Ga naar inhoud

Proxy-capture

De proxy-capture-module van Trace Eagle brengt de netwerkverzoeken van je computer, je telefoon en andere apparaten op je LAN volledig, helder en ontsleuteld in beeld. Je kijkt niet alleen: je kunt ze bewerken, onderscheppen, opnieuw versturen, vergelijken en terugleiden naar de bron.

Het fundamentele verschil met “zoveelste proxy-capture-tool” is dit: gewone proxytools hebben maar één pad, “stel een proxy in + man-in-the-middle-ontsleuteling.” Zodra ze een programma tegenkomen dat de proxy negeert, een app die certificate pinning gebruikt, een Java- / Python-programma, een privaat binair protocol of een applicatie die gevoelig is voor verkeerskenmerken, lopen ze in feite vast. Trace Eagle vult deze blinde vlekken één voor één in: het legt zelfs programma’s vast die de proxy negeren, ontsleutelt zelfs apps met certificate pinning, reconstrueert zelfs private formaten, wijst zelfs aan wie een flow verstuurde als die begraven ligt in systeemruis, en houdt het verkeer onveranderd voor applicaties die gevoelig zijn voor verkeerskenmerken, en observeert ze met hoge betrouwbaarheid zonder hun normale werking te verstoren.

Flowlijst: elk verzoek toont in realtime methode, status, host/pad, type, grootte en bronproces


1. Waarin het verschilt van gewone proxy-capture-tools

Section titled “1. Waarin het verschilt van gewone proxy-capture-tools”

Bij dezelfde proxy-capture zit het verschil niet in “kun je het verzoek zien”, maar in of je kunt doorwerken wanneer je op een lastig geval stuit, en of je dieper kunt kijken.

Scenario Gewone proxy-capture-tools Trace Eagle
Programma negeert de systeemproxy (veel clients, achtergronddiensten, direct verbonden verkeer) Kan niet vastleggen, mist het volledig Transparante proxy: geen app-configuratie nodig; het legt nog steeds programma’s vast die de proxy negeren, direct verbonden verkeer en verkeer dat wordt doorgestuurd wanneer de machine als hotspot/gateway fungeert, en het kan nauwkeurig per proces afbakenen
App gebruikt certificate pinning Fouten / kan geen verbinding maken / moet opgeven Eén klik om de certificaatvalidatie van de doel-app op te heffen zodat die het capture-certificaat vertrouwt en de ontsleuteling doorgaat; sites die je liever niet aanraakt worden nauwkeurig doorgelaten
Java-, Python- en soortgelijke programma’s Zelfs met het systeemcertificaat geïnstalleerd nutteloos, kan niet ontsleutelen Volledige certificaatdekking: deze programma’s, die gewone proxy’s niet kunnen ontsleutelen, worden hier ook ontsleuteld
HTTP/3 (QUIC)-verkeer Zwakke ondersteuning, meestal niet zichtbaar Kies naar behoefte uit drie niveaus: teruggeschakelde capture, getrouw doorgeven (hoge betrouwbaarheid) of echte ontsleuteling
Private / binaire protocollen, gecomprimeerde en versleutelde omhulsels Een hoop onleesbare rommel Automatische decompressie, automatische herkenning van veel formaten, plus eigen decodering via framing-regels of JS-scripts
Een hoop processen door elkaar, geen idee welke het verkeer verstuurde Alleen IP / domein, je moet gokken Elke flow is voorzien van de bron-app / het bronproces; klik op de host om ook het volledige profiel op te zoeken
Wil weten wie de tegenpartij is en wat de client is Geen Klik op een host voor het toewijzings- / certificaat- / geoprofiel, en bekijk per verbinding de clientvingerafdruk (JA3/JA4)
Applicaties die gevoelig zijn voor verkeerskenmerken Een MITM-proxy verandert de kenmerken van het verkeer, dus wat je observeert is niet meer het echte verkeer, en het kan het doel verstoren Meerdere modi met hoge betrouwbaarheid: houd het verkeer zoals het is zonder de kenmerken te veranderen, zodat je noch de doel-app verstoort, noch het zicht verliest op de echte verbinding die je analyseert
Toegangsmethode / parallel werken In feite alleen de proxy, één sessie Proxy + directe NIC-capture + transparante capture + directe mobiele verbinding, meerdere sessies parallel, meerdere poorten zonder onderlinge storing

Kortom: gewone tools doen “proxy-capture”, terwijl Trace Eagle doet “vastleggen, ontsleutelen, begrijpen en weten wie het naar wie stuurde, wat de situatie ook is”.


2. Flexibele toegangsmethodes (twee lokale toegangsmodi)

Section titled “2. Flexibele toegangsmethodes (twee lokale toegangsmodi)”

Hoe verkeer de capture binnenkomt, hangt af van het scenario. In de sessie-werkbalk kun je onder “Proxy lokaal” → tandwiel “Toegangsinstellingen” kiezen tussen twee toegangsmodi:

  • Traditionele proxy (gebruikt de systeemproxy, klassieke capture): toegang met één klik; browsers, de commandoregel en de meeste apps lopen automatisch via de proxy. Na het stoppen wordt alles automatisch hersteld, zodat normale internettoegang gegarandeerd is, en er is ook een herstelmechanisme voor abnormale afsluitingen. Beperking: als een app de systeemproxy niet gebruikt, kan die niet worden vastgelegd.
  • Transparante proxy (al het verkeer): de blinde vlek van gewone tools: geen app-configuratie nodig; al het lokale verkeer (inclusief direct verbonden verkeer en verkeer dat wordt doorgestuurd wanneer de machine als hotspot/gateway fungeert) kan worden vastgelegd; apps die de systeemproxy niet gebruiken worden evengoed vastgelegd; je kunt nauwkeurig per app/proces afbakenen om slechts een paar programma’s vast te leggen; op mobiel installeer je alleen het root-certificaat, zonder handmatig een proxy in te stellen.

Toegangsinstellingen: twee toegangsmodi, traditionele proxy / transparante proxy, gecombineerd met drie niveaus van HTTP/3-afhandeling: teruggeschakelde capture / getrouw doorgeven / echte ontsleuteling

LAN-apparaten vastleggen: richt de proxy van een telefoon/tablet/andere computer op deze machine om die vast te leggen, met een installatiegids voor het certificaat in één klik (iOS/macOS-configuratieprofiel, installeren via QR-scan).

Een upstream-proxy koppelen: de capture-sessie zelf kan bovenop nog een upstream-proxy koppelen (de capture van deze machine verbinden met een bedrijfsproxy, jump host of andere secundaire proxy); de verbinding is transparant en beïnvloedt de ontsleuteling niet.


3. Drie niveaus van HTTP/3 (QUIC)-afhandeling

Section titled “3. Drie niveaus van HTTP/3 (QUIC)-afhandeling”

Steeds meer apps gebruiken HTTP/3, en gewone tools lopen hier vaak vast. In “Toegangsinstellingen” kun je kiezen:

  • Blokkeren (teruggeschakelde capture): probeer HTTP/3 terug te schakelen naar HTTP/2 om het vast te kunnen leggen (een paar apps ondersteunen dit niet).
  • Negeren (getrouw doorgeven): doorgeven zoals het is zonder te ontsleutelen, hoge betrouwbaarheid, verstoort de datarverzoeken van het programma niet.
  • Ontsleutelen (echte H3 MITM): echt vastleggen en ontsleutelen, en de leesbare tekst bekijken net als bij gewone HTTPS.

Traditionele proxy ondersteunt “Blokkeren / Negeren”; “Ontsleutelen” moet in de transparante-proxymodus worden gebruikt.


4. Ontsleutelingsmogelijkheden: meer dan “gewoon een certificaat installeren”

Section titled “4. Ontsleutelingsmogelijkheden: meer dan “gewoon een certificaat installeren””

De ontsleuteling van gewone tools is “installeer één systeemcertificaat + een proxy-man-in-the-middle”, wat bij de minste verdediging faalt. Trace Eagle is een combinatie van technieken:

  • HTTPS-ontsleuteling met één klik: een ingebouwd certificaatsysteem; eenmalig installeren voor doorlopende ontsleuteling.
  • Installatie met volledige certificaatdekking: één klik om het systeemcertificaat overal te dekken. Java-, Python- en soortgelijke programma’s, die gewone proxy’s zelfs met het systeemcertificaat geïnstalleerd niet kunnen ontsleutelen, worden hier ook ontsleuteld.
  • Certificate pinning opheffen (pinning verwijderen): voor apps die pinning gebruiken en de verbinding normaal gesproken direct met een fout zouden weigeren, heft één klik hun certificaatvalidatie op en gaat de ontsleuteling door.
  • Whitelist / toestaanlijst / bloklijst: de whitelist ontsleutelt alleen opgegeven domeinen en geeft de rest direct door; de toestaanlijst geeft strikt gevalideerde sites onveranderd door zonder te ontsleutelen om fouten te voorkomen; de bloklijst laat domeinen die je niet wilt doorlaten direct vallen.

Instellingen voor ontsleutelingsbereik: schakelaar zwarte lijst / whitelist, toestaanlijst, bloklijst, plus upstream-proxy en eigen DNS


5. Meerdere sessies / meerdere proxy’s parallel

Section titled “5. Meerdere sessies / meerdere proxy’s parallel”
  • Open meerdere capture-sessies tegelijk; elke is een onafhankelijk tabblad dat op zichzelf kan worden gestart/gestopt/gewisseld.
  • Sessies zijn volledig geïsoleerd: onafhankelijke flowlijsten, details, selectiestatus en configuratie; meerdere proxysessies kunnen elk op een andere poort luisteren en tegelijk werken.
  • Proxy, directe NIC-capture, transparante capture en directe mobiele verbinding kunnen tegelijk worden uitgevoerd en per scenario worden gecombineerd zonder elkaar te beïnvloeden.

Protocol Ondersteunde mogelijkheid
HTTP / HTTPS Volledige verzoek-antwoord-parsing, weergave in leesbare tekst
HTTP/2 Native parsing, kijkervaring gelijk aan HTTP/1.1
HTTP/3 (QUIC) Drie niveaus om uit te kiezen: teruggeschakelde capture / getrouw doorgeven / echte ontsleuteling (zie hierboven)
WebSocket Frame-voor-frame weergave van verzonden en ontvangen berichten (text/binary/ping/pong, met richting aangegeven)
Server-Sent Events (SSE) Eventstromen weergegeven event voor event
gRPC / protobuf Veldstructuren oplossen zonder dat de .proto nodig is
Ruwe TCP / UDP Ruwe data vastleggen, zelfs voor niet-HTTP eigen protocollen
SOCKS5 Deelt dezelfde poort voor toegang; zowel CONNECT als UDP ASSOCIATE worden ondersteund, en SOCKS-verkeer kan ook worden ontsleuteld / doorgegeven

7. Observatie met hoge betrouwbaarheid: verstoor het doel niet, verander de verkeerskenmerken niet

Section titled “7. Observatie met hoge betrouwbaarheid: verstoor het doel niet, verander de verkeerskenmerken niet”

Een gewone man-in-the-middle-proxy verandert de kenmerken van netwerkverzoeken, met als gevolg dat wat je observeert niet meer het echte verkeer van de app is, en het kan het normale gedrag van de doel-app beïnvloeden. Voor applicaties die gevoelig zijn voor verkeerskenmerken (zoals diensten die voor consistentiecontroles afhankelijk zijn van datavingerafdrukken van netwerkverzoeken) verstoort dit zowel het doel als de analyse.

Trace Eagle biedt meerdere betrouwbaarheidsniveaus om het capture-proces zo “transparant” en zo dicht bij de echte verbinding als mogelijk te houden: getrouwe observatie (observeren op de manier die het dichtst bij een echte client ligt, met minimale wijziging van de verkeerskenmerken), vingerafdrukreconstructie (een consistente clientvingerafdruk behouden zelfs wanneer verkeer moet worden herschreven), en vast clientprofiel (verkeerskenmerken herstellen naar die van een standaardclient: desktop Chrome / Firefox / Safari, mobiele Safari, of een willekeurig profiel). In combinatie met “H3 Negeren (getrouw doorgeven)” kun je zelfs voor applicaties die gevoelig zijn voor verkeerskenmerken getrouw vastleggen en analyseren terwijl je hun normale werking niet verstoort.


8. Procestoewijzing en nauwkeurig filteren

Section titled “8. Procestoewijzing en nauwkeurig filteren”
  • Zie in één oogopslag wie het verstuurde: elke flow is voorzien van de bron-app/het bronproces, zodat je snel het doel aanwijst in een drukke omgeving, iets wat gewone tools die alleen IP/domein tonen je niet kunnen geven.
  • Leg alleen vast wat je interesseert: combineer met de transparante proxy om de capture nauwkeurig per app/proces af te bakenen en de ruis buiten te sluiten.

Flowdetails: verbinding en bronproces, TLS- en verbindingsvingerafdruk (JA3/JA4), ontsleutelingsstatus, en de automatisch geparste verzoekinhoud, alles op één scherm


9. Krachtigere aanvullende mogelijkheden (elk een eigen artikel)

Section titled “9. Krachtigere aanvullende mogelijkheden (elk een eigen artikel)”

Zodra iets is vastgelegd, gaan “begrijpen, terugleiden, herschrijven, opnieuw versturen, belastingtesten” elk de diepte in, dus ze worden in aparte artikelen behandeld:

Mogelijkheid In één zin Details
Inspecteren en decoderen 5 kijkmodi + automatische decompressie/herkenning/opmaak + inline mediavoorbeeld + framing/scriptdecodering voor private protocollen Inspecteren en decoderen
Hostdetails Klik op een host voor toewijzing (ASN/organisatie/registratie) + geokaart + DNS + TLS-certificaatcontrole + web-techstack Hostdetails
Herschrijfregels en breakpoint-onderschepping Simpele regels bewerken verzoeken met klikken, geen scripting nodig + breakpoints bewerken er elk met de hand + scripts/plugins als terugval voor complexe scenario’s Herschrijfregels en breakpoint-onderschepping
Verzoeken samenstellen en opnieuw versturen Opnieuw versturen met één klik/bewerken-en-versturen + verzoeksamensteller + ondertekening met dynamische waarden + collecties/omgevingen + codegeneratie Verzoeken samenstellen en opnieuw versturen
Verzoeken vergelijken (Diff) Vergelijk twee verzoeken/antwoorden regel voor regel naast elkaar, over sessies en bronnen heen, om in één oogopslag te zien waar ze verschillen Verzoeken vergelijken
Sessie-replay en belastingtests Verstuur een reeks verzoeken op volgorde in batches opnieuw; klik met rechts op één ervan voor “belastingtest dit verzoek”, met realtime doorvoer en latentiepercentielen Sessie-replay en belastingtests

Er is ook nog één lichtgewicht maar handige mogelijkheid:

  • Verbindingsvingerafdruk (JA3 / JA4): bekijk voor elke HTTPS-verbinding de client-TLS-vingerafdruk (JA3 met ruwe string, JA4, kopiëren met één klik). Die verandert niet mee met IP/UA en wordt gebruikt om het clienttype te identificeren en om verkeerstracering en beveiligingsanalyse te ondersteunen.

  • API-integratie debuggen: mocken om data te produceren; een productie-endpoint doorsturen naar een lokale/testomgeving.
  • Mobiele capture: leg de HTTPS-verzoeken van een telefoon-app vast om endpoints te analyseren en problemen op te sporen.
  • De lastige gevallen aanpakken: programma’s die de proxy negeren, certificate pinning gebruiken of in Java / Python zijn geschreven; behandel ze met de transparante proxy + pinning verwijderen + volledige certificaatdekking.
  • Analyse van private protocollen: los de structuur van binaire/eigen protocollen op met framing-regels of scripts.
  • Storingen opsporen: zie helder wat het verzoek verstuurde en wat de server retourneerde, om parameter-/return-/cross-origin-problemen aan te wijzen.
  • Zwak-netwerktests / belastingtests: gebruik regels om een slecht netwerk te simuleren; gebruik belastingtests om de capaciteit van een endpoint te beoordelen.
  • Beveiligingsaudit / inventarisatie van assets: bekijk uitgaande communicatie, controleer op lekken van gevoelige informatie, verifieer certificaten en gebruik hostprofielen om de toewijzing van de tegenpartij te achterhalen.
  • Analyse met hoge betrouwbaarheid: leg voor applicaties die gevoelig zijn voor verkeerskenmerken getrouw vast en analyseer, terwijl je het verkeer zoals het is houdt en het gedrag niet verstoort.

Proxy-capture is onderdeel van de dataverzamelmogelijkheden van Trace Eagle. Naast de proxymethode ondersteunt het product ook directe NIC-capture, directe verbinding met mobiele apparaten en andere capture-methodes, die per scenario flexibel kunnen worden gecombineerd.