Cattura da scheda di rete
La cattura tramite proxy ti mostra “la parte di traffico che passa dal proxy”; la cattura da scheda di rete ti mostra tutto ciò che attraversa la scheda di rete di questa macchina: DNS, QUIC, giochi, IoT, ogni tipo di protocollo proprietario. Tutto ciò che passa per la scheda di rete è lì davanti a te. E fa un grande passo in più rispetto agli strumenti di cattura tradizionali: l’HTTPS che catturi non è più un mucchio di testo cifrato, ma qualcosa che puoi decifrare, attribuire a chi lo ha inviato e scomporre per comprenderlo.
1. In cosa si distingue dalla cattura tramite proxy
Sezione intitolata “1. In cosa si distingue dalla cattura tramite proxy”I due metodi sono modi complementari di catturare, ciascuno con i propri casi d’uso:
| Cattura tramite proxy | Cattura da scheda di rete | |
|---|---|---|
| Come ti agganci | Instrada il traffico attraverso un proxy + fidati di un certificato | Cattura direttamente i pacchetti grezzi sulla scheda di rete, senza cambiare alcuna impostazione o installare un certificato |
| Cosa puoi vedere | Il traffico che è passato dal proxy, principalmente HTTP(S) | Tutto il traffico sulla scheda di rete: DNS, QUIC, ICMP, ARP, qualsiasi TCP / UDP… |
| In chiaro per impostazione predefinita? | In chiaro per impostazione predefinita | Cifrato per impostazione predefinita; “Decifra questo programma” con un clic quando serve (vedi sotto) |
| Ideale per | Debug delle API HTTP, riscrittura / replay | Visualizzare il traffico non HTTP, vedere tutto ciò che un programma fa in rete, evitare qualsiasi modifica a livello di sistema |
In breve: la cattura tramite proxy è “precisa”, la cattura da scheda di rete è “completa”. Se vuoi sapere esattamente a quali indirizzi un’app si connette silenziosamente e quali protocolli usa, la cattura da scheda di rete mette tutto a nudo.
2. In cosa si distingue dagli strumenti di cattura da scheda di rete tradizionali
Sezione intitolata “2. In cosa si distingue dagli strumenti di cattura da scheda di rete tradizionali”Gli strumenti di cattura da scheda di rete tradizionali riescono a prendere i pacchetti, ma l’HTTPS che catturano è un mucchio di testo cifrato, e per di più non hanno idea di quale programma lo abbia inviato. La cattura da scheda di rete parte dal “riesce a catturare” e aggiunge il “riesce a comprendere, riesce a tracciare”:
- Riesce a decifrare: trasforma l’HTTPS di un programma da testo cifrato di nuovo in testo in chiaro con un clic (vedi la sezione 4), invece di poter solo guardare il testo cifrato.
- Sa chi lo ha inviato: ogni flusso è contrassegnato con il suo processo di origine, così lo individui a colpo d’occhio anche in un ambiente rumoroso.
- Riesce a tracciare il contesto dell’interlocutore: fai clic su un IP remoto per andare direttamente al suo profilo dell’host (attribuzione / geografia / certificato).
- Riesce a scomporlo e comprenderlo: i dati catturati vengono automaticamente decompressi, ne viene rilevato il formato e vengono mostrati in modo strutturato, e i protocolli proprietari possono essere decodificati con un decoder personalizzato (vedi la sezione 6).
- Può anche alimentare Wireshark: quando ti serve un’analisi professionale pacchetto per pacchetto, inoltra il traffico in tempo reale a Wireshark con un clic, dove si apre in chiaro, anche su un’altra macchina.
3. Come catturare
Sezione intitolata “3. Come catturare”- Scegli una scheda di rete: tutte le schede di rete della macchina vengono elencate automaticamente, con quella attualmente attiva selezionata per te per impostazione predefinita.
- Se vuoi, imposta un filtro prima di iniziare: per catturare solo il traffico che ti interessa, inserisci un filtro di cattura. Sono integrati i preset più comuni (TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH e altri), applicabili con un clic.
Il filtro di cattura si imposta prima di iniziare e non può essere cambiato una volta avviata la cattura; determina “cosa viene catturato” a livello di scheda di rete. Per restringere all’interno dei dati già catturati, usa il “filtro di visualizzazione” nella vista dei pacchetti (vedi la sezione 6).

4. Vedere il testo in chiaro: tre passi che trasformano il testo cifrato in testo in chiaro
Sezione intitolata “4. Vedere il testo in chiaro: tre passi che trasformano il testo cifrato in testo in chiaro”Il traffico catturato dalla scheda di rete è testo cifrato per impostazione predefinita (catturato tale e quale, senza man-in-the-middle). Vedere il testo in chiaro avviene in tre livelli, ciascuno di supporto al precedente:
- Decifratura automatica: i programmi comuni come i browser e le app Electron sono di solito in chiaro nel momento stesso in cui vengono catturati, senza passaggi aggiuntivi.
- “Decifra questo programma” manuale: per i programmi che non possono essere decifrati automaticamente, fai clic su “Decifra questo programma”, selezionalo, e il suo traffico cifrato viene decifrato. È supportata la decifratura di più programmi contemporaneamente.
- Due interruttori di rinforzo:
- Riavvia il programma: avvia il bersaglio da zero, così anche il suo traffico cifrato dei primi istanti di avvio viene decifrato insieme al resto.
- Gestisci i processi figli con un clic: alcuni programmi inviano e ricevono traffico tramite processi figli; spunta questa casella per gestire anche i processi figli, così non sfugge nulla.
I programmi comuni sono in chiaro nel momento in cui vengono catturati, e per gli altri un clic manuale su “Decifra questo programma” li decifra anch’essi. Trasformare il testo cifrato in testo in chiaro è di solito questione di un solo passaggio.
5. Due viste: pacchetto per pacchetto e per connessione
Sezione intitolata “5. Due viste: pacchetto per pacchetto e per connessione”- Vista dei pacchetti: guarda ogni pacchetto uno per uno, proprio come in uno strumento di cattura professionale. Seleziona un frame per vedere le informazioni del frame, i byte grezzi e l’albero dei protocolli espanso livello per livello. La casella di ricerca supporta i filtri di visualizzazione in stile Wireshark (come
tcp.port==443,tls.handshake), con validazione della sintassi in tempo reale mentre digiti, così puoi individuare qualsiasi cosa all’interno dell’intero set di dati catturati.

- Vista delle connessioni: riassembla i pacchetti sparsi in singole connessioni e usa “Segui flusso” per vedere l’intero invio/ricezione di una connessione dall’inizio alla fine; HTTP / DNS e altri possono anche essere visualizzati in modo strutturato.

- Azioni con il tasto destro: fai clic con il tasto destro su un frame qualsiasi per vedere solo questa connessione / filtrare su questa connessione (restringi la vista a questa sola connessione), contrassegnare il frame, copiare l’indirizzo di origine / destinazione, o, per l’IP remoto, andare direttamente a vedere il profilo dell’host / ping / scansione delle porte per proseguire la tua indagine.
- Le due viste sono collegate tra loro (salta da una connessione ai suoi pacchetti grezzi, o da un pacchetto segui l’intera connessione).
- Statistiche: riepiloghi su tre tabelle (gerarchia dei protocolli, conversazioni, endpoint), opzionalmente solo sui risultati del filtro corrente, per vedere rapidamente “chi sta usando la banda e con chi sta parlando”.
- Metti in pausa quando vuoi: metti in pausa a metà cattura per guardare ciò che hai catturato finora, orientarti e continuare. Nelle sessioni lunghe non devi continuare ad avviare e fermare.
6. Dopo la cattura: comprendila, decodificala
Sezione intitolata “6. Dopo la cattura: comprendila, decodificala”Lo stesso dato può essere visualizzato in più modi, e il motore lo decodifica automaticamente per te. Questa capacità è comune a tutti i metodi di cattura e si applica anche qui:
- Più modi di visualizzare: strutturato, testo formattato, hex e rilevamento automatico, commutabili in modo indipendente per ciascuna direzione. Vedi Ispeziona e decodifica per i dettagli.
- Rileva automaticamente molte codifiche: il contenuto HTTP decifrato viene automaticamente decompresso per gzip / brotli / deflate / zstd (inclusi più livelli sovrapposti), e JSON, XML, form, protobuf / gRPC e plist vengono rilevati e formattati automaticamente, con immagini / audio / video mostrati in anteprima in linea. Vedi Ispeziona e decodifica per i dettagli.
- Codec personalizzati: per i protocolli proprietari / interni, scrivi un breve script per insegnargli a leggerli, suddividendo i frame, rimuovendo gli header e decomprimendo in una struttura leggibile. Vedi Decodifica di protocolli personalizzati per i dettagli.
7. Gestione di HTTP/3: catturare e decifrare anche il traffico QUIC
Sezione intitolata “7. Gestione di HTTP/3: catturare e decifrare anche il traffico QUIC”Sempre più app stanno passando a HTTP/3 (QUIC), e QUIC è sempre stato difficile da catturare e da decifrare a livello di scheda di rete, dove molti strumenti si arrendono e basta. La cattura da scheda di rete funziona in entrambi i modi: può far sì che l’app bersaglio ricada dolcemente da HTTP/3 a una connessione ordinaria, così torna catturabile e decifrabile (si ripristina automaticamente quando fermi la sessione, senza influire sul normale utilizzo dell’app in seguito), e quando le chiavi sono disponibili può anche decifrare QUIC / HTTP/3 direttamente e mostrare il testo in chiaro.
Questo significa che anche per le app passate completamente a HTTP/3 puoi comunque vedere i loro scambi in chiaro, invece di fissare impotente un mucchio di QUIC che non puoi toccare.
8. Passaggio senza interruzioni a Wireshark per un’analisi approfondita
Sezione intitolata “8. Passaggio senza interruzioni a Wireshark per un’analisi approfondita”Quando ti serve un’analisi professionale pacchetto per pacchetto a livello di Wireshark, non c’è bisogno di continuare a esportare avanti e indietro tra due strumenti: inoltra il traffico di questa sessione in tempo reale in Wireshark con un clic, dove si apre in chiaro senza configurazioni aggiuntive. Le chiavi di decifratura vengono iniettate in modo incrementale, in tempo reale insieme al traffico, così le chiavi che arrivano in ritardo vengono completate e nessun frame va perso.
Può persino inviare il traffico a Wireshark su un’altra macchina, con questa macchina che gestisce cattura e decifratura mentre l’altra si concentra sull’analisi, una soluzione naturale per la collaborazione a distanza e la risoluzione congiunta dei problemi.
- Esporta anche su file: esporta con un clic un
.pcapngcon le chiavi di decifratura incorporate (aprilo in Wireshark ed è in chiaro) o uno standard HAR, e consegnalo a un collega perché lo apra direttamente senza nient’altro da impostare.
Così ottieni il meglio di entrambi i mondi: la “decifratura + attribuzione al processo + profilo dell’host con un clic” di questo strumento, più l’analisi approfondita pacchetto per pacchetto di Wireshark.
9. Casi d’uso tipici
Sezione intitolata “9. Casi d’uso tipici”- Visualizzare il traffico non HTTP: DNS, QUIC, giochi, IoT, ogni tipo di protocollo proprietario. Tutto ciò che il proxy non riesce a prendere, la scheda di rete sì.
- Comprendere tutto ciò che un programma fa in rete: a quali indirizzi si connette effettivamente, quali protocolli usa e se ha connessioni “silenziose”.
- Non voler cambiare il proxy di sistema né installare un certificato: cattura direttamente, zero intrusione.
- Affrontare i protocolli proprietari: dopo aver catturato il flusso grezzo, usa un decoder personalizzato per riportarlo a una struttura leggibile.
- Passare a Wireshark per un’analisi approfondita: quando ti serve un’analisi professionale pacchetto per pacchetto, inoltra in tempo reale, dove si apre in chiaro senza configurazioni aggiuntive.
Torna a Cattura tramite proxy · Correlati: Ispeziona e decodifica · Decodifica di protocolli personalizzati · Dettagli dell’host