NIC कैप्चर
प्रॉक्सी कैप्चर आपको “ट्रैफ़िक का वह हिस्सा दिखाता है जो प्रॉक्सी से होकर गुज़रता है”; NIC कैप्चर आपको इस मशीन के NIC से गुज़रने वाला सब कुछ दिखाता है: DNS, QUIC, गेम्स, IoT, हर तरह के प्राइवेट प्रोटोकॉल। NIC से जो कुछ भी गुज़रता है वह ठीक आपके सामने होता है। और यह पारंपरिक कैप्चर टूल्स से एक बड़ा कदम आगे जाता है: आपके द्वारा कैप्चर किया गया HTTPS अब सिर्फ साइफ़रटेक्स्ट का ढेर नहीं रहता, बल्कि कुछ ऐसा होता है जिसे आप डिक्रिप्ट कर सकते हैं, यह पता लगा सकते हैं कि इसे किसने भेजा, और इसे तोड़कर समझ सकते हैं।
1. यह प्रॉक्सी कैप्चर से कैसे अलग है
Section titled “1. यह प्रॉक्सी कैप्चर से कैसे अलग है”दोनों कैप्चर करने के पूरक तरीके हैं, हर एक के अपने उपयोग के मामले हैं:
| प्रॉक्सी कैप्चर | NIC कैप्चर | |
|---|---|---|
| आप कैसे जुड़ते हैं | ट्रैफ़िक को प्रॉक्सी के ज़रिए रूट करें + एक सर्टिफिकेट पर भरोसा करें | NIC पर सीधे रॉ पैकेट कैप्चर करें, बिना कोई सेटिंग बदले या सर्टिफिकेट इंस्टॉल किए |
| आप क्या देख सकते हैं | प्रॉक्सी से होकर गुज़रा ट्रैफ़िक, मुख्यतः HTTP(S) | NIC पर सारा ट्रैफ़िक: DNS, QUIC, ICMP, ARP, कोई भी TCP / UDP… |
| डिफ़ॉल्ट रूप से प्लेनटेक्स्ट? | डिफ़ॉल्ट रूप से प्लेनटेक्स्ट | डिफ़ॉल्ट रूप से साइफ़रटेक्स्ट; ज़रूरत पड़ने पर एक क्लिक में “इस प्रोग्राम को डिक्रिप्ट करें” (नीचे देखें) |
| किसके लिए सबसे बेहतर | HTTP APIs डीबग करना, फिर से लिखना / रीप्ले करना | नॉन-HTTP ट्रैफ़िक देखना, कोई प्रोग्राम नेटवर्क पर क्या करता है यह देखना, किसी भी सिस्टम-स्तर के बदलाव से बचना |
संक्षेप में: प्रॉक्सी कैप्चर “सटीक” है, NIC कैप्चर “पूर्ण” है। अगर आप ठीक-ठीक जानना चाहते हैं कि कोई ऐप चुपके से किन पतों से जुड़ रहा है और किन प्रोटोकॉल का उपयोग कर रहा है, तो NIC कैप्चर सब कुछ खोलकर सामने रख देता है।
2. यह पारंपरिक NIC कैप्चर टूल्स से कैसे अलग है
Section titled “2. यह पारंपरिक NIC कैप्चर टूल्स से कैसे अलग है”पारंपरिक NIC कैप्चर टूल्स पैकेट पकड़ सकते हैं, लेकिन जो HTTPS वे कैप्चर करते हैं वह साइफ़रटेक्स्ट का ढेर होता है, और उन्हें यह भी कोई अंदाज़ा नहीं होता कि इसे किस प्रोग्राम ने भेजा। NIC कैप्चर “कैप्चर कर सकता है” पर आधार बनाकर “समझ सकता है, ट्रेस कर सकता है” जोड़ता है:
- डिक्रिप्ट कर सकता है: किसी प्रोग्राम के HTTPS को एक क्लिक में साइफ़रटेक्स्ट से वापस प्लेनटेक्स्ट में बदलें (सेक्शन 4 देखें), न कि सिर्फ साइफ़रटेक्स्ट देखने तक सीमित रहें।
- जानता है किसने भेजा: हर फ्लो को उसके सोर्स प्रोसेस के साथ टैग किया जाता है, ताकि किसी भी शोरगुल वाले वातावरण में भी आप इसे एक नज़र में पहचान सकें।
- पीयर की पृष्ठभूमि ट्रेस कर सकता है: किसी रिमोट IP पर क्लिक करके सीधे उसकी होस्ट प्रोफ़ाइल (अट्रिब्यूशन / भूगोल / सर्टिफिकेट) पर पहुँचें।
- इसे खोलकर समझ सकता है: कैप्चर किए गए डेटा को अपने-आप डीकम्प्रेस किया जाता है, फॉर्मेट का पता लगाया जाता है, और स्ट्रक्चर्ड तरीके से दिखाया जाता है, और प्राइवेट प्रोटोकॉल को कस्टम डिकोडर से डिकोड किया जा सकता है (सेक्शन 6 देखें)।
- Wireshark को भी फ़ीड कर सकता है: जब आपको प्रोफेशनल पैकेट-दर-पैकेट विश्लेषण चाहिए, ट्रैफ़िक को एक क्लिक में लाइव Wireshark को फ़ॉरवर्ड करें, जहाँ यह प्लेनटेक्स्ट के रूप में खुलता है, यहाँ तक कि किसी दूसरी मशीन पर भी।
3. कैसे कैप्चर करें
Section titled “3. कैसे कैप्चर करें”- एक NIC चुनें: मशीन के सभी NIC अपने-आप सूचीबद्ध होते हैं, वर्तमान में सक्रिय NIC डिफ़ॉल्ट रूप से पहले से चुना हुआ रहता है।
- चाहें तो शुरू करने से पहले एक फ़िल्टर सेट करें: केवल उस ट्रैफ़िक को कैप्चर करने के लिए जिसकी आपको परवाह है, एक कैप्चर फ़िल्टर दर्ज करें। सामान्य प्रीसेट पहले से मौजूद हैं (TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH, और अधिक), एक क्लिक में लागू करें।
कैप्चर फ़िल्टर शुरू करने से पहले सेट किया जाता है और कैप्चर चलने के बाद इसे बदला नहीं जा सकता; यह NIC परत पर “क्या कैप्चर होगा” तय करता है। पहले से कैप्चर किए गए डेटा में सीमित करने के लिए, पैकेट व्यू में “डिस्प्ले फ़िल्टर” का उपयोग करें (सेक्शन 6 देखें)।

4. प्लेनटेक्स्ट देखें: साइफ़रटेक्स्ट को प्लेनटेक्स्ट में बदलने के तीन चरण
Section titled “4. प्लेनटेक्स्ट देखें: साइफ़रटेक्स्ट को प्लेनटेक्स्ट में बदलने के तीन चरण”NIC से कैप्चर किया गया ट्रैफ़िक डिफ़ॉल्ट रूप से साइफ़रटेक्स्ट होता है (जैसा है वैसा कैप्चर किया गया, बिना किसी मैन-इन-द-मिडल के)। प्लेनटेक्स्ट देखना तीन स्तरों में आता है, हर एक पिछले का समर्थन करते हुए:
- अपने-आप डिक्रिप्शन: ब्राउज़र और Electron ऐप जैसे सामान्य प्रोग्राम आमतौर पर कैप्चर होते ही प्लेनटेक्स्ट होते हैं, बिना किसी अतिरिक्त कदम के।
- मैनुअल “इस प्रोग्राम को डिक्रिप्ट करें”: जिन प्रोग्राम को अपने-आप डिक्रिप्ट नहीं किया जा सकता, उनके लिए “इस प्रोग्राम को डिक्रिप्ट करें” पर क्लिक करें, उसे चुनें, और उसका एन्क्रिप्टेड ट्रैफ़िक डिक्रिप्ट हो जाता है। एक साथ कई प्रोग्राम डिक्रिप्ट करने का समर्थन है।
- दो सुदृढ़ीकरण स्विच:
- प्रोग्राम को दोबारा शुरू करें: टारगेट को शुरू से लॉन्च करें ताकि उसका शुरुआती-स्टार्टअप का एन्क्रिप्टेड ट्रैफ़िक भी बाकी के साथ डिक्रिप्ट हो जाए।
- चाइल्ड प्रोसेस को एक क्लिक में संभालें: कुछ प्रोग्राम चाइल्ड प्रोसेस के ज़रिए ट्रैफ़िक भेजते और प्राप्त करते हैं; यह बॉक्स चेक करें ताकि चाइल्ड प्रोसेस भी संभाले जाएँ, ताकि कुछ भी छूटे नहीं।
सामान्य प्रोग्राम कैप्चर होते ही प्लेनटेक्स्ट होते हैं, और बाकी के लिए, “इस प्रोग्राम को डिक्रिप्ट करें” पर एक मैनुअल क्लिक उन्हें भी डिक्रिप्ट कर देता है। साइफ़रटेक्स्ट को प्लेनटेक्स्ट में बदलना आमतौर पर एक ही कदम का मामला है।
5. दो व्यू: पैकेट-दर-पैकेट, और कनेक्शन के अनुसार
Section titled “5. दो व्यू: पैकेट-दर-पैकेट, और कनेक्शन के अनुसार”- पैकेट व्यू: हर पैकेट को एक-एक करके देखें, बिल्कुल एक प्रोफेशनल कैप्चर टूल की तरह। किसी फ्रेम को चुनें ताकि फ्रेम की जानकारी, रॉ बाइट्स, और परत-दर-परत विस्तारित प्रोटोकॉल ट्री देख सकें। सर्च बॉक्स Wireshark-शैली के डिस्प्ले फ़िल्टर का समर्थन करता है (जैसे
tcp.port==443,tls.handshake), टाइप करते समय लाइव सिंटैक्स वैलिडेशन के साथ, ताकि आप पूरे कैप्चर किए गए डेटा में किसी भी चीज़ को तुरंत ढूँढ सकें।

- कनेक्शन व्यू: बिखरे हुए पैकेट को व्यक्तिगत कनेक्शन में पुनः संयोजित करता है, और “फॉलो स्ट्रीम” का उपयोग करके किसी पूरे कनेक्शन का शुरू से अंत तक भेजना/प्राप्त करना देखें; HTTP / DNS और अन्य को भी स्ट्रक्चर्ड तरीके से देखा जा सकता है।

- राइट-क्लिक कार्य: किसी भी फ्रेम पर राइट-क्लिक करके केवल इस कनेक्शन को देखें / इस कनेक्शन तक फ़िल्टर करें (अपने व्यू को इसी एक तक सीमित करें), फ्रेम को चिह्नित करें, सोर्स / डेस्टिनेशन पता कॉपी करें, या रिमोट IP के लिए, सीधे होस्ट प्रोफ़ाइल देखें / ping / पोर्ट स्कैन पर जाकर अपनी जाँच का अगला कदम उठाएँ।
- दोनों व्यू आपस में जुड़े हैं (किसी कनेक्शन से वापस उसके रॉ पैकेट पर जाएँ, या किसी पैकेट से पूरे कनेक्शन को फॉलो करें)।
- आँकड़े: तीन टेबल (प्रोटोकॉल पदानुक्रम, बातचीत, एंडपॉइंट) में सारांश, वैकल्पिक रूप से केवल वर्तमान फ़िल्टर परिणामों पर, ताकि जल्दी देख सकें “कौन बैंडविड्थ इस्तेमाल कर रहा है, और किससे बात कर रहा है।”
- कभी भी रोकें: कैप्चर के बीच में रोककर अब तक कैप्चर किया गया देखें, समझें कि आप कहाँ हैं, और जारी रखें। लंबे सेशन में आपको बार-बार शुरू और बंद नहीं करना पड़ता।
6. कैप्चर के बाद: समझें, डिकोड करें
Section titled “6. कैप्चर के बाद: समझें, डिकोड करें”एक ही डेटा को कई तरीकों से देखा जा सकता है, और इंजन इसे आपके लिए अपने-आप डिकोड कर देगा। यह क्षमता सभी कैप्चर तरीकों में समान है और यहाँ भी लागू होती है:
- देखने के कई तरीके: स्ट्रक्चर्ड, सुंदर बनाया गया टेक्स्ट, हेक्स, और ऑटो-डिटेक्ट, हर दिशा के लिए स्वतंत्र रूप से स्विच करने योग्य। विवरण के लिए देखें निरीक्षण करें और डिकोड करें।
- कई एनकोडिंग का अपने-आप पता लगाना: डिक्रिप्ट किए गए HTTP कंटेंट को gzip / brotli / deflate / zstd के लिए अपने-आप डीकम्प्रेस किया जाता है (कई स्टैक्ड परतों सहित), और JSON, XML, फॉर्म्स, protobuf / gRPC, और plist का अपने-आप पता लगाकर सुंदर बनाया जाता है, इमेज / ऑडियो / वीडियो का इनलाइन पूर्वावलोकन होता है। विवरण के लिए देखें निरीक्षण करें और डिकोड करें।
- कस्टम कोडेक्स: प्राइवेट / इन-हाउस प्रोटोकॉल के लिए, एक छोटी स्क्रिप्ट लिखें जो इसे पढ़ना सिखाए, फ्रेम को अलग करते हुए, हेडर हटाते हुए, और एक पढ़ने योग्य संरचना में डीकम्प्रेस करते हुए। विवरण के लिए देखें कस्टम प्रोटोकॉल डिकोडिंग।
7. HTTP/3 को संभालना: QUIC ट्रैफ़िक को भी कैप्चर और डिक्रिप्ट करना
Section titled “7. HTTP/3 को संभालना: QUIC ट्रैफ़िक को भी कैप्चर और डिक्रिप्ट करना”ज़्यादा से ज़्यादा ऐप्स HTTP/3 (QUIC) की ओर बढ़ रहे हैं, और QUIC को NIC परत पर कैप्चर करना और डिक्रिप्ट करना हमेशा से मुश्किल रहा है, जहाँ कई टूल्स बस रुक जाते हैं। NIC कैप्चर दोनों तरह से काम करता है: यह टारगेट ऐप को HTTP/3 से एक सामान्य कनेक्शन पर सहजता से वापस आने दे सकता है ताकि यह फिर से कैप्चर करने योग्य और डिक्रिप्ट करने योग्य बन जाए (सेशन रोकने पर यह अपने-आप ठीक हो जाता है, बिना ऐप के बाद के सामान्य उपयोग को प्रभावित किए), और जब की उपलब्ध हों तो यह QUIC / HTTP/3 को सीधे डिक्रिप्ट भी कर सकता है और प्लेनटेक्स्ट दिखा सकता है।
इसका मतलब है कि पूरी तरह HTTP/3 पर जा चुके ऐप्स के लिए भी, आप अब भी उनका प्लेनटेक्स्ट आदान-प्रदान देख सकते हैं, बजाय ऐसे QUIC के ढेर को असहाय होकर घूरने के जिसे आप छू नहीं सकते।
8. गहरे विश्लेषण के लिए Wireshark में सहज हस्तांतरण
Section titled “8. गहरे विश्लेषण के लिए Wireshark में सहज हस्तांतरण”जब आपको Wireshark-स्तर का प्रोफेशनल पैकेट-दर-पैकेट विश्लेषण चाहिए, तो दो टूल्स के बीच बार-बार एक्सपोर्ट करने की ज़रूरत नहीं: इस सेशन के ट्रैफ़िक को एक क्लिक में लाइव Wireshark में फ़ॉरवर्ड करें, जहाँ यह बिना किसी अतिरिक्त कॉन्फ़िगरेशन के प्लेनटेक्स्ट के रूप में खुलता है। डिक्रिप्शन कीज़ ट्रैफ़िक के साथ-साथ लाइव, धीरे-धीरे डाली जाती हैं, ताकि देर से आने वाली कीज़ भी भर दी जाएँ और कोई फ्रेम न छूटे।
यह ट्रैफ़िक को किसी दूसरी मशीन पर मौजूद Wireshark को भी भेज सकता है, इस मशीन के कैप्चर और डिक्रिप्शन संभालते हुए और दूसरी मशीन विश्लेषण पर ध्यान देते हुए, जो रिमोट सहयोग और संयुक्त ट्रबलशूटिंग के लिए स्वाभाविक रूप से उपयुक्त है।
- फ़ाइल में भी एक्सपोर्ट करें: एक क्लिक में डिक्रिप्शन कीज़ के साथ एम्बेडेड एक
.pcapngएक्सपोर्ट करें (इसे Wireshark में खोलें और यह प्लेनटेक्स्ट है) या एक मानक HAR, और इसे किसी सहयोगी को सौंप दें ताकि वे इसे सीधे खोल सकें, बिना कुछ और सेट किए।
इस तरह आपको दोनों दुनिया का सर्वश्रेष्ठ मिलता है: इस टूल की “डिक्रिप्शन + प्रोसेस अट्रिब्यूशन + एक-क्लिक होस्ट प्रोफ़ाइल,” साथ ही Wireshark का गहरा पैकेट-दर-पैकेट विश्लेषण।
9. सामान्य उपयोग के मामले
Section titled “9. सामान्य उपयोग के मामले”- नॉन-HTTP ट्रैफ़िक देखना: DNS, QUIC, गेम्स, IoT, हर तरह के प्राइवेट प्रोटोकॉल। जो कुछ प्रॉक्सी नहीं पकड़ सकता, NIC पकड़ सकता है।
- कोई प्रोग्राम नेटवर्क पर क्या करता है यह पूरी तरह समझना: यह वास्तव में किन पतों से जुड़ता है, यह किन प्रोटोकॉल का उपयोग करता है, और क्या इसके कोई “चुपचाप” कनेक्शन हैं।
- सिस्टम प्रॉक्सी बदलना या सर्टिफिकेट इंस्टॉल नहीं करना चाहते: सीधे कैप्चर करें, शून्य हस्तक्षेप।
- प्राइवेट प्रोटोकॉल से निपटना: रॉ फ्लो कैप्चर करने के बाद, कस्टम डिकोडर का उपयोग करके इसे पढ़ने योग्य संरचना में पुनर्स्थापित करें।
- गहन विश्लेषण के लिए Wireshark को सौंपना: जब आपको प्रोफेशनल पैकेट-दर-पैकेट विश्लेषण चाहिए, इसे लाइव फ़ॉरवर्ड करें, जहाँ यह बिना किसी अतिरिक्त कॉन्फ़िगरेशन के प्लेनटेक्स्ट के रूप में खुलता है।
वापस प्रॉक्सी कैप्चर पर जाएँ · संबंधित: निरीक्षण करें और डिकोड करें · कस्टम प्रोटोकॉल डिकोडिंग · होस्ट विवरण