Zum Inhalt springen

NIC-Aufzeichnung

Die Proxy-Aufzeichnung zeigt Ihnen „den Teil des Verkehrs, der über den Proxy läuft“; die NIC-Aufzeichnung zeigt Ihnen alles, was über die NIC dieses Rechners läuft: DNS, QUIC, Spiele, IoT, alle möglichen proprietären Protokolle. Alles, was die NIC überquert, liegt direkt vor Ihnen. Und sie geht einen großen Schritt weiter als herkömmliche Aufzeichnungswerkzeuge: Das aufgezeichnete HTTPS ist kein Haufen Chiffretext mehr, sondern etwas, das Sie entschlüsseln, dem Absender zuordnen und in seine Bestandteile zerlegen können, um es zu verstehen.


1. Worin es sich von der Proxy-Aufzeichnung unterscheidet

Abschnitt betitelt „1. Worin es sich von der Proxy-Aufzeichnung unterscheidet“

Beide sind einander ergänzende Wege zum Aufzeichnen, jeder mit seinen eigenen Anwendungsfällen:

Proxy-Aufzeichnung NIC-Aufzeichnung
Wie Sie einklinken Verkehr über einen Proxy leiten + einem Zertifikat vertrauen Die Rohpakete direkt auf der NIC aufzeichnen, ohne Einstellungen zu ändern oder ein Zertifikat zu installieren
Was Sie sehen können Verkehr, der über den Proxy lief, hauptsächlich HTTP(S) Sämtlicher Verkehr auf der NIC: DNS, QUIC, ICMP, ARP, beliebiges TCP / UDP…
Standardmäßig Klartext? Standardmäßig Klartext Standardmäßig Chiffretext; „Dieses Programm entschlüsseln“ per Klick bei Bedarf (siehe unten)
Am besten geeignet für Debugging von HTTP-APIs, Umschreiben / erneutes Senden Betrachten von nicht-HTTP-Verkehr, alles sehen, was ein Programm im Netzwerk tut, systemweite Änderungen vermeiden

Kurz gesagt: Die Proxy-Aufzeichnung ist „präzise“, die NIC-Aufzeichnung ist „vollständig“. Wenn Sie genau wissen möchten, mit welchen Adressen eine App still Verbindung aufnimmt und welche Protokolle sie nutzt, legt die NIC-Aufzeichnung alles offen.


2. Worin es sich von herkömmlichen NIC-Aufzeichnungswerkzeugen unterscheidet

Abschnitt betitelt „2. Worin es sich von herkömmlichen NIC-Aufzeichnungswerkzeugen unterscheidet“

Herkömmliche NIC-Aufzeichnungswerkzeuge können die Pakete greifen, aber das aufgezeichnete HTTPS ist ein Haufen Chiffretext, und sie haben auch keine Ahnung, welches Programm es gesendet hat. Die NIC-Aufzeichnung baut auf „kann aufzeichnen“ auf und ergänzt „kann verstehen, kann zurückverfolgen“:

  • Kann entschlüsseln: das HTTPS eines Programms per Klick von Chiffretext zurück in Klartext verwandeln (siehe Abschnitt 4), statt nur Chiffretext betrachten zu können.
  • Weiß, wer es gesendet hat: Jeder Datenfluss ist mit seinem Quellprozess gekennzeichnet, sodass Sie ihn selbst in einer geräuschvollen Umgebung auf einen Blick festmachen.
  • Kann den Hintergrund der Gegenstelle zurückverfolgen: Klicken Sie auf eine entfernte IP, um direkt zu deren Host-Profil zu gelangen (Zuordnung / Geografie / Zertifikat).
  • Kann es zerlegen und verstehen: Aufgezeichnete Daten werden automatisch dekomprimiert, das Format wird erkannt und strukturiert angezeigt, und proprietäre Protokolle können mit einem benutzerdefinierten Decoder dekodiert werden (siehe Abschnitt 6).
  • Kann auch Wireshark speisen: Wenn Sie eine professionelle paketweise Analyse benötigen, leiten Sie den Verkehr per Klick live an Wireshark weiter, wo er als Klartext geöffnet wird, selbst auf einem anderen Rechner.

  1. Eine NIC auswählen: Alle NICs des Rechners werden automatisch aufgelistet, wobei die aktuell aktive standardmäßig für Sie ausgewählt ist.
  2. Vor dem Start einen Filter setzen, wenn Sie möchten: Um nur den Verkehr aufzuzeichnen, der Sie interessiert, geben Sie einen Aufzeichnungsfilter ein. Gängige Voreinstellungen sind integriert (TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH und mehr), per Klick anzuwenden.

    Der Aufzeichnungsfilter wird vor dem Start gesetzt und kann nicht mehr geändert werden, sobald die Aufzeichnung läuft; er bestimmt auf NIC-Ebene, „was aufgezeichnet wird“. Um innerhalb bereits aufgezeichneter Daten einzugrenzen, verwenden Sie den „Anzeigefilter“ in der Paketansicht (siehe Abschnitt 6).

Neue Sitzung · NIC-Aufzeichnung: eine NIC auswählen und mit der Aufzeichnung beginnen, ohne Einstellungen zu ändern und ohne ein Zertifikat zu installieren; aufgezeichnetes HTTPS lässt sich anschließend per Klick mit „Dieses Programm entschlüsseln“ für ein Programm entschlüsseln


4. Klartext sehen: drei Schritte, die Chiffretext in Klartext verwandeln

Abschnitt betitelt „4. Klartext sehen: drei Schritte, die Chiffretext in Klartext verwandeln“

Von der NIC aufgezeichneter Verkehr ist standardmäßig Chiffretext (unverändert aufgezeichnet, ohne Man-in-the-Middle). Klartext zu sehen erfolgt in drei Stufen, von denen jede die vorige absichert:

  1. Automatische Entschlüsselung: Gängige Programme wie Browser und Electron-Apps sind üblicherweise schon im Moment der Aufzeichnung Klartext, ohne weitere Schritte.
  2. Manuelles „Dieses Programm entschlüsseln“: Klicken Sie bei Programmen, die sich nicht automatisch entschlüsseln lassen, auf „Dieses Programm entschlüsseln“, wählen Sie es aus, und sein verschlüsselter Verkehr wird entschlüsselt. Das Entschlüsseln mehrerer Programme gleichzeitig wird unterstützt.
  3. Zwei verstärkende Schalter:
    • Das Programm neu starten: das Ziel von Grund auf starten, sodass selbst sein verschlüsselter Verkehr in der frühen Startphase mit dem Rest entschlüsselt wird.
    • Kindprozesse per Klick behandeln: Manche Programme senden und empfangen Verkehr über Kindprozesse; aktivieren Sie dieses Kontrollkästchen, um auch die Kindprozesse zu behandeln, damit nichts verpasst wird.

Gängige Programme sind schon im Moment der Aufzeichnung Klartext, und für den Rest entschlüsselt ein manueller Klick auf „Dieses Programm entschlüsseln“ auch diese. Chiffretext in Klartext zu verwandeln ist meist eine Angelegenheit von einem Schritt.


  • Paketansicht: jedes Paket einzeln betrachten, genau wie bei einem professionellen Aufzeichnungswerkzeug. Wählen Sie einen Frame, um die Frame-Info, die Rohbytes und den Schicht für Schicht aufgeklappten Protokollbaum zu sehen. Das Suchfeld unterstützt Anzeigefilter im Wireshark-Stil (etwa tcp.port==443, tls.handshake), mit Live-Syntaxprüfung während der Eingabe, sodass Sie alles innerhalb der gesamten aufgezeichneten Datenmenge festmachen können.

Paketansicht: echte, von der NIC aufgezeichnete Pakete, mit dem Anzeigefilter dns festgemacht; wählen Sie einen Frame, um die Frame-Info und den Schicht für Schicht aufgeklappten Protokollbaum zu sehen

  • Verbindungsansicht: verstreute Pakete zu einzelnen Verbindungen zusammensetzen und mit „Follow Stream“ das gesamte Senden/Empfangen einer Verbindung von Anfang bis Ende sehen; HTTP / DNS und andere können auch strukturiert betrachtet werden.

Verbindungsansicht: verstreute Pakete zu einzelnen Verbindungen zusammengesetzt, mit DNS / TLS / HTTP / rohem TCP jeweils nach Protokoll kategorisiert, sodass Sie auf einen Blick sehen, mit wem dieser Rechner spricht

  • Rechtsklick-Aktionen: Rechtsklicken Sie auf einen beliebigen Frame, um nur diese Verbindung anzuzeigen / auf diese Verbindung zu filtern (Ihre Ansicht auf diese eine eingrenzen), den Frame zu markieren, die Quell- / Zieladresse zu kopieren oder für die entfernte IP direkt zu Host-Profil anzeigen / Ping / Portscan zu gelangen, um den nächsten Schritt Ihrer Untersuchung anzugehen.
  • Die beiden Ansichten verweisen wechselseitig aufeinander (von einer Verbindung zurück zu ihren Rohpaketen springen oder von einem Paket der gesamten Verbindung folgen).
  • Statistik: Zusammenfassungen über drei Tabellen (Protokollhierarchie, Konversationen, Endpunkte), wahlweise nur über die aktuellen Filterergebnisse, um schnell zu sehen, „wer die Bandbreite nutzt und mit wem er spricht“.
  • Jederzeit pausieren: mitten in der Aufzeichnung pausieren, um das bisher Aufgezeichnete zu betrachten, sich zu orientieren und fortzufahren. Bei langen Sitzungen müssen Sie nicht ständig starten und stoppen.

Dasselbe Datenstück lässt sich auf mehrere Arten betrachten, und die Engine dekodiert es automatisch für Sie. Diese Fähigkeit ist allen Aufzeichnungsmethoden gemein und gilt auch hier:

  • Mehrere Arten zu betrachten: strukturiert, verschönerter Text, hexadezimal und automatische Erkennung, für jede Richtung unabhängig umschaltbar. Siehe Untersuchen und dekodieren für Details.
  • Erkennt viele Kodierungen automatisch: Entschlüsselter HTTP-Inhalt wird automatisch für gzip / brotli / deflate / zstd dekomprimiert (einschließlich mehrerer gestapelter Schichten), und JSON, XML, Formulare, protobuf / gRPC und plist werden automatisch erkannt und verschönert, wobei Bilder / Audio / Video eingebettet in der Vorschau angezeigt werden. Siehe Untersuchen und dekodieren für Details.
  • Benutzerdefinierte Codecs: Schreiben Sie für proprietäre / eigene Protokolle ein kurzes Skript, das ihm beibringt, wie sie zu lesen sind, indem es Frames aufteilt, Header entfernt und in eine lesbare Struktur dekomprimiert. Siehe Benutzerdefinierte Protokoll-Dekodierung für Details.

7. HTTP/3 behandeln: auch QUIC-Verkehr aufzeichnen und entschlüsseln

Abschnitt betitelt „7. HTTP/3 behandeln: auch QUIC-Verkehr aufzeichnen und entschlüsseln“

Immer mehr Apps wechseln zu HTTP/3 (QUIC), und QUIC war auf NIC-Ebene schon immer schwer aufzuzeichnen und schwer zu entschlüsseln, weshalb viele Tools hier schlicht aufgeben. Die NIC-Aufzeichnung funktioniert auf beide Arten: Sie kann die Ziel-App sanft von HTTP/3 auf eine gewöhnliche Verbindung zurückfallen lassen, sodass sie wieder aufzeichenbar und entschlüsselbar wird (sie stellt sich automatisch wieder her, wenn Sie die Sitzung stoppen, ohne die normale Nutzung der App danach zu beeinträchtigen), und wenn die Schlüssel verfügbar sind, kann sie auch QUIC / HTTP/3 direkt entschlüsseln und Klartext anzeigen.

Das bedeutet, dass Sie selbst bei Apps, die vollständig auf HTTP/3 umgestiegen sind, weiterhin ihre Klartext-Austausche sehen können, statt hilflos auf einen Haufen QUIC zu starren, den Sie nicht anfassen können.


8. Nahtlose Übergabe an Wireshark für eine tiefe Analyse

Abschnitt betitelt „8. Nahtlose Übergabe an Wireshark für eine tiefe Analyse“

Wenn Sie eine professionelle paketweise Analyse auf Wireshark-Niveau benötigen, müssen Sie nicht ständig zwischen zwei Werkzeugen hin und her exportieren: Leiten Sie den Verkehr dieser Sitzung per Klick live in Wireshark weiter, wo er als Klartext geöffnet wird, ohne zusätzliche Konfiguration. Entschlüsselungsschlüssel werden inkrementell injiziert, live zusammen mit dem Verkehr, sodass spät eintreffende Schlüssel nachgetragen werden und keine Frames verloren gehen.

Es kann den Verkehr sogar an Wireshark auf einem anderen Rechner senden, wobei dieser Rechner Aufzeichnung und Entschlüsselung übernimmt, während der andere sich auf die Analyse konzentriert, wie geschaffen für Fernzusammenarbeit und gemeinsame Fehlersuche.

  • Auch in eine Datei exportieren: Exportieren Sie per Klick eine .pcapng mit eingebetteten Entschlüsselungsschlüsseln (öffnen Sie sie in Wireshark und sie ist Klartext) oder eine standardmäßige HAR und geben Sie sie einem Kollegen, der sie direkt öffnen kann, ohne sonst etwas einzustellen.

So erhalten Sie das Beste aus beiden Welten: die „Entschlüsselung + Prozesszuordnung + Host-Profil per Klick“ dieses Werkzeugs, dazu die tiefe paketweise Analyse von Wireshark.


  • Betrachten von nicht-HTTP-Verkehr: DNS, QUIC, Spiele, IoT, alle möglichen proprietären Protokolle. Was der Proxy nicht fangen kann, kann die NIC.
  • Verstehen von allem, was ein Programm im Netzwerk tut: mit welchen Adressen es tatsächlich Verbindung aufnimmt, welche Protokolle es nutzt und ob es „stille“ Verbindungen hat.
  • Den Systemproxy nicht ändern oder ein Zertifikat installieren wollen: direkt aufzeichnen, null Eingriff.
  • Proprietäre Protokolle angehen: nach dem Aufzeichnen des Rohdatenflusses mit einem benutzerdefinierten Decoder in eine lesbare Struktur zurückführen.
  • An Wireshark für einen tiefen Blick übergeben: Wenn Sie eine professionelle paketweise Analyse benötigen, leiten Sie ihn live weiter, wo er als Klartext geöffnet wird, ohne zusätzliche Konfiguration.

Zurück zur Proxy-Aufzeichnung · Verwandt: Untersuchen und dekodieren · Benutzerdefinierte Protokoll-Dekodierung · Host-Details