Cattura tramite proxy
Il modulo di cattura tramite proxy di Trace Eagle porta le richieste di rete del tuo computer, del tuo telefono e degli altri dispositivi della LAN sotto i tuoi occhi in modo completo, chiaro e decifrato. Non ti limiti a osservare: puoi modificarle, intercettarle, rigiocarle, confrontarle e risalire alla loro origine.
La differenza fondamentale rispetto all’“ennesimo strumento di cattura tramite proxy” è questa: gli strumenti proxy comuni hanno una sola strada, “imposta un proxy + decifratura man-in-the-middle”. Nel momento in cui incontrano un programma che ignora il proxy, un’app che usa il certificate pinning, un programma Java / Python, un protocollo binario proprietario o un’applicazione sensibile alle caratteristiche del traffico, si bloccano praticamente. Trace Eagle colma questi punti ciechi uno per uno: cattura anche i programmi che ignorano il proxy, decifra anche le app con certificate pinning, ricostruisce anche i formati proprietari, individua con precisione chi ha inviato un flusso anche quando è sepolto nel rumore del sistema e mantiene il traffico invariato per le applicazioni sensibili alle sue caratteristiche, osservandole ad alta fedeltà senza disturbarne il normale funzionamento.

1. In cosa si distingue dagli strumenti di cattura tramite proxy comuni
Sezione intitolata “1. In cosa si distingue dagli strumenti di cattura tramite proxy comuni”A parità di cattura tramite proxy, la differenza non è “riesci a vedere la richiesta”, ma se riesci a continuare a lavorare quando incontri un caso difficile e se riesci a vedere più in profondità.
| Scenario | Strumenti di cattura tramite proxy comuni | Trace Eagle |
|---|---|---|
| Il programma ignora il proxy di sistema (molti client, servizi in background, traffico a connessione diretta) | Non riescono a catturarlo, lo perdono del tutto | Proxy trasparente: nessuna configurazione dell’app richiesta; cattura comunque i programmi che ignorano il proxy, il traffico a connessione diretta e il traffico inoltrato quando la macchina funge da hotspot/gateway, e può delimitare l’ambito con precisione per processo |
| L’app usa il certificate pinning | Errori / connessione impossibile / bisogna rinunciare | Con un clic elimina la validazione del certificato dell’app bersaglio, così si fida del certificato di cattura e la decifratura prosegue; i siti che preferisci non toccare vengono lasciati passare con precisione |
| Programmi Java, Python e simili | Anche con il certificato di sistema installato è inutile, non si decifra | Copertura completa dei certificati: questi programmi, che i proxy comuni non riescono a decifrare, qui si decifrano |
| Traffico HTTP/3 (QUIC) | Supporto debole, per lo più non si vede | Scegli in base alle esigenze tra tre livelli: cattura con downgrade, inoltro fedele (alta fedeltà) o decifratura reale |
| Protocolli proprietari / binari, envelope compressi e cifrati | Un mucchio di caratteri illeggibili | Decompressione automatica, riconoscimento automatico di molti formati, più la decodifica personalizzata tramite regole di framing o script JS |
| Un mucchio di processi mescolati, nessuna idea di chi abbia inviato il traffico | Solo IP / dominio, devi tirare a indovinare | Ogni flusso è etichettato con l’app / il processo di origine; fai clic sull’host per consultarne anche il profilo completo |
| Vuoi identificare chi è l’interlocutore e cos’è il client | Nessuna funzione | Fai clic su un host per il suo profilo di attribuzione / certificato / geografia e visualizza per ogni connessione la fingerprint del client (JA3/JA4) |
| Applicazioni sensibili alle caratteristiche del traffico | Un proxy MITM cambia le caratteristiche del traffico, quindi ciò che osservi non è più il traffico reale, e può disturbare il bersaglio | Più modalità ad alta fedeltà: mantieni il traffico invariato senza alterarne le caratteristiche, così non disturbi l’app bersaglio e non perdi di vista il collegamento reale che stai analizzando |
| Modalità di accesso / lavoro in parallelo | Praticamente solo il proxy, singola sessione | Proxy + cattura diretta da scheda di rete + cattura trasparente + connessione diretta al dispositivo mobile, più sessioni in parallelo, più porte senza interferenze |
In breve: gli strumenti comuni fanno “cattura tramite proxy”, mentre Trace Eagle fa “cattura, decifra, comprendi e scopri chi lo ha inviato a chi, qualunque sia la situazione”.
2. Modalità di accesso flessibili (due modalità di accesso locale)
Sezione intitolata “2. Modalità di accesso flessibili (due modalità di accesso locale)”Il modo in cui il traffico entra nella cattura dipende dallo scenario. Nella barra degli strumenti della sessione, sotto “Proxy locale” → ingranaggio “Impostazioni di accesso”, puoi scegliere tra due modalità di accesso:
- Proxy tradizionale (usa il proxy di sistema, cattura classica): accesso con un clic; browser, riga di comando e la maggior parte delle app passano automaticamente dal proxy. Dopo l’arresto viene ripristinato automaticamente, così il normale accesso a internet è garantito, e c’è anche un meccanismo di recupero in caso di chiusure anomale. Limite: se un’app non usa il proxy di sistema, non può essere catturata.
- Proxy trasparente (tutto il traffico): il punto cieco degli strumenti comuni: nessuna configurazione dell’app richiesta; tutto il traffico locale (incluso il traffico a connessione diretta e quello inoltrato quando la macchina funge da hotspot/gateway) può essere catturato; le app che non usano il proxy di sistema vengono catturate ugualmente; puoi delimitare l’ambito con precisione per app/processo per catturare solo alcuni programmi; su mobile basta installare il certificato radice, senza dover impostare un proxy a mano.

Catturare i dispositivi della LAN: punta il proxy di un telefono/tablet/altro computer verso questa macchina per catturarlo, con una guida all’installazione del certificato con un clic (profilo di configurazione iOS/macOS, installazione tramite scansione del QR).
Concatenare un proxy a monte: la sessione di cattura stessa può concatenare un altro proxy a monte (collegando la cattura di questa macchina a un proxy aziendale, a un jump host o a un altro proxy secondario); il collegamento è trasparente e non influisce sulla decifratura.
3. Tre livelli di gestione di HTTP/3 (QUIC)
Sezione intitolata “3. Tre livelli di gestione di HTTP/3 (QUIC)”Sempre più app adottano HTTP/3, e gli strumenti comuni spesso si arrendono qui. Nelle “Impostazioni di accesso” puoi scegliere:
- Blocca (cattura con downgrade): prova a effettuare il downgrade da HTTP/3 a HTTP/2 per renderlo catturabile (alcune app non lo supportano).
- Ignora (inoltro fedele): inoltra tale e quale senza decifrare, alta fedeltà, non disturba le richieste di dati del programma.
- Decifra (MITM H3 reale): cattura e decifra davvero, visualizzando il testo in chiaro proprio come per l’HTTPS comune.
Il proxy tradizionale supporta “Blocca / Ignora”; la “Decifra” deve essere usata in modalità proxy trasparente.
4. Capacità di decifratura: più che “basta installare un certificato”
Sezione intitolata “4. Capacità di decifratura: più che “basta installare un certificato””La decifratura degli strumenti comuni è “installa un certificato di sistema + un man-in-the-middle proxy”, che cede alla minima difesa. Trace Eagle è una combinazione di mosse:
- Decifratura HTTPS con un clic: un sistema di certificati integrato; installa una volta per una decifratura continua.
- Installazione a copertura completa del certificato: con un clic copri il certificato di sistema dappertutto. I programmi Java, Python e simili, che i proxy comuni non riescono a decifrare nemmeno con il certificato di sistema installato, qui si decifrano.
- Elimina il certificate pinning (rimuovi il pinning): per le app che usano il pinning e che normalmente rifiuterebbero subito la connessione con un errore, con un clic elimini la loro validazione del certificato e la decifratura prosegue.
- Whitelist / lista di consentiti / lista di bloccati: la whitelist decifra solo i domini specificati e lascia passare direttamente il resto; la lista di consentiti lascia passare tale e quale i siti a validazione rigorosa senza decifrarli, per evitare errori; la lista di bloccati scarta subito i domini che non vuoi far passare.

5. Più sessioni / più proxy in parallelo
Sezione intitolata “5. Più sessioni / più proxy in parallelo”- Apri più sessioni di cattura contemporaneamente; ognuna è una scheda indipendente che può essere avviata/arrestata/commutata autonomamente.
- Le sessioni sono completamente isolate: elenchi dei flussi, dettagli, stato di selezione e configurazione indipendenti; più sessioni proxy possono ascoltare ciascuna su una porta diversa e lavorare contemporaneamente.
- Proxy, cattura diretta da scheda di rete, cattura trasparente e connessione diretta al dispositivo mobile possono essere eseguiti insieme e combinati per scenario senza influenzarsi a vicenda.
6. Supporto completo dei protocolli
Sezione intitolata “6. Supporto completo dei protocolli”| Protocollo | Capacità supportata |
|---|---|
| HTTP / HTTPS | Parsing completo di richiesta-risposta, visualizzazione in chiaro |
| HTTP/2 | Parsing nativo, esperienza di visualizzazione coerente con HTTP/1.1 |
| HTTP/3 (QUIC) | Tre livelli tra cui scegliere: cattura con downgrade / inoltro fedele / decifratura reale (vedi sopra) |
| WebSocket | Visualizzazione frame per frame dei messaggi inviati e ricevuti (text/binary/ping/pong, con la direzione indicata) |
| Server-Sent Events (SSE) | Flussi di eventi mostrati evento per evento |
| gRPC / protobuf | Risoluzione della struttura dei campi senza bisogno del .proto |
| TCP / UDP grezzi | Cattura i dati grezzi anche per protocolli personalizzati non HTTP |
| SOCKS5 | Condivide la stessa porta per l’accesso; sono supportati sia CONNECT sia UDP ASSOCIATE, e anche il traffico SOCKS può essere decifrato / lasciato passare |
7. Osservazione ad alta fedeltà: non disturbare il bersaglio, non alterare le caratteristiche del traffico
Sezione intitolata “7. Osservazione ad alta fedeltà: non disturbare il bersaglio, non alterare le caratteristiche del traffico”Un man-in-the-middle proxy comune cambia le caratteristiche delle richieste di rete, e il risultato è che ciò che osservi non è più il traffico reale dell’app, e può influire sul normale comportamento dell’app bersaglio. Per le applicazioni sensibili alle caratteristiche del traffico (come i servizi che si affidano alle fingerprint dei dati delle richieste di rete per i controlli di coerenza), questo disturba il bersaglio e distorce l’analisi.
Trace Eagle offre più livelli di fedeltà per mantenere il processo di cattura il più “trasparente” possibile e il più vicino possibile al collegamento reale: osservazione fedele (osserva nel modo più vicino a un client reale, riducendo al minimo le modifiche alle caratteristiche del traffico), ricostruzione della fingerprint (mantieni una fingerprint del client coerente anche quando il traffico deve essere riscritto) e profilo del client fisso (ripristina le caratteristiche del traffico a quelle di un client standard: Chrome / Firefox / Safari desktop, Safari mobile o un profilo casuale). In combinazione con “H3 Ignora (inoltro fedele)”, anche per le applicazioni sensibili alle caratteristiche del traffico puoi catturare e analizzare fedelmente senza disturbarne il normale funzionamento.
8. Attribuzione al processo e filtraggio preciso
Sezione intitolata “8. Attribuzione al processo e filtraggio preciso”- Vedi a colpo d’occhio chi lo ha inviato: ogni flusso è etichettato con l’app/il processo di origine, così individui rapidamente il bersaglio in un ambiente affollato, una cosa che gli strumenti comuni, che mostrano solo IP/dominio, non ti possono dare.
- Cattura solo ciò che ti interessa: in combinazione con il proxy trasparente, delimita con precisione la cattura per app/processo ed escludi il rumore.

9. Capacità complementari ancora più potenti (ognuna con il suo articolo)
Sezione intitolata “9. Capacità complementari ancora più potenti (ognuna con il suo articolo)”Una volta effettuata la cattura, “comprendere, tracciare, riscrivere, rigiocare, testare il carico” approfondiscono ciascuno un aspetto, quindi sono trattati in articoli separati:
| Capacità | In una frase | Dettagli |
|---|---|---|
| Ispeziona e decodifica | 5 modalità di visualizzazione + decompressione/riconoscimento/formattazione automatica + anteprima dei media in linea + framing/decodifica via script per protocolli proprietari | Ispeziona e decodifica |
| Dettagli dell’host | Fai clic su un host qualsiasi per l’attribuzione (ASN/organizzazione/registrazione) + mappa geografica + DNS + verifica del certificato TLS + stack tecnologico web | Dettagli dell’host |
| Regole di riscrittura e intercettazione con breakpoint | Le regole semplici modificano le richieste con un clic, senza scripting + i breakpoint le modificano una a una a mano + script/plugin come ripiego per gli scenari complessi | Regole di riscrittura e intercettazione con breakpoint |
| Composizione e replay delle richieste | Reinvio con un clic/modifica e rigioca + compositore di richieste + firma con valori dinamici + raccolte/ambienti + generazione di codice | Composizione e replay delle richieste |
| Confronto tra richieste (Diff) | Confronta due richieste/risposte affiancate riga per riga, tra sessioni e origini diverse, per vedere a colpo d’occhio dove differiscono | Confronto tra richieste |
| Replay di sessione e test di carico | Rigioca in ordine una serie di richieste in blocco; con il tasto destro su una singola richiesta “test di carico su questa richiesta”, con throughput in tempo reale e percentili di latenza | Replay di sessione e test di carico |
C’è anche una capacità leggera ma comoda:
- Fingerprint di connessione (JA3 / JA4): per qualsiasi connessione HTTPS, visualizza la fingerprint TLS del client (JA3 con stringa grezza, JA4, copia con un clic). Non cambia con IP/UA e serve a identificare il tipo di client e a facilitare il tracciamento del traffico e l’analisi di sicurezza.
10. Casi d’uso tipici
Sezione intitolata “10. Casi d’uso tipici”- Debug dell’integrazione API: crea mock per produrre dati; inoltra un endpoint di produzione a un ambiente locale/di test.
- Cattura su mobile: cattura le richieste HTTPS dell’app di un telefono per analizzarne gli endpoint e risolvere i problemi.
- Affrontare i casi difficili: programmi che ignorano il proxy, usano il certificate pinning o sono scritti in Java / Python; gestiscili con proxy trasparente + rimozione del pinning + copertura completa dei certificati.
- Analisi di protocolli proprietari: risolvi la struttura di protocolli binari/personalizzati con regole di framing o script.
- Risoluzione dei guasti: vedi con chiarezza cosa ha inviato la richiesta e cosa ha restituito il server, per individuare problemi di parametri/ritorno/cross-origin.
- Test in rete debole / test di carico: usa le regole per simulare una rete scadente; usa il test di carico per valutare la capacità di un endpoint.
- Audit di sicurezza / inventario degli asset: esamina le comunicazioni in uscita, verifica eventuali fughe di informazioni sensibili, controlla i certificati e usa i profili degli host per capire l’attribuzione dell’interlocutore.
- Analisi ad alta fedeltà: per le applicazioni sensibili alle caratteristiche del traffico, cattura e analizza fedelmente mantenendo il traffico invariato e senza disturbarne il comportamento.
La cattura tramite proxy fa parte delle capacità di raccolta dati di Trace Eagle. Oltre al metodo proxy, il prodotto supporta anche la cattura diretta da scheda di rete, la connessione diretta al dispositivo mobile e altri metodi di cattura, che possono essere combinati in modo flessibile a seconda dello scenario.