plano

Sección titulada «4. Ver texto plano: tres pasos que convierten el texto cifrado en texto plano»

El tráfico capturado de la NIC es texto cifrado por defecto (capturado tal cual, sin intermediario). Ver texto plano se hace en tres niveles, cada uno respaldando al anterior:

  1. Descifrado automático: los programas comunes, como los navegadores y las aplicaciones Electron, suelen estar en texto plano en el momento en que se capturan, sin pasos adicionales.
  2. “Descifrar este programa” manual: para los programas que no se pueden descifrar automáticamente, haz clic en “Descifrar este programa”, selecciónalo, y su tráfico cifrado se descifra. Se admite descifrar varios programas a la vez.
  3. Dos interruptores de refuerzo:
    • Reiniciar el programa: arranca el objetivo desde cero para que incluso su tráfico cifrado de arranque temprano se descifre junto con el resto.
    • Manejar los procesos hijos con un clic: algunos programas envían y reciben tráfico a través de procesos hijos; marca esta casilla para manejar también los procesos hijos, de modo que no se escape nada.

Los programas comunes están en texto plano en el momento en que se capturan, y para el resto, un clic manual en “Descifrar este programa” también los descifra. Convertir el texto cifrado en texto plano suele ser cuestión de un solo paso.


5. Dos vistas: paquete a paquete, y por conexión

Sección titulada «5. Dos vistas: paquete a paquete, y por conexión»
  • Vista de paquetes: mira cada paquete uno a uno, igual que una herramienta de captura profesional. Selecciona una trama para ver la información de la trama, los bytes en crudo y el árbol de protocolos desplegado capa a capa. El cuadro de búsqueda admite filtros de visualización al estilo de Wireshark (como tcp.port==443, tls.handshake), con validación de sintaxis en vivo mientras escribes, para que localices cualquier cosa dentro del conjunto completo de datos capturados.

Vista de paquetes: paquetes reales capturados de la NIC, localizados con el filtro de visualización dns; selecciona una trama para ver la información de la trama y el árbol de protocolos desplegado capa a capa

  • Vista de conexiones: reensambla los paquetes dispersos en conexiones individuales, y usa “Seguir flujo” para ver el envío/recepción de una conexión entera de principio a fin; HTTP / DNS y otros también se pueden ver de forma estructurada.

Vista de conexiones: paquetes dispersos reensamblados en conexiones individuales, con DNS / TLS / HTTP / TCP en crudo cada uno categorizado por protocolo, para que veas de un vistazo con quién está hablando esta máquina

  • Acciones con el clic derecho: haz clic derecho en cualquier trama para ver solo esta conexión / filtrar a esta conexión (acota tu vista a esta única), marcar la trama, copiar la dirección de origen / destino, o, para la IP remota, ir directamente a ver perfil de host / ping / escaneo de puertos para dar el siguiente paso en tu investigación.
  • Las dos vistas se enlazan entre sí (salta de una conexión de vuelta a sus paquetes en crudo, o desde un paquete sigue la conexión entera).
  • Estadísticas: resúmenes en tres tablas (jerarquía de protocolos, conversaciones, endpoints), opcionalmente solo sobre los resultados del filtro actual, para ver rápidamente “quién está usando el ancho de banda y con quién está hablando”.
  • Pausa cuando quieras: pausa a mitad de captura para mirar lo que has capturado hasta ahora, orientarte y continuar. En sesiones largas no tienes que estar iniciando y deteniendo todo el rato.

6. Tras la captura: comprenderlo, decodificarlo

Sección titulada «6. Tras la captura: comprenderlo, decodificarlo»

El mismo dato se puede ver de varias maneras, y el motor lo decodificará por ti automáticamente. Esta capacidad es común a todos los métodos de captura y también aplica aquí:

  • Varias maneras de ver: estructurado, texto embellecido, hexadecimal y detección automática, conmutables de forma independiente para cada dirección. Consulta Inspeccionar y decodificar para más detalles.
  • Detecta automáticamente muchas codificaciones: el contenido HTTP descifrado se descomprime automáticamente para gzip / brotli / deflate / zstd (incluidas varias capas apiladas), y JSON, XML, formularios, protobuf / gRPC y plist se detectan y embellecen automáticamente, con imágenes / audio / vídeo previsualizados en línea. Consulta Inspeccionar y decodificar para más detalles.
  • Códecs personalizados: para protocolos propietarios / internos, escribe un script corto que le enseñe a leerlos, dividiendo tramas, quitando cabeceras y descomprimiendo hasta una estructura legible. Consulta Decodificación de protocolos personalizados para más detalles.

7. Manejo de HTTP/3: capturar y descifrar también el tráfico QUIC

Sección titulada «7. Manejo de HTTP/3: capturar y descifrar también el tráfico QUIC»

Cada vez más aplicaciones están pasando a HTTP/3 (QUIC), y QUIC siempre ha sido difícil de capturar y difícil de descifrar en la capa de la NIC, donde muchas herramientas simplemente se detienen. La captura por NIC funciona en ambos sentidos: puede hacer que la aplicación objetivo baje suavemente de HTTP/3 a una conexión ordinaria para que vuelva a ser capturable y descifrable (se recupera automáticamente cuando detienes la sesión, sin afectar al uso normal de la aplicación después), y cuando las claves están disponibles también puede descifrar QUIC / HTTP/3 directamente y mostrar el texto plano.

Esto significa que, incluso para las aplicaciones que han pasado por completo a HTTP/3, puedes seguir viendo sus intercambios en texto plano, en lugar de mirar impotente un montón de QUIC que no puedes tocar.


8. Traspaso fluido a Wireshark para un análisis profundo

Sección titulada «8. Traspaso fluido a Wireshark para un análisis profundo»

Cuando necesitas un análisis profesional paquete a paquete al nivel de Wireshark, no hace falta estar exportando de un lado a otro entre dos herramientas: reenvía el tráfico de esta sesión en directo a Wireshark con un clic, donde se abre en texto plano sin configuración adicional. Las claves de descifrado se inyectan de forma incremental, en vivo junto con el tráfico, de modo que las claves que llegan tarde se rellenan y no se pierde ninguna trama.

Incluso puede enviar el tráfico a Wireshark en otra máquina, con esta máquina encargándose de la captura y el descifrado mientras la otra se centra en el análisis, un encaje natural para la colaboración remota y la solución conjunta de problemas.

  • También exportar a un archivo: exporta un .pcapng con las claves de descifrado incrustadas con un clic (ábrelo en Wireshark y está en texto plano) o un HAR estándar, y pásaselo a un compañero para que lo abra directamente sin nada más que configurar.

Así que te quedas con lo mejor de ambos mundos: el “descifrado + atribución de proceso + perfil de host con un clic” de esta herramienta, más el análisis profundo paquete a paquete de Wireshark.


  • Ver tráfico que no es HTTP: DNS, QUIC, juegos, IoT, toda clase de protocolos propietarios. Lo que el proxy no puede atrapar, la NIC sí.
  • Comprender todo lo que hace un programa en la red: a qué direcciones se conecta realmente, qué protocolos usa y si tiene alguna conexión “discreta”.
  • No querer cambiar el proxy del sistema ni instalar un certificado: captura directamente, cero intrusión.
  • Abordar protocolos propietarios: tras capturar el flujo en crudo, usa un decodificador personalizado para restaurarlo a una estructura legible.
  • Traspasar a Wireshark para un análisis a fondo: cuando necesitas un análisis profesional paquete a paquete, reenvíalo en directo, donde se abre en texto plano sin configuración adicional.

Volver a Captura por proxy · Relacionado: Inspeccionar y decodificar · Decodificación de protocolos personalizados · Detalles del host