Перейти к содержимому

Захват через прокси

Модуль захвата через прокси Trace Eagle делает сетевые запросы вашего компьютера, телефона и других устройств локальной сети видимыми полностью, ясно и расшифрованными. Вы не только смотрите: можно редактировать, перехватывать, повторять, сравнивать и отслеживать их до источника.

Принципиальное отличие от «ещё одного инструмента захвата через прокси» в следующем: обычные инструменты прокси имеют только один путь — «настроить прокси + расшифровка через человека посередине». Как только они сталкиваются с программой, игнорирующей прокси, приложением с закреплением сертификата, программой на Java / Python, приватным бинарным протоколом или приложением, чувствительным к характеристикам трафика, — они, по сути, застревают. Trace Eagle закрывает эти слепые пятна одно за другим: захватывает даже программы, игнорирующие прокси, расшифровывает даже приложения с закреплением сертификата, восстанавливает даже приватные форматы, точно определяет, кто отправил поток, даже когда он погребён в системном шуме, и оставляет трафик неизменным для приложений, чувствительных к его характеристикам, наблюдая за ними с высокой достоверностью, не нарушая их обычную работу.

Список потоков: каждый запрос показывает метод, статус, хост/путь, тип, размер и исходный процесс в реальном времени


1. Чем это отличается от обычных инструментов захвата через прокси

Заголовок раздела «1. Чем это отличается от обычных инструментов захвата через прокси»

При одном и том же захвате через прокси разница не в том, «видите ли вы запрос», а в том, можете ли вы продолжать работать, столкнувшись со сложным случаем, и можете ли видеть глубже.

Сценарий Обычные инструменты захвата через прокси Trace Eagle
Программа игнорирует системный прокси (многие клиенты, фоновые сервисы, трафик прямого подключения) Не может захватить, полностью упускает Прозрачный прокси: настройка приложения не нужна; он всё равно захватывает программы, игнорирующие прокси, трафик прямого подключения и трафик, пересылаемый, когда машина работает как точка доступа/шлюз, и может точно ограничивать область по процессу
Приложение использует закрепление сертификата Ошибки / не подключается / приходится сдаться Один клик, чтобы снять проверку сертификата у целевого приложения, так что оно доверяет сертификату захвата и расшифровка продолжается; сайты, которые лучше не трогать, пропускаются точно мимо
Java, Python и подобные программы Даже с установленным системным сертификатом бесполезно, расшифровать не выходит Полный охват сертификатов: эти программы, которые обычные прокси не могут расшифровать, здесь тоже расшифровываются
Трафик HTTP/3 (QUIC) Слабая поддержка, в основном не виден Выбирайте по необходимости из трёх уровней: захват с понижением, достоверная сквозная передача (высокая точность) или настоящая расшифровка
Приватные / бинарные протоколы, сжатые и зашифрованные обёртки Куча мусора, который нельзя прочитать Автоматическая распаковка, автоматическое распознавание многих форматов, плюс пользовательское декодирование через правила разбиения на кадры или JS-скрипты
Куча процессов вперемешку, непонятно, кто отправил трафик Только IP / домен, приходится гадать Каждый поток помечен своим исходным приложением / процессом; клик по хосту тоже открывает его полное досье
Хочется определить, кто на другой стороне и что за клиент Ничего Клик по хосту даёт его досье о принадлежности / сертификате / географии, а также просмотр клиентского отпечатка (JA3/JA4) каждого соединения
Приложения, чувствительные к характеристикам трафика MITM-прокси меняет характеристики трафика, так что наблюдаемое вами уже не реальный трафик, и это может нарушить работу цели Несколько режимов высокой достоверности: сохраняют трафик как есть, не меняя его характеристики, так что вы не нарушаете работу целевого приложения и не теряете из виду реальную связь, которую анализируете
Способ доступа / параллельная работа По сути только прокси, одна сессия Прокси + прямой захват на сетевой карте + прозрачный захват + прямое подключение мобильных устройств, несколько сессий параллельно, несколько портов без взаимных помех

Короче: обычные инструменты делают «захват через прокси», а Trace Eagle делает «захват, расшифровку, понимание и определение, кто кому что отправил, в любой ситуации».


2. Гибкие способы доступа (два локальных режима доступа)

Заголовок раздела «2. Гибкие способы доступа (два локальных режима доступа)»

То, как трафик попадает в захват, зависит от сценария. На панели инструментов сессии, в разделе «Локальный прокси» → шестерёнка «Настройки доступа», можно выбрать один из двух режимов доступа:

  • Традиционный прокси (использует системный прокси, классический захват): доступ в один клик; браузеры, командная строка и большинство приложений автоматически идут через прокси. После остановки всё восстанавливается автоматически, так что обычный доступ в интернет гарантирован, а для аварийного завершения тоже предусмотрено восстановление. Ограничение: если приложение не использует системный прокси, захватить его нельзя.
  • Прозрачный прокси (весь трафик): слепое пятно обычных инструментов: настройка приложения не нужна; можно захватить весь локальный трафик (включая трафик прямого подключения и трафик, пересылаемый, когда машина работает как точка доступа/шлюз); приложения, не использующие системный прокси, захватываются точно так же; можно точно ограничить область по приложению/процессу, чтобы захватывать только несколько программ; на мобильных устройствах достаточно установить корневой сертификат, без необходимости вручную настраивать прокси.

Настройки доступа: два режима доступа, традиционный прокси / прозрачный прокси, в паре с тремя уровнями обработки HTTP/3: захват с понижением / достоверная сквозная передача / настоящая расшифровка

Захват устройств локальной сети: направьте прокси телефона/планшета/другого компьютера на эту машину, чтобы захватить его, с мастером установки сертификата в один клик (конфигурационный профиль iOS/macOS, установка сканированием QR-кода).

Подключение вышестоящего прокси цепочкой: сама сессия захвата может подключить сверху ещё один вышестоящий прокси (соединяя захват этой машины с корпоративным прокси, промежуточным узлом или другим вторичным прокси); связь прозрачна и не влияет на расшифровку.


Всё больше приложений переходит на HTTP/3, и обычные инструменты часто спотыкаются на этом. В «Настройках доступа» можно выбрать:

  • Блокировать (захват с понижением): попытаться понизить HTTP/3 до HTTP/2, чтобы сделать его захватываемым (некоторые приложения этого не поддерживают).
  • Игнорировать (достоверная сквозная передача): пересылать как есть без расшифровки, высокая точность, не нарушает запросы данных программы.
  • Расшифровать (настоящий MITM для H3): по-настоящему захватывать и расшифровывать, просматривая открытый текст так же, как обычный HTTPS.

Традиционный прокси поддерживает «Блокировать / Игнорировать»; «Расшифровать» нужно использовать в режиме прозрачного прокси.


4. Возможности расшифровки: больше, чем «просто установить сертификат»

Заголовок раздела «4. Возможности расшифровки: больше, чем «просто установить сертификат»»

Расшифровка в обычных инструментах — это «установить один системный сертификат + прокси-посредник», что проваливается при малейшей защите. Trace Eagle — это комбинация приёмов:

  • Расшифровка HTTPS в один клик: встроенная система сертификатов; установите один раз для непрерывной расшифровки.
  • Установка с полным охватом сертификатов: один клик покрывает системный сертификат везде. Java, Python и подобные программы, которые обычные прокси не могут расшифровать даже с установленным системным сертификатом, здесь тоже расшифровываются.
  • Снятие закрепления сертификата (убрать pinning): для приложений, использующих закрепление и обычно отклоняющих соединение с ошибкой сразу же, один клик снимает у них проверку сертификата, и расшифровка продолжается.
  • Белый список / список разрешений / чёрный список: белый список расшифровывает только указанные домены и пропускает остальные напрямую; список разрешений пропускает строго проверяемые сайты как есть без расшифровки, чтобы избежать ошибок; чёрный список сразу отбрасывает домены, которые вы не хотите пропускать.

Настройки области расшифровки: переключатель чёрный/белый список, список разрешений, чёрный список, плюс вышестоящий прокси и пользовательский DNS


5. Несколько сессий / несколько прокси параллельно

Заголовок раздела «5. Несколько сессий / несколько прокси параллельно»
  • Открывайте сразу несколько сессий захвата; каждая — независимая вкладка, которую можно запускать/останавливать/переключать по отдельности.
  • Сессии полностью изолированы: независимые списки потоков, детали, состояние выбора и конфигурация; несколько сессий прокси могут каждая слушать свой порт и работать одновременно.
  • Прокси, прямой захват на сетевой карте, прозрачный захват и прямое подключение мобильных устройств можно запускать одновременно и сочетать по сценарию, не влияя друг на друга.

Протокол Поддерживаемая возможность
HTTP / HTTPS Полный разбор запроса-ответа, просмотр открытого текста
HTTP/2 Нативный разбор, просмотр так же, как для HTTP/1.1
HTTP/3 (QUIC) Три уровня на выбор: захват с понижением / достоверная сквозная передача / настоящая расшифровка (см. выше)
WebSocket Покадровый показ отправленных и полученных сообщений (текст/бинарные/ping/pong, с пометкой направления)
Server-Sent Events (SSE) Потоки событий показываются по одному событию
gRPC / protobuf Разбор структуры полей без необходимости в .proto
Сырой TCP / UDP Захват сырых данных даже для не-HTTP пользовательских протоколов
SOCKS5 Использует тот же порт для доступа; поддерживаются и CONNECT, и UDP ASSOCIATE, а SOCKS-трафик тоже можно расшифровывать / пропускать сквозь

7. Наблюдение с высокой достоверностью: не нарушать работу цели, не менять характеристики трафика

Заголовок раздела «7. Наблюдение с высокой достоверностью: не нарушать работу цели, не менять характеристики трафика»

Обычный прокси-посредник меняет характеристики сетевых запросов, и в результате то, что вы наблюдаете, уже не реальный трафик приложения, а это ещё может повлиять на обычное поведение целевого приложения. Для приложений, чувствительных к характеристикам трафика (таких как сервисы, полагающиеся на отпечатки данных сетевых запросов для проверки согласованности), это одновременно нарушает работу цели и искажает анализ.

Trace Eagle предлагает несколько уровней достоверности, чтобы сохранить процесс захвата максимально «прозрачным» и близким к реальному каналу связи: достоверное наблюдение (наблюдать способом, максимально близким к реальному клиенту, минимизируя изменения характеристик трафика), восстановление отпечатка (сохранять согласованный клиентский отпечаток, даже когда трафик нужно переписать) и фиксированный профиль клиента (восстанавливать характеристики трафика до характеристик стандартного клиента: настольного Chrome / Firefox / Safari, мобильного Safari или случайного профиля). В сочетании с «H3 Игнорировать (достоверная сквозная передача)» даже для приложений, чувствительных к характеристикам трафика, можно захватывать и анализировать достоверно, не нарушая их обычную работу.


8. Атрибуция процессов и точная фильтрация

Заголовок раздела «8. Атрибуция процессов и точная фильтрация»
  • Видно с первого взгляда, кто отправил: каждый поток помечен своим исходным приложением/процессом, так что вы быстро находите цель в переполненном окружении — то, чего обычные инструменты, показывающие только IP/домен, дать не могут.
  • Захватывайте только то, что важно: сочетайте с прозрачным прокси, чтобы точно ограничить область захвата по приложению/процессу и отсечь шум.

Детали потока: соединение и исходный процесс, TLS и отпечаток соединения (JA3/JA4), статус расшифровки и автоматически разобранное содержимое запроса — всё на одном экране


9. Более мощные сопутствующие возможности (каждая в отдельной статье)

Заголовок раздела «9. Более мощные сопутствующие возможности (каждая в отдельной статье)»

После захвата возможности «понять, отследить, переписать, повторить, нагрузочно протестировать» углубляются каждая в своём направлении, поэтому они подробно описаны в отдельных статьях:

Возможность Одним предложением Подробности
Просмотр и декодирование 5 режимов просмотра + автоматическая распаковка/распознавание/форматирование + предпросмотр медиа прямо в интерфейсе + разбиение на кадры/скриптовое декодирование приватных протоколов Просмотр и декодирование
Досье хоста Клик по любому хосту даёт принадлежность (ASN/организация/регистрация) + карту географии + DNS + проверку TLS-сертификата + веб-технологический стек Досье хоста
Правила переписывания и перехват точками останова Простые правила редактируют запросы мышью, без скриптов + точки останова редактируют каждый вручную + скрипты/плагины как запасной вариант для сложных сценариев Правила переписывания и перехват точками останова
Конструирование и повтор запросов Отправка заново / редактирование и повтор в один клик + конструктор запросов + подпись динамическими значениями + коллекции/окружения + генерация кода Конструирование и повтор запросов
Сравнение запросов (Diff) Сравнение двух запросов/ответов бок о бок построчно, между сессиями и источниками, чтобы увидеть с первого взгляда, чем они отличаются Сравнение запросов
Повтор сессии и нагрузочное тестирование Повтор серии запросов по порядку пакетами; правый клик по одному запросу для «нагрузочно протестировать этот запрос», с пропускной способностью и перцентилями задержки в реальном времени Повтор сессии и нагрузочное тестирование

Есть также одна лёгкая, но удобная возможность:

  • Отпечаток соединения (JA3 / JA4): для любого HTTPS-соединения просмотрите его клиентский TLS-отпечаток (JA3 с сырой строкой, JA4, копирование в один клик). Он не меняется вместе с IP/UA и используется для определения типа клиента, а также помогает в отслеживании трафика и анализе безопасности.

  • Отладка интеграции API: mock для получения данных; перенаправление продакшен-эндпоинта в локальное/тестовое окружение.
  • Захват на мобильных устройствах: захват HTTPS-запросов приложения на телефоне для анализа эндпоинтов и устранения неполадок.
  • Работа со сложными случаями: программы, игнорирующие прокси, использующие закрепление сертификата, или написанные на Java / Python; обрабатывайте их прозрачным прокси + снятием закрепления + полным охватом сертификатов.
  • Анализ приватных протоколов: разбор структуры бинарных/пользовательских протоколов правилами разбиения на кадры или скриптами.
  • Устранение неполадок: ясно увидеть, что отправил запрос и что вернул сервер, чтобы точно определить проблемы с параметрами/возвратом/межсайтовым доступом.
  • Тестирование слабой сети / нагрузочное тестирование: используйте правила, чтобы имитировать плохую сеть; используйте нагрузочное тестирование, чтобы оценить пропускную способность эндпоинта.
  • Аудит безопасности / инвентаризация активов: проверка исходящих коммуникаций, поиск утечек чувствительной информации, проверка сертификатов, использование досье хостов для определения принадлежности другой стороны.
  • Анализ высокой достоверности: для приложений, чувствительных к характеристикам трафика, захват и анализ достоверно, при сохранении трафика как есть и без нарушения его поведения.

Захват через прокси — часть возможностей сбора данных Trace Eagle. Помимо метода прокси, продукт также поддерживает прямой захват на сетевой карте, прямое подключение мобильных устройств и другие способы захвата, которые можно гибко сочетать по сценарию.