Захват на сетевой карте
Захват через прокси показывает вам «ту часть трафика, что идёт через прокси»; захват на сетевой карте показывает всё, что проходит через сетевую карту этой машины: DNS, QUIC, игры, IoT, всевозможные проприетарные протоколы. Всё, что проходит через сетевую карту, прямо перед вами. И это на большой шаг дальше традиционных инструментов захвата: захваченный HTTPS — это больше не куча шифртекста, а нечто, что можно расшифровать, атрибутировать тому, кто его отправил, и разобрать, чтобы понять.
1. Чем это отличается от захвата через прокси
Заголовок раздела «1. Чем это отличается от захвата через прокси»Оба способа взаимно дополняют друг друга, у каждого своя область применения:
| Захват через прокси | Захват на сетевой карте | |
|---|---|---|
| Как вы подключаетесь | Направить трафик через прокси + довериться сертификату | Захватывать сырые пакеты на сетевой карте напрямую, без изменения каких-либо настроек и без установки сертификата |
| Что вы видите | Трафик, прошедший через прокси, в основном HTTP(S) | Весь трафик на сетевой карте: DNS, QUIC, ICMP, ARP, любой TCP / UDP… |
| Открытый текст по умолчанию? | Открытый текст по умолчанию | Шифртекст по умолчанию; «Расшифровать эту программу» в один клик при необходимости (см. ниже) |
| Лучше всего для | Отладки HTTP API, переписывания / повтора | Просмотра не-HTTP трафика, наблюдения за всем, что программа делает в сети, избегания любых изменений на уровне системы |
Короче: захват через прокси «точен», захват на сетевой карте «полон». Если вы хотите знать, к каким адресам приложение тихо подключается и какие протоколы использует, захват на сетевой карте раскладывает всё как на ладони.
2. Чем это отличается от традиционных инструментов захвата на сетевой карте
Заголовок раздела «2. Чем это отличается от традиционных инструментов захвата на сетевой карте»Традиционные инструменты захвата на сетевой карте умеют получать пакеты, но захватываемый ими HTTPS представляет собой кучу шифртекста, и они также понятия не имеют, какая программа его отправила. Захват на сетевой карте строится на «умении захватывать» и добавляет «умение понимать, умение отслеживать»:
- Умеет расшифровывать: превратить HTTPS программы обратно из шифртекста в открытый текст в один клик (см. раздел 4), а не только смотреть на шифртекст.
- Знает, кто отправил: каждый поток помечен своим исходным процессом, так что вы точно определите его с первого взгляда даже в шумном окружении.
- Умеет отслеживать историю узла на другой стороне: кликните удалённый IP, чтобы перейти прямо к его досье хоста (принадлежность / география / сертификат).
- Умеет разбирать и понимать: захваченные данные автоматически распаковываются, определяется формат и они отображаются структурированно, а проприетарные протоколы можно декодировать пользовательским декодировщиком (см. раздел 6).
- Может также подавать данные в Wireshark: когда нужен профессиональный анализ пакет за пакетом, перешлите трафик живьём в Wireshark в один клик, где он открывается как открытый текст, даже на другой машине.
3. Как захватывать
Заголовок раздела «3. Как захватывать»- Выберите сетевую карту: все сетевые карты машины перечислены автоматически, с активной на данный момент выбранной по умолчанию.
- При желании задайте фильтр до старта: чтобы захватывать только интересующий вас трафик, введите фильтр захвата. Встроены распространённые пресеты (TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH и другое), применяются в один клик.
Фильтр захвата задаётся до старта и не может быть изменён во время работы захвата; он определяет, «что захватывается» на уровне сетевой карты. Чтобы сузить уже захваченные данные, используйте «фильтр отображения» в просмотре пакетов (см. раздел 6).

4. Увидеть открытый текст: три шага, превращающих шифртекст в открытый текст
Заголовок раздела «4. Увидеть открытый текст: три шага, превращающих шифртекст в открытый текст»Трафик, захваченный на сетевой карте, по умолчанию — шифртекст (захватывается как есть, без человека посередине). Получение открытого текста идёт в три уровня, каждый подстраховывает предыдущий:
- Автоматическая расшифровка: распространённые программы вроде браузеров и приложений на Electron обычно оказываются открытым текстом сразу же в момент захвата, без дополнительных шагов.
- Ручное «Расшифровать эту программу»: для программ, которые не удаётся расшифровать автоматически, нажмите «Расшифровать эту программу», выберите её, и её зашифрованный трафик будет расшифрован. Поддерживается расшифровка нескольких программ одновременно.
- Два усиливающих переключателя:
- Перезапустить программу: запустить цель с нуля, чтобы даже её зашифрованный трафик на раннем старте был расшифрован вместе с остальным.
- Обработать дочерние процессы в один клик: некоторые программы отправляют и получают трафик через дочерние процессы; отметьте этот пункт, чтобы обработать и дочерние процессы тоже, так что ничего не будет упущено.
Распространённые программы становятся открытым текстом сразу в момент захвата, а для остальных один ручной клик по «Расшифровать эту программу» тоже их расшифровывает. Превращение шифртекста в открытый текст обычно занимает один шаг.
5. Два вида просмотра: пакет за пакетом и по соединениям
Заголовок раздела «5. Два вида просмотра: пакет за пакетом и по соединениям»- Просмотр пакетов: смотрите каждый пакет по одному, как в профессиональном инструменте захвата. Выберите кадр, чтобы увидеть информацию о кадре, сырые байты и дерево протоколов, раскрытое слой за слоем. Строка поиска поддерживает фильтры отображения в стиле Wireshark (такие как
tcp.port==443,tls.handshake), с живой проверкой синтаксиса по мере ввода, так что можно точно найти что угодно во всём объёме захваченных данных.

- Просмотр по соединениям: пересобирает разрозненные пакеты в отдельные соединения и использует «Проследить поток», чтобы увидеть всю отправку/приём соединения целиком от начала до конца; HTTP / DNS и другое также можно просматривать структурированно.

- Действия по правому клику: кликните правой кнопкой по любому кадру, чтобы просмотреть только это соединение / отфильтровать до этого соединения (сузить просмотр до одного этого), пометить кадр, скопировать адрес источника / назначения, либо для удалённого IP перейти прямо к просмотру досье хоста / ping / сканированию портов, чтобы продолжить следующий шаг расследования.
- Оба вида связаны перекрёстно (перейти от соединения обратно к его сырым пакетам, или от пакета проследить всё соединение).
- Статистика: сводки в трёх таблицах (иерархия протоколов, диалоги, узлы), опционально только по результатам текущего фильтра, чтобы быстро увидеть, «кто использует полосу пропускания и с кем они разговаривают».
- Пауза в любой момент: приостановите захват посередине, чтобы посмотреть уже захваченное, сориентироваться и продолжить. На долгих сессиях не нужно постоянно останавливать и запускать заново.
6. После захвата: понять и декодировать
Заголовок раздела «6. После захвата: понять и декодировать»Один и тот же фрагмент данных можно просматривать несколькими способами, и движок декодирует его за вас автоматически. Эта возможность общая для всех способов захвата и применяется здесь тоже:
- Несколько способов просмотра: структурированный, форматированный текст, hex и автоопределение, переключаются независимо для каждого направления. Подробнее см. Просмотр и декодирование.
- Автоопределение множества кодировок: расшифрованное HTTP-содержимое автоматически распаковывается для gzip / brotli / deflate / zstd (в том числе несколько слоёв подряд), а JSON, XML, формы, protobuf / gRPC и plist автоматически определяются и форматируются, с предпросмотром изображений / аудио / видео прямо в интерфейсе. Подробнее см. Просмотр и декодирование.
- Пользовательские декодировщики: для проприетарных / внутренних протоколов напишите короткий скрипт, чтобы научить инструмент их читать, разбивая на кадры, снимая заголовки и распаковывая в читаемую структуру. Подробнее см. Декодирование пользовательских протоколов.
7. Обработка HTTP/3: захват и расшифровка трафика QUIC тоже
Заголовок раздела «7. Обработка HTTP/3: захват и расшифровка трафика QUIC тоже»Всё больше приложений переходит на HTTP/3 (QUIC), а QUIC всегда было трудно захватывать и расшифровывать на уровне сетевой карты, где многие инструменты просто останавливаются. Захват на сетевой карте работает в обе стороны: он может заставить целевое приложение плавно откатиться с HTTP/3 на обычное соединение, чтобы оно снова стало захватываемым и расшифровываемым (восстанавливается автоматически при остановке сессии, не влияя на обычное использование приложения после этого), а когда ключи доступны, он также может расшифровывать QUIC / HTTP/3 напрямую и показывать открытый текст.
Это означает, что даже для приложений, полностью перешедших на HTTP/3, вы всё ещё можете увидеть их обмен открытым текстом, вместо того чтобы беспомощно смотреть на кучу недоступного QUIC.
8. Плавная передача в Wireshark для глубокого анализа
Заголовок раздела «8. Плавная передача в Wireshark для глубокого анализа»Когда нужен профессиональный анализ пакет за пакетом на уровне Wireshark, не нужно постоянно экспортировать данные туда-обратно между двумя инструментами: перешлите трафик этой сессии живьём в Wireshark в один клик, где он открывается как открытый текст без какой-либо дополнительной настройки. Ключи расшифровки внедряются постепенно, живьём вместе с трафиком, так что запоздавшие ключи подставляются, и ни один кадр не теряется.
Можно даже отправить трафик в Wireshark на другой машине, при этом эта машина занимается захватом и расшифровкой, а другая сосредоточена на анализе, — естественное решение для удалённого сотрудничества и совместного устранения неполадок.
- Экспорт в файл тоже: экспортируйте в один клик
.pcapngсо встроенными ключами расшифровки (откройте в Wireshark, и это будет открытый текст) или стандартный HAR, и передайте коллеге, чтобы он открыл его напрямую без какой-либо дополнительной настройки.
Так вы получаете лучшее из обоих миров: «расшифровку + атрибуцию процесса + досье хоста в один клик» этого инструмента плюс глубокий анализ пакет за пакетом от Wireshark.
9. Типичные сценарии
Заголовок раздела «9. Типичные сценарии»- Просмотр не-HTTP трафика: DNS, QUIC, игры, IoT, всевозможные проприетарные протоколы. Всё, что не может поймать прокси, ловит сетевая карта.
- Понимание всего, что программа делает в сети: к каким адресам она реально подключается, какие протоколы использует и есть ли у неё какие-либо «тихие» соединения.
- Нежелание менять системный прокси или устанавливать сертификат: захват напрямую, никакого вмешательства.
- Работа с проприетарными протоколами: после захвата сырого потока используйте пользовательский декодировщик, чтобы восстановить его в читаемую структуру.
- Передача в Wireshark для глубокого погружения: когда нужен профессиональный анализ пакет за пакетом, перешлите живьём, где он открывается как открытый текст без какой-либо дополнительной настройки.
Назад к Захвату через прокси · Смотрите также: Просмотр и декодирование · Декодирование пользовательских протоколов · Досье хоста