इसे छोड़कर कंटेंट पर जाएं

प्रॉक्सी कैप्चर

Trace Eagle का प्रॉक्सी कैप्चर मॉड्यूल आपके कंप्यूटर, फ़ोन और LAN पर मौजूद अन्य डिवाइसेज़ की नेटवर्क रिक्वेस्ट्स को पूरी तरह, स्पष्ट रूप से और डिक्रिप्ट करके सामने लाता है। आप सिर्फ़ देखते ही नहीं हैं: आप उन्हें एडिट, इंटरसेप्ट, रीप्ले, कंपेयर कर सकते हैं और उनके सोर्स तक वापस ट्रेस कर सकते हैं।

“एक और प्रॉक्सी कैप्चर टूल” से मूलभूत अंतर यह है: सामान्य प्रॉक्सी टूल्स के पास केवल एक रास्ता होता है, “प्रॉक्सी सेट करना + man-in-the-middle डिक्रिप्शन।” जैसे ही उनका सामना किसी ऐसे प्रोग्राम से होता है जो प्रॉक्सी को नज़रअंदाज़ करता है, किसी ऐसे ऐप से जो certificate pinning इस्तेमाल करता है, किसी Java / Python प्रोग्राम से, किसी प्राइवेट बाइनरी प्रोटोकॉल से, या किसी ऐसे एप्लिकेशन से जो ट्रैफ़िक की विशेषताओं के प्रति संवेदनशील है, वे लगभग रुक जाते हैं। Trace Eagle इन कमियों को एक-एक करके भरता है: यह उन प्रोग्राम्स को भी कैप्चर करता है जो प्रॉक्सी को नज़रअंदाज़ करते हैं, certificate pinning वाले ऐप्स को भी डिक्रिप्ट करता है, प्राइवेट फ़ॉर्मेट्स को भी पुनर्निर्मित करता है, सिस्टम के शोर में दबे होने पर भी यह बताता है कि किसने कौन-सा फ़्लो भेजा, और ट्रैफ़िक विशेषताओं के प्रति संवेदनशील एप्लिकेशन्स के लिए ट्रैफ़िक को बिना बदले, उनके सामान्य संचालन में बाधा डाले बिना, उच्च निष्ठा (high fidelity) के साथ ऑब्ज़र्व करता है।

फ़्लो लिस्ट: हर रिक्वेस्ट रीयल-टाइम में method, status, host/path, type, size और सोर्स प्रोसेस दिखाती है


1. यह सामान्य प्रॉक्सी कैप्चर टूल्स से कैसे अलग है

Section titled “1. यह सामान्य प्रॉक्सी कैप्चर टूल्स से कैसे अलग है”

समान प्रॉक्सी कैप्चर के लिए, अंतर यह नहीं है कि “क्या आप रिक्वेस्ट देख सकते हैं”, बल्कि यह है कि क्या आप किसी मुश्किल स्थिति में काम जारी रख सकते हैं, और क्या आप और गहराई से देख सकते हैं।

स्थिति सामान्य प्रॉक्सी कैप्चर टूल्स Trace Eagle
प्रोग्राम सिस्टम प्रॉक्सी को नज़रअंदाज़ करता है (कई क्लाइंट्स, बैकग्राउंड सर्विसेज़, direct-connect ट्रैफ़िक) कैप्चर नहीं कर पाते, पूरी तरह छूट जाता है Transparent proxy: किसी ऐप कॉन्फ़िगरेशन की ज़रूरत नहीं; यह उन प्रोग्राम्स को भी कैप्चर करता है जो प्रॉक्सी को नज़रअंदाज़ करते हैं, direct-connect ट्रैफ़िक को, और जब मशीन hotspot/gateway की तरह काम करती है तब फ़ॉरवर्ड किए गए ट्रैफ़िक को भी, और यह प्रोसेस के आधार पर सटीक रूप से स्कोप कर सकता है
ऐप certificate pinning इस्तेमाल करता है एरर / कनेक्ट नहीं हो पाता / छोड़ना पड़ता है एक क्लिक में टारगेट ऐप की certificate validation को क्लियर करता है ताकि वह कैप्चर सर्टिफिकेट पर भरोसा करे और डिक्रिप्शन जारी रहे; जिन साइट्स को आप छूना नहीं चाहते उन्हें सटीक रूप से पास-थ्रू किया जाता है
Java, Python और इसी तरह के प्रोग्राम्स सिस्टम सर्टिफिकेट इंस्टॉल होने पर भी बेकार, डिक्रिप्ट नहीं कर पाते पूर्ण सर्टिफिकेट कवरेज: ये प्रोग्राम्स, जिन्हें सामान्य प्रॉक्सी डिक्रिप्ट नहीं कर पाते, यहाँ भी डिक्रिप्ट होते हैं
HTTP/3 (QUIC) ट्रैफ़िक कमज़ोर सपोर्ट, ज़्यादातर देख ही नहीं पाते ज़रूरत अनुसार तीन स्तरों में से चुनें: डाउनग्रेडेड कैप्चर, faithful pass-through (high fidelity), या वास्तविक डिक्रिप्शन
प्राइवेट / बाइनरी प्रोटोकॉल्स, कंप्रेस्ड और एन्क्रिप्टेड envelopes न पढ़ने लायक डेटा का ढेर स्वचालित डीकंप्रेशन, कई फ़ॉर्मेट्स की स्वचालित पहचान, साथ ही framing rules या JS स्क्रिप्ट्स के ज़रिए कस्टम डिकोडिंग
ढेर सारे प्रोसेस आपस में मिले हुए, पता नहीं किसने ट्रैफ़िक भेजा केवल IP / डोमेन, अंदाज़ा लगाना पड़ता है हर फ़्लो पर उसके सोर्स ऐप / प्रोसेस का लेबल लगा होता है; उसकी पूरी प्रोफ़ाइल देखने के लिए होस्ट पर क्लिक करें
यह पहचानना चाहते हैं कि दूसरा पक्ष कौन है और क्लाइंट क्या है कुछ नहीं होस्ट पर क्लिक करके उसकी attribution / certificate / geo प्रोफ़ाइल देखें, और हर कनेक्शन का client fingerprint (JA3/JA4) देखें
ट्रैफ़िक विशेषताओं के प्रति संवेदनशील एप्लिकेशन्स एक MITM प्रॉक्सी ट्रैफ़िक की विशेषताएं बदल देता है, इसलिए जो आप ऑब्ज़र्व करते हैं वह असली ट्रैफ़िक नहीं रहता, और यह टारगेट को बाधित भी कर सकता है कई high-fidelity मोड्स: ट्रैफ़िक को बिना उसकी विशेषताएं बदले जैसा है वैसा रखें, ताकि न तो टारगेट ऐप बाधित हो और न ही आप उस असली लिंक की नज़र खोएं जिसका आप विश्लेषण कर रहे हैं
एक्सेस तरीका / parallel काम मूल रूप से केवल प्रॉक्सी, single session प्रॉक्सी + direct NIC कैप्चर + transparent कैप्चर + मोबाइल direct connection, parallel में कई sessions, बिना किसी हस्तक्षेप के कई पोर्ट्स

संक्षेप में: सामान्य टूल्स “प्रॉक्सी कैप्चर” करते हैं, जबकि Trace Eagle हर स्थिति में “कैप्चर, डिक्रिप्ट, समझना, और यह जानना कि किसने किसे भेजा” करता है।


2. लचीले एक्सेस तरीके (दो लोकल एक्सेस मोड्स)

Section titled “2. लचीले एक्सेस तरीके (दो लोकल एक्सेस मोड्स)”

ट्रैफ़िक कैप्चर में कैसे प्रवेश करता है यह स्थिति पर निर्भर करता है। session टूलबार में, “Proxy local” → gear “Access settings” के तहत, आप दो एक्सेस मोड्स में से चुन सकते हैं:

  • Traditional proxy (सिस्टम प्रॉक्सी का उपयोग करते हुए, क्लासिक कैप्चर): एक क्लिक में एक्सेस; ब्राउज़र्स, कमांड लाइन और ज़्यादातर ऐप्स अपने आप प्रॉक्सी से गुज़रते हैं। रोकने के बाद यह अपने आप बहाल हो जाता है, इसलिए सामान्य इंटरनेट एक्सेस की गारंटी रहती है, और असामान्य exit की स्थिति के लिए भी एक recovery fallback मौजूद है। सीमा: अगर कोई ऐप सिस्टम प्रॉक्सी का उपयोग नहीं करता, तो उसे कैप्चर नहीं किया जा सकता
  • Transparent proxy (सारा ट्रैफ़िक): सामान्य टूल्स का ब्लाइंड स्पॉट: किसी ऐप कॉन्फ़िगरेशन की ज़रूरत नहीं; सारा लोकल ट्रैफ़िक (direct-connect ट्रैफ़िक और मशीन के hotspot/gateway की तरह काम करते समय फ़ॉरवर्ड किया गया ट्रैफ़िक शामिल) कैप्चर किया जा सकता है; जो ऐप्स सिस्टम प्रॉक्सी का उपयोग नहीं करते वे भी उतनी ही अच्छी तरह कैप्चर होते हैं; आप ऐप/प्रोसेस के आधार पर सटीक रूप से स्कोप करके केवल कुछ चुने हुए प्रोग्राम्स को कैप्चर कर सकते हैं; मोबाइल पर, बस root सर्टिफिकेट इंस्टॉल करें, हाथ से प्रॉक्सी सेट करने की ज़रूरत नहीं।

Access settings: दो एक्सेस मोड्स, traditional proxy / transparent proxy, साथ में HTTP/3 हैंडलिंग के तीन स्तर: downgraded capture / faithful pass-through / true decryption

LAN डिवाइसेज़ को कैप्चर करना: किसी फ़ोन/टैबलेट/अन्य कंप्यूटर के प्रॉक्सी को इस मशीन की ओर पॉइंट करके उसे कैप्चर करें, साथ ही एक-क्लिक सर्टिफिकेट इंस्टॉलेशन गाइड (iOS/macOS configuration profile, QR स्कैन करके इंस्टॉल)।

अपस्ट्रीम प्रॉक्सी चेन करना: कैप्चर session खुद इसके ऊपर एक और अपस्ट्रीम प्रॉक्सी चेन कर सकता है (इस मशीन के कैप्चर को किसी कंपनी प्रॉक्सी, jump host, या अन्य सेकेंडरी प्रॉक्सी से जोड़ना); यह लिंक पारदर्शी होता है और डिक्रिप्शन को प्रभावित नहीं करता।


3. HTTP/3 (QUIC) हैंडलिंग के तीन स्तर

Section titled “3. HTTP/3 (QUIC) हैंडलिंग के तीन स्तर”

ज़्यादा से ज़्यादा ऐप्स HTTP/3 अपना रहे हैं, और सामान्य टूल्स अक्सर यहाँ फेल हो जाते हैं। “Access settings” में आप चुन सकते हैं:

  • Block (downgraded capture): HTTP/3 को HTTP/2 में डाउनग्रेड करने की कोशिश करता है ताकि उसे कैप्चर किया जा सके (कुछ ऐप्स इसे सपोर्ट नहीं करते)।
  • Ignore (faithful pass-through): बिना डिक्रिप्ट किए जैसा है वैसा फ़ॉरवर्ड करता है, high fidelity, प्रोग्राम के डेटा रिक्वेस्ट्स में बाधा नहीं डालता
  • Decrypt (true H3 MITM): वास्तव में कैप्चर और डिक्रिप्ट करता है, प्लेनटेक्स्ट को सामान्य HTTPS की तरह ही देखा जा सकता है।

Traditional proxy “Block / Ignore” को सपोर्ट करता है; “Decrypt” का उपयोग केवल transparent proxy मोड में किया जा सकता है


4. डिक्रिप्शन क्षमता: सिर्फ़ “सर्टिफिकेट इंस्टॉल करने” से कहीं ज़्यादा

Section titled “4. डिक्रिप्शन क्षमता: सिर्फ़ “सर्टिफिकेट इंस्टॉल करने” से कहीं ज़्यादा”

सामान्य टूल्स की डिक्रिप्शन “एक सिस्टम सर्टिफिकेट इंस्टॉल करना + एक प्रॉक्सी man-in-the-middle” है, जो थोड़ी सी भी सुरक्षा मिलते ही फेल हो जाती है। Trace Eagle कई तरीकों का संयोजन है:

  • एक-क्लिक HTTPS डिक्रिप्शन: एक बिल्ट-इन सर्टिफिकेट सिस्टम; एक बार इंस्टॉल करें, लगातार डिक्रिप्शन पाएं।
  • पूर्ण सर्टिफिकेट कवरेज इंस्टॉलेशन: एक क्लिक में सिस्टम सर्टिफिकेट को हर जगह कवर करता है। Java, Python और इसी तरह के प्रोग्राम्स, जिन्हें सामान्य प्रॉक्सी सिस्टम सर्टिफिकेट इंस्टॉल होने पर भी डिक्रिप्ट नहीं कर पाते, यहाँ भी डिक्रिप्ट होते हैं।
  • Certificate pinning क्लियर करना (pinning हटाना): जो ऐप्स pinning इस्तेमाल करते हैं और सामान्यतः कनेक्शन को सीधे एरर के साथ रिजेक्ट कर देते हैं, उनके लिए एक क्लिक में उनकी certificate validation क्लियर हो जाती है और डिक्रिप्शन जारी रहता है।
  • Whitelist / allow list / block list: whitelist केवल तय किए गए डोमेन्स को डिक्रिप्ट करती है और बाकी को सीधे पास करती है; allow list सख्ती से वैलिडेटेड साइट्स को बिना डिक्रिप्ट किए जैसा है वैसा पास करती है ताकि एरर न आएं; block list उन डोमेन्स को सीधे ड्रॉप कर देती है जिन्हें आप जाने नहीं देना चाहते।

Decryption scope settings: blacklist / whitelist टॉगल, allow list, block list, साथ ही upstream proxy और custom DNS


5. Parallel में कई sessions / कई प्रॉक्सीज़

Section titled “5. Parallel में कई sessions / कई प्रॉक्सीज़”
  • एक साथ कई कैप्चर sessions खोलें; हर एक एक स्वतंत्र टैब है जिसे अलग से शुरू/बंद/स्विच किया जा सकता है।
  • Sessions पूरी तरह से isolated हैं: स्वतंत्र फ़्लो लिस्ट्स, डिटेल्स, सिलेक्शन स्टेट और कॉन्फ़िगरेशन; कई प्रॉक्सी sessions हर एक अलग पोर्ट पर एक साथ काम कर सकते हैं।
  • प्रॉक्सी, direct NIC कैप्चर, transparent कैप्चर और मोबाइल direct connection को एक साथ चलाया और स्थिति के अनुसार जोड़ा जा सकता है, बिना एक-दूसरे को प्रभावित किए।

6. पूर्ण प्रोटोकॉल सपोर्ट

Section titled “6. पूर्ण प्रोटोकॉल सपोर्ट”
प्रोटोकॉल समर्थित क्षमता
HTTP / HTTPS पूर्ण request-response पार्सिंग, प्लेनटेक्स्ट व्यू
HTTP/2 Native पार्सिंग, HTTP/1.1 जैसा ही देखने का अनुभव
HTTP/3 (QUIC) तीन स्तरों में से चुनें: downgraded capture / faithful pass-through / true decryption (ऊपर देखें)
WebSocket भेजे और प्राप्त हुए मैसेजेस का frame-by-frame डिस्प्ले (text/binary/ping/pong, दिशा लेबल के साथ)
Server-Sent Events (SSE) Event streams को event-by-event दिखाया जाता है
gRPC / protobuf .proto की ज़रूरत के बिना फ़ील्ड संरचनाओं को resolve करता है
Raw TCP / UDP non-HTTP कस्टम प्रोटोकॉल्स के लिए भी raw डेटा कैप्चर करता है
SOCKS5 एक्सेस के लिए वही पोर्ट शेयर करता है; CONNECT और UDP ASSOCIATE दोनों सपोर्टेड हैं, और SOCKS ट्रैफ़िक को भी डिक्रिप्ट / पास-थ्रू किया जा सकता है

7. High-fidelity ऑब्ज़र्वेशन: टारगेट को बाधित न करें, ट्रैफ़िक विशेषताएं न बदलें

Section titled “7. High-fidelity ऑब्ज़र्वेशन: टारगेट को बाधित न करें, ट्रैफ़िक विशेषताएं न बदलें”

एक सामान्य man-in-the-middle प्रॉक्सी नेटवर्क रिक्वेस्ट्स की विशेषताएं बदल देता है, और नतीजा यह होता है कि जो आप ऑब्ज़र्व करते हैं वह ऐप का असली ट्रैफ़िक नहीं रहता, और यह टारगेट ऐप के सामान्य व्यवहार को भी प्रभावित कर सकता है। ट्रैफ़िक विशेषताओं के प्रति संवेदनशील एप्लिकेशन्स के लिए (जैसे वे सर्विसेज़ जो consistency जांच के लिए नेटवर्क-रिक्वेस्ट डेटा फ़िंगरप्रिंट्स पर निर्भर करती हैं), यह टारगेट को बाधित करने के साथ-साथ विश्लेषण को भी विकृत कर देता है।

Trace Eagle कई fidelity स्तर देता है ताकि कैप्चर प्रक्रिया को यथासंभव “पारदर्शी” और असली लिंक के जितना संभव हो उतना करीब रखा जा सके: faithful observation (एक असली क्लाइंट के सबसे करीब तरीके से ऑब्ज़र्व करना, ट्रैफ़िक विशेषताओं में बदलाव को कम से कम रखना), fingerprint reconstruction (ट्रैफ़िक को फिर से लिखने की ज़रूरत होने पर भी एक consistent client fingerprint बनाए रखना), और fixed client profile (ट्रैफ़िक विशेषताओं को एक standard client जैसा बहाल करना: desktop Chrome / Firefox / Safari, मोबाइल Safari, या एक random profile)। “H3 Ignore (faithful pass-through)” के साथ मिलाकर, ट्रैफ़िक विशेषताओं के प्रति संवेदनशील एप्लिकेशन्स को भी आप faithfully कैप्चर और विश्लेषण कर सकते हैं, उनके सामान्य संचालन को बाधित किए बिना


8. प्रोसेस एट्रिब्यूशन और सटीक फ़िल्टरिंग

Section titled “8. प्रोसेस एट्रिब्यूशन और सटीक फ़िल्टरिंग”
  • एक नज़र में देखें किसने भेजा: हर फ़्लो पर उसके सोर्स ऐप/प्रोसेस का लेबल लगा होता है, जिससे आप भीड़भाड़ वाले माहौल में भी तुरंत टारगेट का पता लगा सकते हैं, जो सामान्य टूल्स केवल IP/डोमेन दिखाकर नहीं दे पाते।
  • सिर्फ़ वही कैप्चर करें जिसकी परवाह है: transparent proxy के साथ मिलाकर ऐप/प्रोसेस के आधार पर सटीक रूप से कैप्चर को स्कोप करें और शोर को बाहर रखें।

फ़्लो डिटेल्स: कनेक्शन और सोर्स प्रोसेस, TLS और कनेक्शन फ़िंगरप्रिंट (JA3/JA4), डिक्रिप्शन स्टेटस, और स्वचालित रूप से पार्स की गई रिक्वेस्ट सामग्री, सब एक ही स्क्रीन पर


9. और भी शक्तिशाली सहयोगी क्षमताएं (हर एक का अपना आर्टिकल)

Section titled “9. और भी शक्तिशाली सहयोगी क्षमताएं (हर एक का अपना आर्टिकल)”

कैप्चर हो जाने के बाद, “समझना, ट्रेस करना, फिर से लिखना, रीप्ले करना, load-test करना” हर एक गहराई में जाता है, इसलिए इन्हें अलग आर्टिकल्स में विस्तार से बताया गया है:

क्षमता एक वाक्य में विवरण
निरीक्षण और डिकोडिंग 5 व्यूइंग मोड्स + स्वचालित decompression/पहचान/prettifying + इनलाइन मीडिया प्रीव्यू + प्राइवेट-प्रोटोकॉल framing/स्क्रिप्ट डिकोडिंग निरीक्षण और डिकोडिंग
होस्ट विवरण किसी भी होस्ट पर क्लिक करके attribution (ASN/संगठन/registration) + geo मैप + DNS + TLS सर्टिफिकेट जांच + वेब टेक स्टैक होस्ट विवरण
Rewrite rules और breakpoint interception Point-and-click के ज़रिए साधारण rules से रिक्वेस्ट्स एडिट करें, बिना स्क्रिप्टिंग के + breakpoints से हर एक को हाथ से एडिट करें + जटिल स्थितियों के लिए स्क्रिप्ट्स/plugins एक fallback के रूप में Rewrite rules और breakpoint interception
रिक्वेस्ट कंपोज़िंग और रीप्ले एक-क्लिक resend/edit-and-replay + रिक्वेस्ट कंपोज़र + dynamic-value signing + collections/environments + कोड जनरेशन रिक्वेस्ट कंपोज़िंग और रीप्ले
रिक्वेस्ट तुलना (Diff) दो रिक्वेस्ट्स/रिस्पॉन्सेस की लाइन-दर-लाइन साथ-साथ तुलना, sessions और sources के पार, यह देखने के लिए कि वे कहाँ अलग हैं रिक्वेस्ट तुलना
Session replay और load testing कैप्चर की गई रिक्वेस्ट्स की एक श्रृंखला को क्रम में बैचों में रीप्ले करें; किसी एक पर right-click करके “इस रिक्वेस्ट को load-test करें”, रीयल-टाइम throughput और latency percentiles के साथ Session replay और load testing

एक हल्की लेकिन काम की क्षमता और भी है:

  • Connection fingerprint (JA3 / JA4): किसी भी HTTPS कनेक्शन के लिए, उसका client TLS fingerprint देखें (JA3 raw string के साथ, JA4, एक-क्लिक कॉपी)। यह IP/UA बदलने पर नहीं बदलता और इसका उपयोग क्लाइंट के प्रकार की पहचान करने और ट्रैफ़िक ट्रेसिंग व सुरक्षा विश्लेषण में मदद के लिए किया जाता है।

10. सामान्य उपयोग के मामले

Section titled “10. सामान्य उपयोग के मामले”
  • API इंटीग्रेशन डिबगिंग: डेटा बनाने के लिए mock करें; किसी प्रोडक्शन एंडपॉइंट को लोकल/टेस्ट एनवायरनमेंट में फ़ॉरवर्ड करें।
  • मोबाइल कैप्चर: एंडपॉइंट्स का विश्लेषण करने और समस्या-निवारण के लिए किसी फ़ोन ऐप की HTTPS रिक्वेस्ट्स कैप्चर करें।
  • मुश्किल मामलों से निपटना: वे प्रोग्राम्स जो प्रॉक्सी को नज़रअंदाज़ करते हैं, certificate pinning इस्तेमाल करते हैं, या Java / Python में लिखे गए हैं; इन्हें transparent proxy + pinning हटाने + पूर्ण सर्टिफिकेट कवरेज से हैंडल करें।
  • प्राइवेट-प्रोटोकॉल विश्लेषण: framing rules या स्क्रिप्ट्स के साथ बाइनरी/कस्टम प्रोटोकॉल्स की संरचना को resolve करें।
  • फ़ॉल्ट ट्रबलशूटिंग: साफ़ देखें कि रिक्वेस्ट ने क्या भेजा और सर्वर ने क्या लौटाया, ताकि parameter/return/cross-origin समस्याओं का पता लगाया जा सके।
  • कमज़ोर-नेटवर्क टेस्टिंग / load testing: खराब नेटवर्क को सिम्युलेट करने के लिए rules का उपयोग करें; किसी एंडपॉइंट की क्षमता आंकने के लिए load testing का उपयोग करें।
  • सुरक्षा ऑडिटिंग / asset inventory: बाहर जाने वाले संचार की समीक्षा करें, संवेदनशील जानकारी के लीक की जांच करें, सर्टिफिकेट्स को वेरिफाई करें, और दूसरे पक्ष का attribution पता लगाने के लिए host profiles का उपयोग करें।
  • High-fidelity विश्लेषण: ट्रैफ़िक विशेषताओं के प्रति संवेदनशील एप्लिकेशन्स के लिए, ट्रैफ़िक को जैसा है वैसा रखते हुए और उसके व्यवहार को बाधित किए बिना faithfully कैप्चर और विश्लेषण करें।

प्रॉक्सी कैप्चर, Trace Eagle की डेटा कलेक्शन क्षमताओं का एक हिस्सा है। प्रॉक्सी तरीके के अलावा, यह प्रोडक्ट direct NIC कैप्चर, मोबाइल डिवाइस direct connection, और अन्य कैप्चर तरीकों को भी सपोर्ट करता है, जिन्हें स्थिति के अनुसार लचीले ढंग से मिलाया जा सकता है।