Captura por NIC
A captura por proxy mostra “a parte do tráfego que passa pelo proxy”; a captura por NIC mostra tudo o que passa pela NIC desta máquina: DNS, QUIC, jogos, IoT, todo tipo de protocolo proprietário. Qualquer coisa que cruza a NIC está bem na sua frente. E vai um grande passo além das ferramentas de captura tradicionais: o HTTPS que você captura deixa de ser um monte de texto cifrado e passa a ser algo que você pode descriptografar, atribuir a quem o enviou e desmontar para entender.
1. Como se difere da captura por proxy
Seção intitulada “1. Como se difere da captura por proxy”As duas são formas complementares de capturar, cada uma com seus próprios casos de uso:
| Captura por proxy | Captura por NIC | |
|---|---|---|
| Como você entra | Roteia o tráfego por um proxy + confia num certificado | Captura os pacotes brutos na NIC diretamente, sem alterar nenhuma configuração nem instalar um certificado |
| O que você consegue ver | Tráfego que passou pelo proxy, principalmente HTTP(S) | Todo o tráfego na NIC: DNS, QUIC, ICMP, ARP, qualquer TCP / UDP… |
| Texto claro por padrão? | Texto claro por padrão | Texto cifrado por padrão; “Descriptografar este programa” com um clique quando necessário (veja abaixo) |
| Melhor para | Depurar APIs HTTP, reescrever / reenviar | Ver tráfego não-HTTP, ver tudo o que um programa faz na rede, evitar quaisquer alterações em nível de sistema |
Em resumo: a captura por proxy é “precisa”, a captura por NIC é “completa”. Se você quer saber exatamente para quais endereços um app está se conectando discretamente e quais protocolos ele usa, a captura por NIC expõe tudo isso.
2. Como se difere das ferramentas tradicionais de captura por NIC
Seção intitulada “2. Como se difere das ferramentas tradicionais de captura por NIC”As ferramentas tradicionais de captura por NIC conseguem pegar os pacotes, mas o HTTPS que capturam é um monte de texto cifrado, e elas também não têm ideia de qual programa o enviou. A captura por NIC parte de “consegue capturar” e preenche “consegue entender, consegue rastrear”:
- Consegue descriptografar: transforme o HTTPS de um programa de texto cifrado de volta em texto claro com um clique (veja a Seção 4), em vez de só conseguir olhar para o texto cifrado.
- Sabe quem enviou: cada fluxo é marcado com seu processo de origem, para que você o identifique num piscar de olhos mesmo num ambiente barulhento.
- Consegue rastrear o histórico do par: clique num IP remoto para ir direto ao seu perfil de host (atribuição / geografia / certificado).
- Consegue desmontar e entender: os dados capturados são automaticamente descomprimidos, detectados por formato e exibidos de forma estruturada, e protocolos proprietários podem ser decodificados com um decodificador personalizado (veja a Seção 6).
- Também pode alimentar o Wireshark: quando você precisa de análise profissional pacote a pacote, encaminhe o tráfego ao vivo para o Wireshark com um clique, onde ele abre como texto claro, até em outra máquina.
3. Como capturar
Seção intitulada “3. Como capturar”- Escolha uma NIC: todas as NICs da máquina são listadas automaticamente, com a atualmente ativa selecionada para você por padrão.
- Defina um filtro antes de começar, se quiser: para capturar apenas o tráfego que interessa, informe um filtro de captura. Presets comuns já vêm embutidos (TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH e mais), um clique para aplicar.
O filtro de captura é definido antes de começar e não pode ser alterado quando a captura está em andamento; ele determina “o que é capturado” na camada da NIC. Para refinar dentro dos dados já capturados, use o “filtro de exibição” na visualização de pacotes (veja a Seção 6).

4. Ver texto claro: três passos que transformam texto cifrado em texto claro
Seção intitulada “4. Ver texto claro: três passos que transformam texto cifrado em texto claro”O tráfego capturado da NIC é texto cifrado por padrão (capturado como está, sem intermediário). Ver texto claro vem em três níveis, cada um respaldando o anterior:
- Descriptografia automática: programas comuns como navegadores e apps Electron geralmente já são texto claro no momento em que são capturados, sem passos extras.
- “Descriptografar este programa” manual: para programas que não podem ser descriptografados automaticamente, clique em “Descriptografar este programa”, selecione-o, e o tráfego criptografado dele é descriptografado. É possível descriptografar múltiplos programas de uma vez.
- Dois interruptores de reforço:
- Reiniciar o programa: inicie o alvo do zero para que até seu tráfego criptografado de início inicial seja descriptografado junto com o restante.
- Tratar processos filhos com um clique: alguns programas enviam e recebem tráfego por meio de processos filhos; marque esta caixa para tratar os processos filhos também, de modo que nada seja perdido.
Programas comuns são texto claro no momento em que são capturados, e para o restante, um clique manual em “Descriptografar este programa” também os descriptografa. Transformar texto cifrado em texto claro costuma ser questão de um só passo.
5. Duas visualizações: pacote a pacote e por conexão
Seção intitulada “5. Duas visualizações: pacote a pacote e por conexão”- Visualização de pacotes: olhe cada pacote um a um, assim como numa ferramenta de captura profissional. Selecione um quadro para ver as informações do quadro, os bytes brutos e a árvore de protocolo expandida camada por camada. A caixa de busca suporta filtros de exibição no estilo Wireshark (como
tcp.port==443,tls.handshake), com validação de sintaxe ao vivo enquanto você digita, para que você identifique qualquer coisa dentro do conjunto completo de dados capturados.

- Visualização por conexão: remonta os pacotes espalhados em conexões individuais, e use “Seguir fluxo” para ver o envio/recebimento de uma conexão inteira do início ao fim; HTTP / DNS e outros também podem ser vistos de forma estruturada.

- Ações do botão direito: clique com o botão direito em qualquer quadro para ver apenas esta conexão / filtrar por esta conexão (restrinja sua visão a esta única), marcar o quadro, copiar o endereço de origem / destino, ou, para o IP remoto, ir direto para ver perfil do host / ping / varredura de portas e dar o próximo passo da sua investigação.
- As duas visualizações têm ligação cruzada (pule de uma conexão de volta para seus pacotes brutos, ou de um pacote siga a conexão inteira).
- Estatísticas: resumos em três tabelas (hierarquia de protocolos, conversas, endpoints), opcionalmente apenas sobre os resultados do filtro atual, para ver rapidamente “quem está usando a banda e com quem está falando”.
- Pause a qualquer momento: pause no meio da captura para olhar o que capturou até agora, se situar e continuar. Em sessões longas você não precisa ficar iniciando e parando.
6. Depois de capturar: entender, decodificar
Seção intitulada “6. Depois de capturar: entender, decodificar”O mesmo pedaço de dados pode ser visualizado de várias formas, e o mecanismo o decodifica para você automaticamente. Essa capacidade é comum a todos os métodos de captura e se aplica aqui também:
- Várias formas de visualizar: estruturado, texto embelezado, hex e detecção automática, alternáveis de forma independente para cada direção. Veja Inspecionar e decodificar para detalhes.
- Detecta automaticamente muitas codificações: o conteúdo HTTP descriptografado é automaticamente descomprimido para gzip / brotli / deflate / zstd (incluindo múltiplas camadas empilhadas), e JSON, XML, formulários, protobuf / gRPC e plist são detectados e embelezados automaticamente, com imagens / áudio / vídeo pré-visualizados embutidos. Veja Inspecionar e decodificar para detalhes.
- Codecs personalizados: para protocolos proprietários / internos, escreva um pequeno script para ensiná-lo a lê-los, dividindo quadros, removendo cabeçalhos e descomprimindo em uma estrutura legível. Veja Decodificação de protocolo personalizado para detalhes.
7. Tratando o HTTP/3: capturando e descriptografando também o tráfego QUIC
Seção intitulada “7. Tratando o HTTP/3: capturando e descriptografando também o tráfego QUIC”Cada vez mais apps estão migrando para HTTP/3 (QUIC), e o QUIC sempre foi difícil de capturar e difícil de descriptografar na camada da NIC, onde muitas ferramentas simplesmente param. A captura por NIC funciona nos dois sentidos: ela pode fazer o app-alvo voltar suavemente do HTTP/3 para uma conexão comum para que ele volte a ser capturável e descriptografável (ele se recupera automaticamente quando você para a sessão, sem afetar o uso normal do app depois), e quando as chaves estão disponíveis ela também pode descriptografar QUIC / HTTP/3 diretamente e mostrar o texto claro.
Isso significa que, mesmo para apps que migraram totalmente para HTTP/3, você ainda consegue ver suas trocas em texto claro, em vez de encarar impotente um monte de QUIC em que não pode tocar.
8. Transição perfeita para o Wireshark para análise aprofundada
Seção intitulada “8. Transição perfeita para o Wireshark para análise aprofundada”Quando você precisa de análise profissional pacote a pacote no nível do Wireshark, não é preciso ficar exportando de um lado para o outro entre duas ferramentas: encaminhe o tráfego desta sessão ao vivo para o Wireshark com um clique, onde ele abre como texto claro sem configuração extra. As chaves de descriptografia são injetadas de forma incremental, ao vivo junto com o tráfego, então chaves que chegam tarde são preenchidas e nenhum quadro é perdido.
Ele pode até enviar o tráfego para o Wireshark em outra máquina, com esta máquina cuidando da captura e da descriptografia enquanto a outra se concentra na análise, um encaixe natural para colaboração remota e resolução conjunta de problemas.
- Exporte para um arquivo também: exporte um
.pcapngcom as chaves de descriptografia embutidas com um clique (abra-o no Wireshark e é texto claro) ou um HAR padrão, e entregue a um colega para abrir diretamente, sem mais nada a configurar.
Assim você tem o melhor dos dois mundos: a “descriptografia + atribuição de processo + perfil de host com um clique” desta ferramenta, mais a análise aprofundada pacote a pacote do Wireshark.
9. Casos de uso típicos
Seção intitulada “9. Casos de uso típicos”- Ver tráfego não-HTTP: DNS, QUIC, jogos, IoT, todo tipo de protocolo proprietário. O que o proxy não pega, a NIC pega.
- Entender tudo o que um programa faz na rede: a quais endereços ele realmente se conecta, quais protocolos usa e se tem alguma conexão “discreta”.
- Não querer alterar o proxy do sistema nem instalar um certificado: capture diretamente, com zero intrusão.
- Encarar protocolos proprietários: depois de capturar o fluxo bruto, use um decodificador personalizado para restaurá-lo em uma estrutura legível.
- Passar para o Wireshark para um mergulho profundo: quando você precisa de análise profissional pacote a pacote, encaminhe ao vivo, onde ele abre como texto claro sem configuração extra.
Voltar para Captura por proxy · Relacionados: Inspecionar e decodificar · Decodificação de protocolo personalizado · Detalhes do host