NIC-capture
Proxy-capture toont je “het deel van het verkeer dat via de proxy loopt”; NIC-capture toont je alles wat over de NIC van deze machine loopt: DNS, QUIC, games, IoT, allerlei eigen protocollen. Alles wat over de NIC gaat, ligt vlak voor je. En het gaat een flinke stap verder dan traditionele capture-tools: de HTTPS die je vastlegt is niet langer een hoop versleutelde tekst, maar iets wat je kunt ontsleutelen, kunt toewijzen aan wie het verstuurde, en uit elkaar kunt halen om te begrijpen.
1. Waarin het verschilt van proxy-capture
Section titled “1. Waarin het verschilt van proxy-capture”De twee zijn complementaire manieren om vast te leggen, elk met zijn eigen toepassingen:
| Proxy-capture | NIC-capture | |
|---|---|---|
| Hoe je aansluit | Verkeer via een proxy leiden + een certificaat vertrouwen | De ruwe pakketten rechtstreeks op de NIC vastleggen, zonder instellingen te wijzigen of een certificaat te installeren |
| Wat je ziet | Verkeer dat via de proxy liep, voornamelijk HTTP(S) | Al het verkeer op de NIC: DNS, QUIC, ICMP, ARP, elke TCP / UDP… |
| Standaard leesbare tekst? | Standaard leesbare tekst | Standaard versleutelde tekst; indien nodig met één klik “Ontsleutel dit programma” (zie hieronder) |
| Het meest geschikt voor | HTTP-API’s debuggen, herschrijven / opnieuw versturen | Niet-HTTP-verkeer bekijken, alles zien wat een programma op het netwerk doet, elke systeemwijziging vermijden |
Kortom: proxy-capture is “precies”, NIC-capture is “volledig”. Wil je precies weten met welke adressen een app stilletjes verbinding maakt en welke protocollen die gebruikt, dan legt NIC-capture alles bloot.
2. Waarin het verschilt van traditionele NIC-capture-tools
Section titled “2. Waarin het verschilt van traditionele NIC-capture-tools”Traditionele NIC-capture-tools kunnen de pakketten vastleggen, maar de HTTPS die ze vastleggen is een hoop versleutelde tekst, en ze hebben ook geen idee welk programma het verstuurde. NIC-capture bouwt voort op “kan vastleggen” en vult “kan begrijpen, kan traceren” aan:
- Kan ontsleutelen: zet de HTTPS van een programma met één klik terug van versleutelde tekst naar leesbare tekst (zie sectie 4), in plaats van alleen naar versleutelde tekst te kunnen kijken.
- Weet wie het verstuurde: elke flow is voorzien van het bronproces, zodat je het in één oogopslag aanwijst, zelfs in een drukke omgeving.
- Kan de achtergrond van de tegenpartij traceren: klik op een extern IP-adres om direct naar het hostprofiel te gaan (toewijzing / geografie / certificaat).
- Kan het uit elkaar halen en begrijpen: vastgelegde data wordt automatisch gedecomprimeerd, het formaat wordt herkend en gestructureerd weergegeven, en eigen protocollen kunnen worden gedecodeerd met een eigen decoder (zie sectie 6).
- Kan ook Wireshark voeden: wanneer je professionele pakket-voor-pakket-analyse nodig hebt, stuur het verkeer met één klik live door naar Wireshark, waar het als leesbare tekst opent, zelfs op een andere machine.
3. Zo leg je vast
Section titled “3. Zo leg je vast”- Kies een NIC: alle NICs op de machine worden automatisch weergegeven, met de op dit moment actieve standaard al geselecteerd.
- Stel eventueel vooraf een filter in: om alleen het verkeer vast te leggen dat je interesseert, voer je een capture-filter in. Veelgebruikte presets zijn ingebouwd (TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH en meer), met één klik toe te passen.
Het capture-filter wordt voordat je start ingesteld en kan niet meer worden gewijzigd zodra de capture loopt; het bepaalt “wat er wordt vastgelegd” op NIC-niveau. Om binnen al vastgelegde data te verfijnen, gebruik je het “weergavefilter” in de pakketweergave (zie sectie 6).

4. Leesbare tekst zien: drie stappen die versleutelde tekst omzetten naar leesbare tekst
Section titled “4. Leesbare tekst zien: drie stappen die versleutelde tekst omzetten naar leesbare tekst”Verkeer dat van de NIC wordt vastgelegd, is standaard versleutelde tekst (vastgelegd zoals het is, zonder man-in-the-middle). Leesbare tekst zien verloopt in drie niveaus, elk als aanvulling op het vorige:
- Automatische ontsleuteling: veelgebruikte programma’s zoals browsers en Electron-apps zijn doorgaans al leesbare tekst op het moment dat ze worden vastgelegd, zonder extra stappen.
- Handmatig “Ontsleutel dit programma”: voor programma’s die niet automatisch kunnen worden ontsleuteld, klik je op “Ontsleutel dit programma”, selecteer je het, en het versleutelde verkeer ervan wordt ontsleuteld. Meerdere programma’s tegelijk ontsleutelen wordt ondersteund.
- Twee versterkende schakelaars:
- Het programma herstarten: start het doel helemaal opnieuw op, zodat zelfs het versleutelde verkeer van de vroege opstartfase samen met de rest wordt ontsleuteld.
- Kindprocessen met één klik meenemen: sommige programma’s versturen en ontvangen verkeer via kindprocessen; vink dit aan om de kindprocessen ook mee te nemen, zodat niets wordt gemist.
Veelgebruikte programma’s zijn al leesbare tekst op het moment dat ze worden vastgelegd, en voor de rest volstaat één handmatige klik op “Ontsleutel dit programma” om ze ook te ontsleutelen. Versleutelde tekst omzetten naar leesbare tekst is meestal in één stap geregeld.
5. Twee weergaven: pakket voor pakket, en per verbinding
Section titled “5. Twee weergaven: pakket voor pakket, en per verbinding”- Pakketweergave: bekijk elk pakket een voor een, net als bij een professionele capture-tool. Selecteer een frame om de frame-info, de ruwe bytes, en de laag voor laag uitgeklapte protocolboom te zien. Het zoekvak ondersteunt weergavefilters in Wireshark-stijl (zoals
tcp.port==443,tls.handshake), met live syntaxvalidatie terwijl je typt, zodat je alles binnen de volledige set vastgelegde data kunt aanwijzen.

- Verbindingsweergave: voeg verspreide pakketten samen tot afzonderlijke verbindingen, en gebruik “Follow Stream” om het volledige verzenden/ontvangen van een verbinding van begin tot eind te zien; HTTP / DNS en andere kunnen ook gestructureerd worden bekeken.

- Acties met de rechtermuisknop: klik met rechts op een frame om alleen deze verbinding te bekijken / naar deze verbinding te filteren (je weergave versmallen tot deze ene), het frame te markeren, het bron-/doeladres te kopiëren, of voor het externe IP-adres direct naar hostprofiel bekijken / ping / poortscan te gaan om de volgende stap van je onderzoek te zetten.
- De twee weergaven zijn onderling gekoppeld (spring vanuit een verbinding terug naar de ruwe pakketten, of volg vanuit een pakket de hele verbinding).
- Statistieken: overzichten in drie tabellen (protocolhiërarchie, gesprekken, endpoints), optioneel beperkt tot alleen de huidige filterresultaten, om snel te zien “wie gebruikt de bandbreedte, en met wie praten ze.”
- Op elk moment pauzeren: pauzeer midden in de capture om te bekijken wat je tot nu toe hebt vastgelegd, je te oriënteren, en verder te gaan. Bij lange sessies hoef je niet steeds te stoppen en opnieuw te starten.
6. Na de capture: begrijpen, decoderen
Section titled “6. Na de capture: begrijpen, decoderen”Hetzelfde stukje data kan op meerdere manieren worden bekeken, en de engine decodeert het automatisch voor je. Deze mogelijkheid geldt voor alle capture-methodes en dus ook hier:
- Meerdere weergavemanieren: gestructureerd, opgemaakte tekst, hex en automatische herkenning, per richting onafhankelijk te wisselen. Zie Inspecteren en decoderen voor details.
- Herkent veel coderingen automatisch: ontsleutelde HTTP-inhoud wordt automatisch gedecomprimeerd voor gzip / brotli / deflate / zstd (ook meerdere gestapelde lagen), en JSON, XML, formulieren, protobuf / gRPC en plist worden automatisch herkend en opgemaakt, met inline voorbeeldweergave van afbeeldingen / audio / video. Zie Inspecteren en decoderen voor details.
- Eigen codecs: schrijf voor eigen / interne protocollen een kort script dat leert hoe ze te lezen zijn: frames splitsen, headers verwijderen en decomprimeren tot een leesbare structuur. Zie Eigen protocoldecodering voor details.
7. HTTP/3 afhandelen: ook QUIC-verkeer vastleggen en ontsleutelen
Section titled “7. HTTP/3 afhandelen: ook QUIC-verkeer vastleggen en ontsleutelen”Steeds meer apps schakelen over op HTTP/3 (QUIC), en QUIC was altijd al lastig vast te leggen en te ontsleutelen op NIC-niveau, waar veel tools simpelweg vastlopen. NIC-capture werkt op beide manieren: het kan de doel-app soepel laten teruggeschakeld van HTTP/3 naar een gewone verbinding, zodat die weer vastlegbaar en ontsleutelbaar wordt (dit herstelt zich automatisch zodra je de sessie stopt, zonder het normale gebruik van de app daarna te beïnvloeden), en wanneer de sleutels beschikbaar zijn kan het ook QUIC / HTTP/3 direct ontsleutelen en leesbare tekst tonen.
Dit betekent dat je zelfs voor apps die volledig op HTTP/3 zijn overgestapt, hun uitwisselingen als leesbare tekst kunt zien, in plaats van machteloos te staren naar een hoop QUIC waar je niets mee kunt.
8. Naadloze overdracht naar Wireshark voor diepgaande analyse
Section titled “8. Naadloze overdracht naar Wireshark voor diepgaande analyse”Wanneer je Wireshark-niveau professionele pakket-voor-pakket-analyse nodig hebt, hoef je niet steeds heen en weer te exporteren tussen twee tools: stuur het verkeer van deze sessie met één klik live door naar Wireshark, waar het als leesbare tekst opent zonder verdere configuratie. Ontsleutelingssleutels worden geleidelijk ingevoegd, live samen met het verkeer, zodat later binnenkomende sleutels worden aangevuld en er geen frames verloren gaan.
Het kan het verkeer zelfs naar Wireshark op een andere machine sturen, waarbij deze machine de capture en ontsleuteling voor zijn rekening neemt terwijl de andere zich op de analyse richt, een natuurlijke fit voor samenwerking op afstand en gezamenlijke probleemoplossing.
- Ook exporteren naar een bestand: exporteer met één klik een
.pcapngmet ingebedde ontsleutelingssleutels (open het in Wireshark en het is leesbare tekst) of een standaard HAR, en geef het aan een collega om direct te openen, zonder verder iets in te stellen.
Zo krijg je het beste van twee werelden: de “ontsleuteling + procestoewijzing + hostprofiel met één klik” van deze tool, plus de diepgaande pakket-voor-pakket-analyse van Wireshark.
9. Typische toepassingen
Section titled “9. Typische toepassingen”- Niet-HTTP-verkeer bekijken: DNS, QUIC, games, IoT, allerlei eigen protocollen. Wat de proxy niet kan vangen, kan de NIC wel.
- Begrijpen wat een programma allemaal op het netwerk doet: met welke adressen het daadwerkelijk verbinding maakt, welke protocollen het gebruikt, en of het “stille” verbindingen heeft.
- Niet de systeemproxy willen wijzigen of een certificaat willen installeren: leg direct vast, zonder enige inbreuk.
- Eigen protocollen aanpakken: gebruik na het vastleggen van de ruwe flow een eigen decoder om die terug te brengen naar een leesbare structuur.
- Overdragen aan Wireshark voor een diepgaande blik: wanneer je professionele pakket-voor-pakket-analyse nodig hebt, stuur het live door, waar het als leesbare tekst opent zonder verdere configuratie.
Terug naar Proxy-capture · Gerelateerd: Inspecteren en decoderen · Eigen protocoldecodering · Hostdetails