Prozessbezogener Mitschnitt
Sie möchten den Datenverkehr nur eines einzigen Programms sehen, aber nicht den ganzen Aufwand mit „globalen Proxy ändern, Zertifikat installieren, nach dem Mitschnitt alles wiederherstellen“ betreiben? Geben Sie einen Startbefehl an, und das Tool startet das Programm für Sie, schneidet nur dieses eine mit und zeigt ab dem Start Klartext an, ganz ohne Störung anderer Software auf dem System. Der leichteste und sauberste Weg, ein einzelnes Programm mitzuschneiden.
1. Der Unterschied zum Proxy-Mitschnitt
Abschnitt betitelt „1. Der Unterschied zum Proxy-Mitschnitt“Ein einzelnes Programm über einen Proxy zu erfassen bedeutet meist, den System-Proxy zu ändern, ein Zertifikat dafür zu installieren und danach alles wiederherzustellen, mit dem Risiko, bei Unachtsamkeit andere Software zu beeinträchtigen. Der prozessbezogene Mitschnitt überspringt all das:
| Ein einzelnes Programm über Proxy (traditioneller Ansatz) | Prozessbezogener Mitschnitt | |
|---|---|---|
| Systemweiter Proxy | Muss geändert und danach wiederhergestellt werden | Unangetastet |
| Zertifikat installieren | Muss installiert werden, und das Programm muss ihm vertrauen | Nicht nötig |
| Auswirkung auf andere Software | Möglich (ein globaler Proxy greift über) | Keinerlei Störung (betrifft nur dieses eine Programm) |
| Klartext sehen | Nur wenn das Programm dem Zertifikat vertraut | Klartext ab dem Start (automatische Entschlüsselung für gängige Programme) |
| Aufräumen nach dem Mitschnitt | Proxy wiederherstellen / Zertifikat entfernen | Einfach stoppen, nichts wiederherzustellen |
Kurz gesagt: Der Proxy-Mitschnitt berührt „die ganze Maschine“, der prozessbezogene Mitschnitt berührt nur „dieses eine Programm“. Wenn Sie sauber sehen wollen, was ein einzelnes Programm sendet, ist dies der müheloseste Weg.
2. Wo er glänzt
Abschnitt betitelt „2. Wo er glänzt“- Schneidet nur dieses eine Programm mit, kein Eingriff: ändert weder den System-Proxy, noch installiert es ein Zertifikat oder rührt die NIC an; nur das Programm, das Sie starten, wird mitgeschnitten. Andere Software auf dem System bleibt völlig unberührt, und nach dem Mitschnitt gibt es nichts aufzuräumen.
- Klartext ab dem Start, breite Abdeckung: Browser, Desktop-Apps im Electron-Stil, Node, Python, Desktop-Java und Kommandozeilen-Tools, die gängige Krypto-Bibliotheken verwenden, zeigen alle Klartext, sobald ein Befehl sie startet, ohne dass am Programm etwas zu konfigurieren oder ein Zertifikat zu installieren wäre.
- Kindprozesse werden automatisch verfolgt: Kindprozesse, die das Programm intern startet, werden ebenfalls mitgeschnitten, nichts geht verloren.
- Sofort einsatzbereit: Um ein Skript zu debuggen oder eine API zu prüfen, geben Sie einen Befehl ein und beginnen den Mitschnitt, weitaus schneller als einen Proxy einzurichten und ein Zertifikat zu installieren.
3. So verwenden Sie es
Abschnitt betitelt „3. So verwenden Sie es“Geben Sie unter „Startbefehl“ den Befehl ein, den Sie ausführen möchten (zum Beispiel python3 app.py), und das Tool startet ihn und schneidet nur dessen Datenverkehr mit. Drei Ein-Klick-Beispiele sind integriert; klicken Sie eines an, um es automatisch auszufüllen, und passen Sie es nach Bedarf an:
- Browser-Beispiel: startet ein separates, sauberes Browserfenster (Ihr täglich genutzter Browser bleibt unangetastet) und schneidet es direkt mit; HTTP/3 (QUIC) wurde bereits für Sie so eingestellt, dass es auf eine gewöhnliche Verbindung zurückfällt, sodass es leicht mitzuschneiden und entschlüsselbar ist.
- Python-Beispiel: senden Sie mit einem Befehl eine Anfrage und sehen Sie den Klartext.
- Kommandozeilen-Beispiel: eine per Kommandozeile gestellte HTTPS-Anfrage wird sofort mitgeschnitten.

Wenn ein anderes Programm, das Sie mitschneiden, ebenfalls HTTP/3 verwendet, aktivieren Sie das sitzungsbezogene „HTTP/3 blockieren“, damit es auf eine gewöhnliche Verbindung zurückfällt, was es ebenso leicht mitzuschneiden und entschlüsselbar macht.
4. Klartext sehen: was funktioniert und was einen anderen Ansatz braucht
Abschnitt betitelt „4. Klartext sehen: was funktioniert und was einen anderen Ansatz braucht“- Gängige Programme: Klartext ab dem Start. Browser, Electron-Apps, Node, Python, Desktop-Java und Kommandozeilen-Tools, die gängige Krypto-Bibliotheken verwenden, zeigen nach dem Start direkt Klartext, ohne zusätzliche Schritte.

- Einige wenige Programme lassen sich nicht entschlüsseln (mitschneidbar, aber nur Chiffretext): Bestimmte Programme, die spezielle Krypto-Bibliotheken verwenden, liefern mit dieser Methode keinen Klartext. Am typischsten ist macOS’ eingebautes
curl(und Tools, die auf derselben System-Krypto-Bibliothek basieren); einige rein in Go geschriebene Programme sind ebenso.Um für per Kommandozeile gesendetes HTTPS Klartext zu sehen, ist das „Python-Beispiel“ am zuverlässigsten; oder wechseln Sie zu einem OpenSSL-basierten
curl. - Programme, die Proxy-Einstellungen vollständig ignorieren: deren Datenverkehr kann diese Methode nicht mitschneiden.
Für diese „verstärkten“ oder speziellen Programme wechseln Sie zum Mitschnitt auf Anwendungsebene, der den Klartext direkt aus dem Inneren des Programms liest und mit Certificate Pinning, hauseigener Verschlüsselung und System-Krypto-Bibliotheken gleichermaßen umgehen kann.
5. Nach dem Mitschnitt: verstehen, decodieren
Abschnitt betitelt „5. Nach dem Mitschnitt: verstehen, decodieren“Erfasste Daten durchlaufen die gleiche Verarbeitung wie bei jeder anderen Mitschnitt-Methode und sind ebenso leicht zu verstehen und zu decodieren:
- Mehrere Ansichten: strukturiert, aufbereiteter Text, Hex und automatische Erkennung, für jede Richtung unabhängig umschaltbar. Details siehe Inspizieren & Decodieren.
- Automatisches Dekomprimieren und Erkennen: dekomprimiert automatisch gzip / brotli / deflate / zstd (auch mehrere gestapelte Schichten) und erkennt und formatiert JSON, XML, Formulare, protobuf / gRPC und mehr automatisch.
- Eigene Codecs: Für proprietäre / hauseigene Protokolle schreiben Sie ein kurzes Skript, das dem Tool beibringt, sie zu lesen. Details siehe Eigene Protokoll-Decodierung.
6. Die Wahl zwischen den vier lokalen Mitschnitt-Methoden
Abschnitt betitelt „6. Die Wahl zwischen den vier lokalen Mitschnitt-Methoden“| Ihre Situation | Welche Sie verwenden |
|---|---|
| Ein reguläres Programm, das Sie mit einem Befehl starten können (Browser / Skript / CLI) | Prozessbezogener Mitschnitt (diese Seite, der müheloseste) |
| Sie möchten den gesamten Datenverkehr der Maschine, Nicht-HTTP-Verkehr oder alles sehen, was ein Programm im Netzwerk tut | NIC-Mitschnitt |
| Ein Programm, das bereits läuft / Certificate Pinning verwendet / den Proxy ignoriert / hauseigene Verschlüsselung nutzt / eine System-Krypto-Bibliothek verwendet | Mitschnitt auf Anwendungsebene |
| Eingebaute System-Apps auf macOS / hartnäckige Apps | Mitschnitt auf Systemebene |
7. Typische Anwendungsfälle
Abschnitt betitelt „7. Typische Anwendungsfälle“- Ein Skript debuggen / eine API prüfen: Sie haben ein Python-/Node-Skript geschrieben und möchten genau sehen, was es sendet und empfängt; geben Sie einen Befehl ein und sehen Sie direkt Klartext.
- Nur ein Programm beobachten: Ohne Systemeinstellungen zu ändern oder andere Software zu beeinträchtigen, sehen Sie nur, mit wem dieses eine Programm spricht.
- Eine saubere Browser-Sitzung mitschneiden: Nutzen Sie das Beispiel, um ein separates Browserfenster zu starten, frei vom Rauschen all der Plugins und Tabs Ihres alltäglichen Browsers.
Verwandt: Proxy-Mitschnitt · Mitschnitt auf Anwendungsebene · Inspizieren & Decodieren