Zum Inhalt springen

Proxy-Aufzeichnung

Das Proxy-Aufzeichnungsmodul von Trace Eagle bringt die Netzwerkanfragen Ihres Computers, Ihres Smartphones und anderer Geräte in Ihrem LAN vollständig, klar und entschlüsselt ins Blickfeld. Sie schauen nicht nur zu: Sie können sie bearbeiten, abfangen, erneut senden, vergleichen und bis zur Quelle zurückverfolgen.

Der grundlegende Unterschied zu „noch einem weiteren Proxy-Aufzeichnungswerkzeug“ ist dieser: Gewöhnliche Proxy-Tools haben nur einen Weg, „einen Proxy setzen + Man-in-the-Middle-Entschlüsselung“. In dem Moment, in dem ihnen ein Programm begegnet, das den Proxy ignoriert, eine App mit Certificate Pinning, ein Java-/Python-Programm, ein privates Binärprotokoll oder eine Anwendung, die auf Verkehrsmerkmale reagiert, sind sie im Grunde am Ende. Trace Eagle schließt diese blinden Flecken einen nach dem anderen: Es zeichnet sogar Programme auf, die den Proxy ignorieren, entschlüsselt sogar Apps mit Certificate Pinning, rekonstruiert sogar private Formate, ermittelt genau, wer einen Datenfluss gesendet hat, selbst wenn er im Systemrauschen begraben liegt, und hält den Verkehr für Anwendungen, die auf Verkehrsmerkmale reagieren, unverändert, um sie mit hoher Wiedergabetreue zu beobachten, ohne ihren normalen Betrieb zu stören.

Datenflussliste: Jede Anfrage zeigt in Echtzeit Methode, Status, Host/Pfad, Typ, Größe und Quellprozess


1. Worin es sich von gewöhnlichen Proxy-Aufzeichnungswerkzeugen unterscheidet

Abschnitt betitelt „1. Worin es sich von gewöhnlichen Proxy-Aufzeichnungswerkzeugen unterscheidet“

Bei derselben Proxy-Aufzeichnung liegt der Unterschied nicht darin, „ob Sie die Anfrage sehen können“, sondern darin, ob Sie weiterarbeiten können, wenn Sie auf einen harten Fall stoßen, und ob Sie tiefer blicken können.

Szenario Gewöhnliche Proxy-Aufzeichnungswerkzeuge Trace Eagle
Programm ignoriert den Systemproxy (viele Clients, Hintergrunddienste, direkt verbundener Verkehr) Kann nicht aufzeichnen, verpasst es vollständig Transparenter Proxy: keine App-Konfiguration nötig; er zeichnet trotzdem Programme auf, die den Proxy ignorieren, direkt verbundenen Verkehr und Verkehr, der weitergeleitet wird, wenn der Rechner als Hotspot/Gateway dient, und kann präzise nach Prozess eingegrenzt werden
App nutzt Certificate Pinning Fehler / keine Verbindung / muss aufgeben Mit einem Klick lässt sich die Zertifikatsprüfung der Ziel-App auflösen, sodass sie dem Aufzeichnungszertifikat vertraut und die Entschlüsselung weiterläuft; Seiten, die Sie lieber nicht anfassen möchten, werden präzise durchgereicht
Java-, Python- und ähnliche Programme Selbst mit installiertem Systemzertifikat nutzlos, keine Entschlüsselung möglich Vollständige Zertifikatsabdeckung: Diese Programme, die gewöhnliche Proxys nicht entschlüsseln können, werden auch hier entschlüsselt
HTTP/3-Verkehr (QUIC) Schwache Unterstützung, meist nicht sichtbar Wählen Sie je nach Bedarf aus drei Stufen: herabgestufte Aufzeichnung, originalgetreues Durchreichen (hohe Wiedergabetreue) oder echte Entschlüsselung
Private / binäre Protokolle, komprimierte und verschlüsselte Hüllen Ein Haufen unlesbarer Datenmüll Automatisches Dekomprimieren, automatisches Erkennen vieler Formate, dazu benutzerdefiniertes Dekodieren per Framing-Regeln oder JS-Skripten
Ein Haufen durcheinandergemischter Prozesse, keine Ahnung, welcher den Verkehr gesendet hat Nur IP / Domain, Sie müssen raten Jeder Datenfluss ist mit seiner Quell-App / seinem Quellprozess gekennzeichnet; klicken Sie auf den Host, um auch dessen vollständiges Profil nachzuschlagen
Sie möchten wissen, wer die Gegenstelle ist und welcher Client kommuniziert Nichts Klicken Sie auf einen Host für dessen Zuordnung / Zertifikat / Geo-Profil und sehen Sie den Client-Fingerabdruck (JA3/JA4) jeder Verbindung
Anwendungen, die auf Verkehrsmerkmale reagieren Ein MITM-Proxy verändert die Merkmale des Verkehrs, sodass das Beobachtete nicht mehr der echte Verkehr ist, und er kann das Ziel stören Mehrere Modi mit hoher Wiedergabetreue: Der Verkehr bleibt unverändert, ohne dass seine Merkmale geändert werden, sodass Sie weder die Ziel-App stören noch die echte Verbindung aus dem Blick verlieren, die Sie analysieren
Zugangsmethode / paralleles Arbeiten Im Grunde nur der Proxy, einzelne Sitzung Proxy + direkte NIC-Aufzeichnung + transparente Aufzeichnung + mobile Direktverbindung, mehrere Sitzungen parallel, mehrere Ports ohne gegenseitige Störung

Kurz gesagt: Gewöhnliche Tools machen „Proxy-Aufzeichnung“, während Trace Eagle „aufzeichnen, entschlüsseln, verstehen und wissen, wer es an wen gesendet hat“ macht, ganz gleich, in welcher Situation.


2. Flexible Zugangsmethoden (zwei lokale Zugangsmodi)

Abschnitt betitelt „2. Flexible Zugangsmethoden (zwei lokale Zugangsmodi)“

Wie der Verkehr in die Aufzeichnung gelangt, hängt vom Szenario ab. In der Sitzungs-Symbolleiste können Sie unter „Proxy lokal“ → Zahnrad „Zugangseinstellungen“ zwischen zwei Zugangsmodi wählen:

  • Klassischer Proxy (nutzt den Systemproxy, klassische Aufzeichnung): Zugang per Klick; Browser, Kommandozeile und die meisten Apps laufen automatisch über den Proxy. Nach dem Stoppen wird er automatisch wiederhergestellt, sodass der normale Internetzugang gewährleistet ist, und es gibt auch eine Wiederherstellungsabsicherung für anormale Beendigungen. Einschränkung: Wenn eine App den Systemproxy nicht verwendet, kann sie nicht aufgezeichnet werden.
  • Transparenter Proxy (aller Verkehr): der blinde Fleck gewöhnlicher Tools: keine App-Konfiguration nötig; aller lokale Verkehr (einschließlich direkt verbundenem Verkehr und Verkehr, der weitergeleitet wird, wenn der Rechner als Hotspot/Gateway dient) kann aufgezeichnet werden; Apps, die den Systemproxy nicht verwenden, werden ebenso aufgezeichnet; Sie können präzise nach App/Prozess eingrenzen, um nur wenige Programme aufzuzeichnen; auf Mobilgeräten reicht es, das Stammzertifikat zu installieren, ohne dass ein Proxy von Hand gesetzt werden muss.

Zugangseinstellungen: zwei Zugangsmodi, klassischer Proxy / transparenter Proxy, kombiniert mit drei Stufen der HTTP/3-Behandlung: herabgestufte Aufzeichnung / originalgetreues Durchreichen / echte Entschlüsselung

LAN-Geräte aufzeichnen: Richten Sie den Proxy eines Smartphones/Tablets/anderen Computers auf diesen Rechner, um ihn aufzuzeichnen, mit einer Anleitung zur Zertifikatsinstallation per Klick (iOS-/macOS-Konfigurationsprofil, Installation per QR-Scan).

Einen vorgelagerten Proxy verketten: Die Aufzeichnungssitzung selbst kann obendrauf einen weiteren vorgelagerten Proxy verketten (die Aufzeichnung dieses Rechners mit einem Firmenproxy, einem Sprungserver oder einem anderen sekundären Proxy verbinden); die Verbindung ist transparent und beeinträchtigt die Entschlüsselung nicht.


Immer mehr Apps setzen auf HTTP/3, und gewöhnliche Tools scheitern hier oft. In den „Zugangseinstellungen“ können Sie wählen:

  • Blockieren (herabgestufte Aufzeichnung): Versuchen, HTTP/3 auf HTTP/2 herabzustufen, um es aufzeichenbar zu machen (einige wenige Apps unterstützen dies nicht).
  • Ignorieren (originalgetreues Durchreichen): unverändert weiterleiten, ohne zu entschlüsseln, hohe Wiedergabetreue, stört die Datenanfragen des Programms nicht.
  • Entschlüsseln (echter H3-MITM): tatsächlich aufzeichnen und entschlüsseln, Klartext betrachten genau wie bei gewöhnlichem HTTPS.

Der klassische Proxy unterstützt „Blockieren / Ignorieren“; „Entschlüsseln“ muss im transparenten Proxy-Modus verwendet werden.


4. Entschlüsselungsfähigkeit: mehr als „nur ein Zertifikat installieren“

Abschnitt betitelt „4. Entschlüsselungsfähigkeit: mehr als „nur ein Zertifikat installieren““

Die Entschlüsselung gewöhnlicher Tools besteht aus „ein Systemzertifikat installieren + ein Proxy als Man-in-the-Middle“, was schon bei der kleinsten Absicherung versagt. Trace Eagle ist eine Kombination von Zügen:

  • HTTPS-Entschlüsselung per Klick: ein integriertes Zertifikatssystem; einmal installieren für durchgehende Entschlüsselung.
  • Installation mit vollständiger Zertifikatsabdeckung: Mit einem Klick das Systemzertifikat überall abdecken. Java-, Python- und ähnliche Programme, die gewöhnliche Proxys selbst mit installiertem Systemzertifikat nicht entschlüsseln können, werden auch hier entschlüsselt.
  • Certificate Pinning auflösen (Pinning entfernen): Bei Apps, die Pinning nutzen und die Verbindung normalerweise ohne Weiteres mit einem Fehler ablehnen würden, löst ein Klick ihre Zertifikatsprüfung auf und die Entschlüsselung läuft weiter.
  • Whitelist / Erlaubnisliste / Sperrliste: Die Whitelist entschlüsselt nur bestimmte Domains und reicht den Rest direkt durch; die Erlaubnisliste reicht streng geprüfte Seiten unverändert durch, ohne zu entschlüsseln, um Fehler zu vermeiden; die Sperrliste verwirft Domains, die Sie gar nicht durchlassen möchten, sofort.

Einstellungen zum Entschlüsselungsumfang: Umschalter Blacklist / Whitelist, Erlaubnisliste, Sperrliste, dazu vorgelagerter Proxy und benutzerdefiniertes DNS


  • Öffnen Sie mehrere Aufzeichnungssitzungen gleichzeitig; jede ist ein eigenständiger Tab, der für sich gestartet/gestoppt/gewechselt werden kann.
  • Sitzungen sind vollständig isoliert: eigene Datenflusslisten, Details, Auswahlzustand und Konfiguration; mehrere Proxy-Sitzungen können jeweils an einem anderen Port lauschen und gleichzeitig arbeiten.
  • Proxy, direkte NIC-Aufzeichnung, transparente Aufzeichnung und mobile Direktverbindung können gleichzeitig ausgeführt und je nach Szenario kombiniert werden, ohne sich gegenseitig zu beeinflussen.

Protokoll Unterstützte Fähigkeit
HTTP / HTTPS Vollständige Analyse von Anfrage und Antwort, Klartextanzeige
HTTP/2 Native Analyse, Betrachtungserlebnis konsistent mit HTTP/1.1
HTTP/3 (QUIC) Drei Stufen zur Auswahl: herabgestufte Aufzeichnung / originalgetreues Durchreichen / echte Entschlüsselung (siehe oben)
WebSocket Frame-für-Frame-Anzeige gesendeter und empfangener Nachrichten (text/binary/ping/pong, mit gekennzeichneter Richtung)
Server-Sent Events (SSE) Ereignisströme werden Ereignis für Ereignis angezeigt
gRPC / protobuf Feldstrukturen auflösen, ohne die .proto zu benötigen
Rohes TCP / UDP Rohdaten auch für nicht-HTTP-eigene Protokolle aufzeichnen
SOCKS5 Teilt sich denselben Port für den Zugang; sowohl CONNECT als auch UDP ASSOCIATE werden unterstützt, und SOCKS-Verkehr kann ebenfalls entschlüsselt / durchgereicht werden

7. Beobachtung mit hoher Wiedergabetreue: das Ziel nicht stören, die Verkehrsmerkmale nicht verändern

Abschnitt betitelt „7. Beobachtung mit hoher Wiedergabetreue: das Ziel nicht stören, die Verkehrsmerkmale nicht verändern“

Ein gewöhnlicher Man-in-the-Middle-Proxy verändert die Merkmale von Netzwerkanfragen, und das Ergebnis ist, dass das Beobachtete nicht mehr der echte Verkehr der App ist und dass es das normale Verhalten der Ziel-App beeinträchtigen kann. Für Anwendungen, die auf Verkehrsmerkmale reagieren (etwa Dienste, die für Konsistenzprüfungen auf Datenfingerabdrücke von Netzwerkanfragen setzen), stört dies sowohl das Ziel als auch die Analyse.

Trace Eagle bietet mehrere Wiedergabetreue-Stufen, um den Aufzeichnungsvorgang so „transparent“ und so nah an der echten Verbindung wie möglich zu halten: originalgetreue Beobachtung (auf die Art beobachten, die einem echten Client am nächsten kommt, mit minimalen Änderungen an den Verkehrsmerkmalen), Fingerabdruck-Rekonstruktion (einen konsistenten Client-Fingerabdruck beibehalten, selbst wenn der Verkehr umgeschrieben werden muss) und festes Client-Profil (Verkehrsmerkmale auf die eines Standard-Clients zurücksetzen: Desktop-Chrome / Firefox / Safari, mobiles Safari oder ein zufälliges Profil). Kombiniert mit „H3 Ignorieren (originalgetreues Durchreichen)“ können Sie selbst bei Anwendungen, die auf Verkehrsmerkmale reagieren, originalgetreu aufzeichnen und analysieren, während Sie ihren normalen Betrieb nicht stören.


  • Auf einen Blick sehen, wer es gesendet hat: Jeder Datenfluss ist mit seiner Quell-App/seinem Quellprozess gekennzeichnet, sodass Sie das Ziel in einer vollen Umgebung schnell festmachen, etwas, das gewöhnliche Tools, die nur IP/Domain anzeigen, Ihnen nicht bieten können.
  • Nur aufzeichnen, was Sie interessiert: Kombinieren Sie es mit dem transparenten Proxy, um die Aufzeichnung präzise nach App/Prozess einzugrenzen und das Rauschen auszusperren.

Datenflussdetails: Verbindung und Quellprozess, TLS- und Verbindungsfingerabdruck (JA3/JA4), Entschlüsselungsstatus und der automatisch analysierte Anfrageinhalt, alles auf einem Bildschirm


9. Weitere leistungsstarke Begleitfähigkeiten (jede in ihrem eigenen Artikel)

Abschnitt betitelt „9. Weitere leistungsstarke Begleitfähigkeiten (jede in ihrem eigenen Artikel)“

Sobald aufgezeichnet, gehen „verstehen, zurückverfolgen, umschreiben, erneut senden, Lasttest“ jeweils in die Tiefe, daher werden sie in eigenen Artikeln behandelt:

Fähigkeit In einem Satz Details
Untersuchen und dekodieren 5 Betrachtungsmodi + automatisches Dekomprimieren/Erkennen/Verschönern + eingebettete Medienvorschau + Framing-/Skript-Dekodierung privater Protokolle Untersuchen und dekodieren
Host-Details Klicken Sie auf einen beliebigen Host für Zuordnung (ASN/Organisation/Registrierung) + Geo-Karte + DNS + Prüfung des TLS-Zertifikats + Web-Techstack Host-Details
Umschreibregeln und Breakpoint-Abfangen Einfache Regeln bearbeiten Anfragen per Klick, ohne Skripting + Breakpoints bearbeiten jede einzeln von Hand + Skripte/Plugins als Rückfalloption für komplexe Szenarien Umschreibregeln und Breakpoint-Abfangen
Anfragen zusammenstellen und erneut senden Erneutes Senden per Klick/bearbeiten-und-erneut-senden + Anfragen-Editor + dynamisches Signieren + Sammlungen/Umgebungen + Code-Generierung Anfragen zusammenstellen und erneut senden
Anfragenvergleich (Diff) Zwei Anfragen/Antworten Zeile für Zeile nebeneinander vergleichen, über Sitzungen und Quellen hinweg, um auf einen Blick zu sehen, wo sie sich unterscheiden Anfragenvergleich
Sitzungswiederholung und Lasttest Eine Reihe von Anfragen der Reihe nach im Stapel erneut abspielen; Rechtsklick auf eine einzelne für „diese Anfrage einem Lasttest unterziehen“, mit Echtzeit-Durchsatz und Latenz-Perzentilen Sitzungswiederholung und Lasttest

Es gibt außerdem eine leichtgewichtige, aber praktische Fähigkeit:

  • Verbindungsfingerabdruck (JA3 / JA4): Betrachten Sie für jede beliebige HTTPS-Verbindung den TLS-Fingerabdruck ihres Clients (JA3 mit Rohzeichenkette, JA4, Kopieren per Klick). Er ändert sich nicht mit IP/UA und dient dazu, den Client-Typ zu erkennen sowie die Verkehrsverfolgung und Sicherheitsanalyse zu unterstützen.

  • Debugging der API-Integration: mocken, um Daten zu erzeugen; einen Produktionsendpunkt an eine lokale/Testumgebung weiterleiten.
  • Mobile Aufzeichnung: die HTTPS-Anfragen einer Smartphone-App aufzeichnen, um Endpunkte zu analysieren und Fehler zu untersuchen.
  • Die harten Fälle angehen: Programme, die den Proxy ignorieren, Certificate Pinning nutzen oder in Java / Python geschrieben sind; behandeln Sie sie mit dem transparenten Proxy + Pinning entfernen + vollständige Zertifikatsabdeckung.
  • Analyse privater Protokolle: die Struktur binärer/eigener Protokolle mit Framing-Regeln oder Skripten auflösen.
  • Fehlersuche: klar sehen, was die Anfrage gesendet und was der Server zurückgegeben hat, um Probleme mit Parametern/Rückgaben/Cross-Origin festzumachen.
  • Test bei schwachem Netz / Lasttest: mit Regeln ein schlechtes Netz simulieren; mit dem Lasttest die Kapazität eines Endpunkts einschätzen.
  • Sicherheitsprüfung / Bestandsaufnahme: ausgehende Kommunikation durchsehen, auf Preisgabe sensibler Informationen prüfen, Zertifikate überprüfen und mithilfe von Host-Profilen die Zuordnung der Gegenstelle herausfinden.
  • Analyse mit hoher Wiedergabetreue: bei Anwendungen, die auf Verkehrsmerkmale reagieren, originalgetreu aufzeichnen und analysieren, während der Verkehr unverändert bleibt und sein Verhalten nicht gestört wird.

Die Proxy-Aufzeichnung ist Teil der Datenerfassungsfähigkeiten von Trace Eagle. Neben der Proxy-Methode unterstützt das Produkt auch die direkte NIC-Aufzeichnung, die Direktverbindung mobiler Geräte und weitere Aufzeichnungsmethoden, die sich je nach Szenario flexibel kombinieren lassen.