Ga naar inhoud

NIC-capture

Proxy-capture toont je “het deel van het verkeer dat via de proxy loopt”; NIC-capture toont je alles wat over de NIC van deze machine loopt: DNS, QUIC, games, IoT, allerlei eigen protocollen. Alles wat over de NIC gaat, ligt vlak voor je. En het gaat een flinke stap verder dan traditionele capture-tools: de HTTPS die je vastlegt is niet langer een hoop versleutelde tekst, maar iets wat je kunt ontsleutelen, kunt toewijzen aan wie het verstuurde, en uit elkaar kunt halen om te begrijpen.


De twee zijn complementaire manieren om vast te leggen, elk met zijn eigen toepassingen:

Proxy-capture NIC-capture
Hoe je aansluit Verkeer via een proxy leiden + een certificaat vertrouwen De ruwe pakketten rechtstreeks op de NIC vastleggen, zonder instellingen te wijzigen of een certificaat te installeren
Wat je ziet Verkeer dat via de proxy liep, voornamelijk HTTP(S) Al het verkeer op de NIC: DNS, QUIC, ICMP, ARP, elke TCP / UDP…
Standaard leesbare tekst? Standaard leesbare tekst Standaard versleutelde tekst; indien nodig met één klik “Ontsleutel dit programma” (zie hieronder)
Het meest geschikt voor HTTP-API’s debuggen, herschrijven / opnieuw versturen Niet-HTTP-verkeer bekijken, alles zien wat een programma op het netwerk doet, elke systeemwijziging vermijden

Kortom: proxy-capture is “precies”, NIC-capture is “volledig”. Wil je precies weten met welke adressen een app stilletjes verbinding maakt en welke protocollen die gebruikt, dan legt NIC-capture alles bloot.


2. Waarin het verschilt van traditionele NIC-capture-tools

Section titled “2. Waarin het verschilt van traditionele NIC-capture-tools”

Traditionele NIC-capture-tools kunnen de pakketten vastleggen, maar de HTTPS die ze vastleggen is een hoop versleutelde tekst, en ze hebben ook geen idee welk programma het verstuurde. NIC-capture bouwt voort op “kan vastleggen” en vult “kan begrijpen, kan traceren” aan:

  • Kan ontsleutelen: zet de HTTPS van een programma met één klik terug van versleutelde tekst naar leesbare tekst (zie sectie 4), in plaats van alleen naar versleutelde tekst te kunnen kijken.
  • Weet wie het verstuurde: elke flow is voorzien van het bronproces, zodat je het in één oogopslag aanwijst, zelfs in een drukke omgeving.
  • Kan de achtergrond van de tegenpartij traceren: klik op een extern IP-adres om direct naar het hostprofiel te gaan (toewijzing / geografie / certificaat).
  • Kan het uit elkaar halen en begrijpen: vastgelegde data wordt automatisch gedecomprimeerd, het formaat wordt herkend en gestructureerd weergegeven, en eigen protocollen kunnen worden gedecodeerd met een eigen decoder (zie sectie 6).
  • Kan ook Wireshark voeden: wanneer je professionele pakket-voor-pakket-analyse nodig hebt, stuur het verkeer met één klik live door naar Wireshark, waar het als leesbare tekst opent, zelfs op een andere machine.

  1. Kies een NIC: alle NICs op de machine worden automatisch weergegeven, met de op dit moment actieve standaard al geselecteerd.
  2. Stel eventueel vooraf een filter in: om alleen het verkeer vast te leggen dat je interesseert, voer je een capture-filter in. Veelgebruikte presets zijn ingebouwd (TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH en meer), met één klik toe te passen.

    Het capture-filter wordt voordat je start ingesteld en kan niet meer worden gewijzigd zodra de capture loopt; het bepaalt “wat er wordt vastgelegd” op NIC-niveau. Om binnen al vastgelegde data te verfijnen, gebruik je het “weergavefilter” in de pakketweergave (zie sectie 6).

Nieuwe sessie · NIC-capture: kies een NIC en start de capture, zonder instellingen te wijzigen en zonder certificaat te installeren; vastgelegde HTTPS kan daarna met één klik voor een programma worden ontsleuteld via “Ontsleutel dit programma”


4. Leesbare tekst zien: drie stappen die versleutelde tekst omzetten naar leesbare tekst

Section titled “4. Leesbare tekst zien: drie stappen die versleutelde tekst omzetten naar leesbare tekst”

Verkeer dat van de NIC wordt vastgelegd, is standaard versleutelde tekst (vastgelegd zoals het is, zonder man-in-the-middle). Leesbare tekst zien verloopt in drie niveaus, elk als aanvulling op het vorige:

  1. Automatische ontsleuteling: veelgebruikte programma’s zoals browsers en Electron-apps zijn doorgaans al leesbare tekst op het moment dat ze worden vastgelegd, zonder extra stappen.
  2. Handmatig “Ontsleutel dit programma”: voor programma’s die niet automatisch kunnen worden ontsleuteld, klik je op “Ontsleutel dit programma”, selecteer je het, en het versleutelde verkeer ervan wordt ontsleuteld. Meerdere programma’s tegelijk ontsleutelen wordt ondersteund.
  3. Twee versterkende schakelaars:
    • Het programma herstarten: start het doel helemaal opnieuw op, zodat zelfs het versleutelde verkeer van de vroege opstartfase samen met de rest wordt ontsleuteld.
    • Kindprocessen met één klik meenemen: sommige programma’s versturen en ontvangen verkeer via kindprocessen; vink dit aan om de kindprocessen ook mee te nemen, zodat niets wordt gemist.

Veelgebruikte programma’s zijn al leesbare tekst op het moment dat ze worden vastgelegd, en voor de rest volstaat één handmatige klik op “Ontsleutel dit programma” om ze ook te ontsleutelen. Versleutelde tekst omzetten naar leesbare tekst is meestal in één stap geregeld.


5. Twee weergaven: pakket voor pakket, en per verbinding

Section titled “5. Twee weergaven: pakket voor pakket, en per verbinding”
  • Pakketweergave: bekijk elk pakket een voor een, net als bij een professionele capture-tool. Selecteer een frame om de frame-info, de ruwe bytes, en de laag voor laag uitgeklapte protocolboom te zien. Het zoekvak ondersteunt weergavefilters in Wireshark-stijl (zoals tcp.port==443, tls.handshake), met live syntaxvalidatie terwijl je typt, zodat je alles binnen de volledige set vastgelegde data kunt aanwijzen.

Pakketweergave: echte pakketten vastgelegd op de NIC, aangewezen met het weergavefilter dns; selecteer een frame om de frame-info en de laag voor laag uitgeklapte protocolboom te zien

  • Verbindingsweergave: voeg verspreide pakketten samen tot afzonderlijke verbindingen, en gebruik “Follow Stream” om het volledige verzenden/ontvangen van een verbinding van begin tot eind te zien; HTTP / DNS en andere kunnen ook gestructureerd worden bekeken.

Verbindingsweergave: verspreide pakketten samengevoegd tot afzonderlijke verbindingen, met DNS / TLS / HTTP / ruwe TCP elk gecategoriseerd per protocol, zodat je in één oogopslag ziet met wie deze machine praat

  • Acties met de rechtermuisknop: klik met rechts op een frame om alleen deze verbinding te bekijken / naar deze verbinding te filteren (je weergave versmallen tot deze ene), het frame te markeren, het bron-/doeladres te kopiëren, of voor het externe IP-adres direct naar hostprofiel bekijken / ping / poortscan te gaan om de volgende stap van je onderzoek te zetten.
  • De twee weergaven zijn onderling gekoppeld (spring vanuit een verbinding terug naar de ruwe pakketten, of volg vanuit een pakket de hele verbinding).
  • Statistieken: overzichten in drie tabellen (protocolhiërarchie, gesprekken, endpoints), optioneel beperkt tot alleen de huidige filterresultaten, om snel te zien “wie gebruikt de bandbreedte, en met wie praten ze.”
  • Op elk moment pauzeren: pauzeer midden in de capture om te bekijken wat je tot nu toe hebt vastgelegd, je te oriënteren, en verder te gaan. Bij lange sessies hoef je niet steeds te stoppen en opnieuw te starten.

Hetzelfde stukje data kan op meerdere manieren worden bekeken, en de engine decodeert het automatisch voor je. Deze mogelijkheid geldt voor alle capture-methodes en dus ook hier:

  • Meerdere weergavemanieren: gestructureerd, opgemaakte tekst, hex en automatische herkenning, per richting onafhankelijk te wisselen. Zie Inspecteren en decoderen voor details.
  • Herkent veel coderingen automatisch: ontsleutelde HTTP-inhoud wordt automatisch gedecomprimeerd voor gzip / brotli / deflate / zstd (ook meerdere gestapelde lagen), en JSON, XML, formulieren, protobuf / gRPC en plist worden automatisch herkend en opgemaakt, met inline voorbeeldweergave van afbeeldingen / audio / video. Zie Inspecteren en decoderen voor details.
  • Eigen codecs: schrijf voor eigen / interne protocollen een kort script dat leert hoe ze te lezen zijn: frames splitsen, headers verwijderen en decomprimeren tot een leesbare structuur. Zie Eigen protocoldecodering voor details.

7. HTTP/3 afhandelen: ook QUIC-verkeer vastleggen en ontsleutelen

Section titled “7. HTTP/3 afhandelen: ook QUIC-verkeer vastleggen en ontsleutelen”

Steeds meer apps schakelen over op HTTP/3 (QUIC), en QUIC was altijd al lastig vast te leggen en te ontsleutelen op NIC-niveau, waar veel tools simpelweg vastlopen. NIC-capture werkt op beide manieren: het kan de doel-app soepel laten teruggeschakeld van HTTP/3 naar een gewone verbinding, zodat die weer vastlegbaar en ontsleutelbaar wordt (dit herstelt zich automatisch zodra je de sessie stopt, zonder het normale gebruik van de app daarna te beïnvloeden), en wanneer de sleutels beschikbaar zijn kan het ook QUIC / HTTP/3 direct ontsleutelen en leesbare tekst tonen.

Dit betekent dat je zelfs voor apps die volledig op HTTP/3 zijn overgestapt, hun uitwisselingen als leesbare tekst kunt zien, in plaats van machteloos te staren naar een hoop QUIC waar je niets mee kunt.


8. Naadloze overdracht naar Wireshark voor diepgaande analyse

Section titled “8. Naadloze overdracht naar Wireshark voor diepgaande analyse”

Wanneer je Wireshark-niveau professionele pakket-voor-pakket-analyse nodig hebt, hoef je niet steeds heen en weer te exporteren tussen twee tools: stuur het verkeer van deze sessie met één klik live door naar Wireshark, waar het als leesbare tekst opent zonder verdere configuratie. Ontsleutelingssleutels worden geleidelijk ingevoegd, live samen met het verkeer, zodat later binnenkomende sleutels worden aangevuld en er geen frames verloren gaan.

Het kan het verkeer zelfs naar Wireshark op een andere machine sturen, waarbij deze machine de capture en ontsleuteling voor zijn rekening neemt terwijl de andere zich op de analyse richt, een natuurlijke fit voor samenwerking op afstand en gezamenlijke probleemoplossing.

  • Ook exporteren naar een bestand: exporteer met één klik een .pcapng met ingebedde ontsleutelingssleutels (open het in Wireshark en het is leesbare tekst) of een standaard HAR, en geef het aan een collega om direct te openen, zonder verder iets in te stellen.

Zo krijg je het beste van twee werelden: de “ontsleuteling + procestoewijzing + hostprofiel met één klik” van deze tool, plus de diepgaande pakket-voor-pakket-analyse van Wireshark.


  • Niet-HTTP-verkeer bekijken: DNS, QUIC, games, IoT, allerlei eigen protocollen. Wat de proxy niet kan vangen, kan de NIC wel.
  • Begrijpen wat een programma allemaal op het netwerk doet: met welke adressen het daadwerkelijk verbinding maakt, welke protocollen het gebruikt, en of het “stille” verbindingen heeft.
  • Niet de systeemproxy willen wijzigen of een certificaat willen installeren: leg direct vast, zonder enige inbreuk.
  • Eigen protocollen aanpakken: gebruik na het vastleggen van de ruwe flow een eigen decoder om die terug te brengen naar een leesbare structuur.
  • Overdragen aan Wireshark voor een diepgaande blik: wanneer je professionele pakket-voor-pakket-analyse nodig hebt, stuur het live door, waar het als leesbare tekst opent zonder verdere configuratie.

Terug naar Proxy-capture · Gerelateerd: Inspecteren en decoderen · Eigen protocoldecodering · Hostdetails