इसे छोड़कर कंटेंट पर जाएं

NIC कैप्चर

प्रॉक्सी कैप्चर आपको “ट्रैफ़िक का वह हिस्सा दिखाता है जो प्रॉक्सी से होकर गुज़रता है”; NIC कैप्चर आपको इस मशीन के NIC से गुज़रने वाला सब कुछ दिखाता है: DNS, QUIC, गेम्स, IoT, हर तरह के प्राइवेट प्रोटोकॉल। NIC से जो कुछ भी गुज़रता है वह ठीक आपके सामने होता है। और यह पारंपरिक कैप्चर टूल्स से एक बड़ा कदम आगे जाता है: आपके द्वारा कैप्चर किया गया HTTPS अब सिर्फ साइफ़रटेक्स्ट का ढेर नहीं रहता, बल्कि कुछ ऐसा होता है जिसे आप डिक्रिप्ट कर सकते हैं, यह पता लगा सकते हैं कि इसे किसने भेजा, और इसे तोड़कर समझ सकते हैं


1. यह प्रॉक्सी कैप्चर से कैसे अलग है

Section titled “1. यह प्रॉक्सी कैप्चर से कैसे अलग है”

दोनों कैप्चर करने के पूरक तरीके हैं, हर एक के अपने उपयोग के मामले हैं:

प्रॉक्सी कैप्चर NIC कैप्चर
आप कैसे जुड़ते हैं ट्रैफ़िक को प्रॉक्सी के ज़रिए रूट करें + एक सर्टिफिकेट पर भरोसा करें NIC पर सीधे रॉ पैकेट कैप्चर करें, बिना कोई सेटिंग बदले या सर्टिफिकेट इंस्टॉल किए
आप क्या देख सकते हैं प्रॉक्सी से होकर गुज़रा ट्रैफ़िक, मुख्यतः HTTP(S) NIC पर सारा ट्रैफ़िक: DNS, QUIC, ICMP, ARP, कोई भी TCP / UDP…
डिफ़ॉल्ट रूप से प्लेनटेक्स्ट? डिफ़ॉल्ट रूप से प्लेनटेक्स्ट डिफ़ॉल्ट रूप से साइफ़रटेक्स्ट; ज़रूरत पड़ने पर एक क्लिक में “इस प्रोग्राम को डिक्रिप्ट करें” (नीचे देखें)
किसके लिए सबसे बेहतर HTTP APIs डीबग करना, फिर से लिखना / रीप्ले करना नॉन-HTTP ट्रैफ़िक देखना, कोई प्रोग्राम नेटवर्क पर क्या करता है यह देखना, किसी भी सिस्टम-स्तर के बदलाव से बचना

संक्षेप में: प्रॉक्सी कैप्चर “सटीक” है, NIC कैप्चर “पूर्ण” है। अगर आप ठीक-ठीक जानना चाहते हैं कि कोई ऐप चुपके से किन पतों से जुड़ रहा है और किन प्रोटोकॉल का उपयोग कर रहा है, तो NIC कैप्चर सब कुछ खोलकर सामने रख देता है।


2. यह पारंपरिक NIC कैप्चर टूल्स से कैसे अलग है

Section titled “2. यह पारंपरिक NIC कैप्चर टूल्स से कैसे अलग है”

पारंपरिक NIC कैप्चर टूल्स पैकेट पकड़ सकते हैं, लेकिन जो HTTPS वे कैप्चर करते हैं वह साइफ़रटेक्स्ट का ढेर होता है, और उन्हें यह भी कोई अंदाज़ा नहीं होता कि इसे किस प्रोग्राम ने भेजा। NIC कैप्चर “कैप्चर कर सकता है” पर आधार बनाकर “समझ सकता है, ट्रेस कर सकता है” जोड़ता है:

  • डिक्रिप्ट कर सकता है: किसी प्रोग्राम के HTTPS को एक क्लिक में साइफ़रटेक्स्ट से वापस प्लेनटेक्स्ट में बदलें (सेक्शन 4 देखें), न कि सिर्फ साइफ़रटेक्स्ट देखने तक सीमित रहें।
  • जानता है किसने भेजा: हर फ्लो को उसके सोर्स प्रोसेस के साथ टैग किया जाता है, ताकि किसी भी शोरगुल वाले वातावरण में भी आप इसे एक नज़र में पहचान सकें।
  • पीयर की पृष्ठभूमि ट्रेस कर सकता है: किसी रिमोट IP पर क्लिक करके सीधे उसकी होस्ट प्रोफ़ाइल (अट्रिब्यूशन / भूगोल / सर्टिफिकेट) पर पहुँचें।
  • इसे खोलकर समझ सकता है: कैप्चर किए गए डेटा को अपने-आप डीकम्प्रेस किया जाता है, फॉर्मेट का पता लगाया जाता है, और स्ट्रक्चर्ड तरीके से दिखाया जाता है, और प्राइवेट प्रोटोकॉल को कस्टम डिकोडर से डिकोड किया जा सकता है (सेक्शन 6 देखें)।
  • Wireshark को भी फ़ीड कर सकता है: जब आपको प्रोफेशनल पैकेट-दर-पैकेट विश्लेषण चाहिए, ट्रैफ़िक को एक क्लिक में लाइव Wireshark को फ़ॉरवर्ड करें, जहाँ यह प्लेनटेक्स्ट के रूप में खुलता है, यहाँ तक कि किसी दूसरी मशीन पर भी।

3. कैसे कैप्चर करें

Section titled “3. कैसे कैप्चर करें”
  1. एक NIC चुनें: मशीन के सभी NIC अपने-आप सूचीबद्ध होते हैं, वर्तमान में सक्रिय NIC डिफ़ॉल्ट रूप से पहले से चुना हुआ रहता है।
  2. चाहें तो शुरू करने से पहले एक फ़िल्टर सेट करें: केवल उस ट्रैफ़िक को कैप्चर करने के लिए जिसकी आपको परवाह है, एक कैप्चर फ़िल्टर दर्ज करें। सामान्य प्रीसेट पहले से मौजूद हैं (TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH, और अधिक), एक क्लिक में लागू करें।

    कैप्चर फ़िल्टर शुरू करने से पहले सेट किया जाता है और कैप्चर चलने के बाद इसे बदला नहीं जा सकता; यह NIC परत पर “क्या कैप्चर होगा” तय करता है। पहले से कैप्चर किए गए डेटा में सीमित करने के लिए, पैकेट व्यू में “डिस्प्ले फ़िल्टर” का उपयोग करें (सेक्शन 6 देखें)।

नया सेशन · NIC कैप्चर: एक NIC चुनें और कैप्चर करना शुरू करें, बिना कोई सेटिंग बदले या सर्टिफिकेट इंस्टॉल किए; कैप्चर किए गए HTTPS को फिर “इस प्रोग्राम को डिक्रिप्ट करें” से एक क्लिक में डिक्रिप्ट किया जा सकता है


4. प्लेनटेक्स्ट देखें: साइफ़रटेक्स्ट को प्लेनटेक्स्ट में बदलने के तीन चरण

Section titled “4. प्लेनटेक्स्ट देखें: साइफ़रटेक्स्ट को प्लेनटेक्स्ट में बदलने के तीन चरण”

NIC से कैप्चर किया गया ट्रैफ़िक डिफ़ॉल्ट रूप से साइफ़रटेक्स्ट होता है (जैसा है वैसा कैप्चर किया गया, बिना किसी मैन-इन-द-मिडल के)। प्लेनटेक्स्ट देखना तीन स्तरों में आता है, हर एक पिछले का समर्थन करते हुए:

  1. अपने-आप डिक्रिप्शन: ब्राउज़र और Electron ऐप जैसे सामान्य प्रोग्राम आमतौर पर कैप्चर होते ही प्लेनटेक्स्ट होते हैं, बिना किसी अतिरिक्त कदम के।
  2. मैनुअल “इस प्रोग्राम को डिक्रिप्ट करें”: जिन प्रोग्राम को अपने-आप डिक्रिप्ट नहीं किया जा सकता, उनके लिए “इस प्रोग्राम को डिक्रिप्ट करें” पर क्लिक करें, उसे चुनें, और उसका एन्क्रिप्टेड ट्रैफ़िक डिक्रिप्ट हो जाता है। एक साथ कई प्रोग्राम डिक्रिप्ट करने का समर्थन है।
  3. दो सुदृढ़ीकरण स्विच:
    • प्रोग्राम को दोबारा शुरू करें: टारगेट को शुरू से लॉन्च करें ताकि उसका शुरुआती-स्टार्टअप का एन्क्रिप्टेड ट्रैफ़िक भी बाकी के साथ डिक्रिप्ट हो जाए।
    • चाइल्ड प्रोसेस को एक क्लिक में संभालें: कुछ प्रोग्राम चाइल्ड प्रोसेस के ज़रिए ट्रैफ़िक भेजते और प्राप्त करते हैं; यह बॉक्स चेक करें ताकि चाइल्ड प्रोसेस भी संभाले जाएँ, ताकि कुछ भी छूटे नहीं।

सामान्य प्रोग्राम कैप्चर होते ही प्लेनटेक्स्ट होते हैं, और बाकी के लिए, “इस प्रोग्राम को डिक्रिप्ट करें” पर एक मैनुअल क्लिक उन्हें भी डिक्रिप्ट कर देता है। साइफ़रटेक्स्ट को प्लेनटेक्स्ट में बदलना आमतौर पर एक ही कदम का मामला है।


5. दो व्यू: पैकेट-दर-पैकेट, और कनेक्शन के अनुसार

Section titled “5. दो व्यू: पैकेट-दर-पैकेट, और कनेक्शन के अनुसार”
  • पैकेट व्यू: हर पैकेट को एक-एक करके देखें, बिल्कुल एक प्रोफेशनल कैप्चर टूल की तरह। किसी फ्रेम को चुनें ताकि फ्रेम की जानकारी, रॉ बाइट्स, और परत-दर-परत विस्तारित प्रोटोकॉल ट्री देख सकें। सर्च बॉक्स Wireshark-शैली के डिस्प्ले फ़िल्टर का समर्थन करता है (जैसे tcp.port==443, tls.handshake), टाइप करते समय लाइव सिंटैक्स वैलिडेशन के साथ, ताकि आप पूरे कैप्चर किए गए डेटा में किसी भी चीज़ को तुरंत ढूँढ सकें।

पैकेट व्यू: NIC से कैप्चर किए गए असली पैकेट, डिस्प्ले फ़िल्टर dns से चिह्नित; किसी फ्रेम को चुनें ताकि फ्रेम की जानकारी और परत-दर-परत विस्तारित प्रोटोकॉल ट्री देख सकें

  • कनेक्शन व्यू: बिखरे हुए पैकेट को व्यक्तिगत कनेक्शन में पुनः संयोजित करता है, और “फॉलो स्ट्रीम” का उपयोग करके किसी पूरे कनेक्शन का शुरू से अंत तक भेजना/प्राप्त करना देखें; HTTP / DNS और अन्य को भी स्ट्रक्चर्ड तरीके से देखा जा सकता है।

कनेक्शन व्यू: बिखरे हुए पैकेट व्यक्तिगत कनेक्शन में पुनः संयोजित, DNS / TLS / HTTP / रॉ TCP प्रत्येक प्रोटोकॉल के अनुसार वर्गीकृत, ताकि आप एक नज़र में देख सकें कि यह मशीन किससे बात कर रही है

  • राइट-क्लिक कार्य: किसी भी फ्रेम पर राइट-क्लिक करके केवल इस कनेक्शन को देखें / इस कनेक्शन तक फ़िल्टर करें (अपने व्यू को इसी एक तक सीमित करें), फ्रेम को चिह्नित करें, सोर्स / डेस्टिनेशन पता कॉपी करें, या रिमोट IP के लिए, सीधे होस्ट प्रोफ़ाइल देखें / ping / पोर्ट स्कैन पर जाकर अपनी जाँच का अगला कदम उठाएँ।
  • दोनों व्यू आपस में जुड़े हैं (किसी कनेक्शन से वापस उसके रॉ पैकेट पर जाएँ, या किसी पैकेट से पूरे कनेक्शन को फॉलो करें)।
  • आँकड़े: तीन टेबल (प्रोटोकॉल पदानुक्रम, बातचीत, एंडपॉइंट) में सारांश, वैकल्पिक रूप से केवल वर्तमान फ़िल्टर परिणामों पर, ताकि जल्दी देख सकें “कौन बैंडविड्थ इस्तेमाल कर रहा है, और किससे बात कर रहा है।”
  • कभी भी रोकें: कैप्चर के बीच में रोककर अब तक कैप्चर किया गया देखें, समझें कि आप कहाँ हैं, और जारी रखें। लंबे सेशन में आपको बार-बार शुरू और बंद नहीं करना पड़ता।

6. कैप्चर के बाद: समझें, डिकोड करें

Section titled “6. कैप्चर के बाद: समझें, डिकोड करें”

एक ही डेटा को कई तरीकों से देखा जा सकता है, और इंजन इसे आपके लिए अपने-आप डिकोड कर देगा। यह क्षमता सभी कैप्चर तरीकों में समान है और यहाँ भी लागू होती है:

  • देखने के कई तरीके: स्ट्रक्चर्ड, सुंदर बनाया गया टेक्स्ट, हेक्स, और ऑटो-डिटेक्ट, हर दिशा के लिए स्वतंत्र रूप से स्विच करने योग्य। विवरण के लिए देखें निरीक्षण करें और डिकोड करें
  • कई एनकोडिंग का अपने-आप पता लगाना: डिक्रिप्ट किए गए HTTP कंटेंट को gzip / brotli / deflate / zstd के लिए अपने-आप डीकम्प्रेस किया जाता है (कई स्टैक्ड परतों सहित), और JSON, XML, फॉर्म्स, protobuf / gRPC, और plist का अपने-आप पता लगाकर सुंदर बनाया जाता है, इमेज / ऑडियो / वीडियो का इनलाइन पूर्वावलोकन होता है। विवरण के लिए देखें निरीक्षण करें और डिकोड करें
  • कस्टम कोडेक्स: प्राइवेट / इन-हाउस प्रोटोकॉल के लिए, एक छोटी स्क्रिप्ट लिखें जो इसे पढ़ना सिखाए, फ्रेम को अलग करते हुए, हेडर हटाते हुए, और एक पढ़ने योग्य संरचना में डीकम्प्रेस करते हुए। विवरण के लिए देखें कस्टम प्रोटोकॉल डिकोडिंग

7. HTTP/3 को संभालना: QUIC ट्रैफ़िक को भी कैप्चर और डिक्रिप्ट करना

Section titled “7. HTTP/3 को संभालना: QUIC ट्रैफ़िक को भी कैप्चर और डिक्रिप्ट करना”

ज़्यादा से ज़्यादा ऐप्स HTTP/3 (QUIC) की ओर बढ़ रहे हैं, और QUIC को NIC परत पर कैप्चर करना और डिक्रिप्ट करना हमेशा से मुश्किल रहा है, जहाँ कई टूल्स बस रुक जाते हैं। NIC कैप्चर दोनों तरह से काम करता है: यह टारगेट ऐप को HTTP/3 से एक सामान्य कनेक्शन पर सहजता से वापस आने दे सकता है ताकि यह फिर से कैप्चर करने योग्य और डिक्रिप्ट करने योग्य बन जाए (सेशन रोकने पर यह अपने-आप ठीक हो जाता है, बिना ऐप के बाद के सामान्य उपयोग को प्रभावित किए), और जब की उपलब्ध हों तो यह QUIC / HTTP/3 को सीधे डिक्रिप्ट भी कर सकता है और प्लेनटेक्स्ट दिखा सकता है।

इसका मतलब है कि पूरी तरह HTTP/3 पर जा चुके ऐप्स के लिए भी, आप अब भी उनका प्लेनटेक्स्ट आदान-प्रदान देख सकते हैं, बजाय ऐसे QUIC के ढेर को असहाय होकर घूरने के जिसे आप छू नहीं सकते।


8. गहरे विश्लेषण के लिए Wireshark में सहज हस्तांतरण

Section titled “8. गहरे विश्लेषण के लिए Wireshark में सहज हस्तांतरण”

जब आपको Wireshark-स्तर का प्रोफेशनल पैकेट-दर-पैकेट विश्लेषण चाहिए, तो दो टूल्स के बीच बार-बार एक्सपोर्ट करने की ज़रूरत नहीं: इस सेशन के ट्रैफ़िक को एक क्लिक में लाइव Wireshark में फ़ॉरवर्ड करें, जहाँ यह बिना किसी अतिरिक्त कॉन्फ़िगरेशन के प्लेनटेक्स्ट के रूप में खुलता हैडिक्रिप्शन कीज़ ट्रैफ़िक के साथ-साथ लाइव, धीरे-धीरे डाली जाती हैं, ताकि देर से आने वाली कीज़ भी भर दी जाएँ और कोई फ्रेम न छूटे।

यह ट्रैफ़िक को किसी दूसरी मशीन पर मौजूद Wireshark को भी भेज सकता है, इस मशीन के कैप्चर और डिक्रिप्शन संभालते हुए और दूसरी मशीन विश्लेषण पर ध्यान देते हुए, जो रिमोट सहयोग और संयुक्त ट्रबलशूटिंग के लिए स्वाभाविक रूप से उपयुक्त है।

  • फ़ाइल में भी एक्सपोर्ट करें: एक क्लिक में डिक्रिप्शन कीज़ के साथ एम्बेडेड एक .pcapng एक्सपोर्ट करें (इसे Wireshark में खोलें और यह प्लेनटेक्स्ट है) या एक मानक HAR, और इसे किसी सहयोगी को सौंप दें ताकि वे इसे सीधे खोल सकें, बिना कुछ और सेट किए।

इस तरह आपको दोनों दुनिया का सर्वश्रेष्ठ मिलता है: इस टूल की “डिक्रिप्शन + प्रोसेस अट्रिब्यूशन + एक-क्लिक होस्ट प्रोफ़ाइल,” साथ ही Wireshark का गहरा पैकेट-दर-पैकेट विश्लेषण।


9. सामान्य उपयोग के मामले

Section titled “9. सामान्य उपयोग के मामले”
  • नॉन-HTTP ट्रैफ़िक देखना: DNS, QUIC, गेम्स, IoT, हर तरह के प्राइवेट प्रोटोकॉल। जो कुछ प्रॉक्सी नहीं पकड़ सकता, NIC पकड़ सकता है।
  • कोई प्रोग्राम नेटवर्क पर क्या करता है यह पूरी तरह समझना: यह वास्तव में किन पतों से जुड़ता है, यह किन प्रोटोकॉल का उपयोग करता है, और क्या इसके कोई “चुपचाप” कनेक्शन हैं।
  • सिस्टम प्रॉक्सी बदलना या सर्टिफिकेट इंस्टॉल नहीं करना चाहते: सीधे कैप्चर करें, शून्य हस्तक्षेप।
  • प्राइवेट प्रोटोकॉल से निपटना: रॉ फ्लो कैप्चर करने के बाद, कस्टम डिकोडर का उपयोग करके इसे पढ़ने योग्य संरचना में पुनर्स्थापित करें।
  • गहन विश्लेषण के लिए Wireshark को सौंपना: जब आपको प्रोफेशनल पैकेट-दर-पैकेट विश्लेषण चाहिए, इसे लाइव फ़ॉरवर्ड करें, जहाँ यह बिना किसी अतिरिक्त कॉन्फ़िगरेशन के प्लेनटेक्स्ट के रूप में खुलता है

वापस प्रॉक्सी कैप्चर पर जाएँ · संबंधित: निरीक्षण करें और डिकोड करें · कस्टम प्रोटोकॉल डिकोडिंग · होस्ट विवरण