Captura por proxy
O módulo de captura por proxy do Trace Eagle traz as requisições de rede do seu computador, do seu celular e de outros dispositivos da sua rede local à vista de forma completa, clara e descriptografada. Você não apenas observa: pode editar, interceptar, reenviar, comparar e rastreá-las até a origem.
A diferença fundamental em relação a “mais uma ferramenta de captura por proxy” é esta: as ferramentas de proxy comuns têm apenas um caminho, “definir um proxy + descriptografia com intermediário”. No momento em que encontram um programa que ignora o proxy, um app que usa fixação de certificado, um programa em Java / Python, um protocolo binário privado ou um aplicativo sensível às características do tráfego, ficam basicamente travadas. O Trace Eagle preenche esses pontos cegos um a um: ele captura até programas que ignoram o proxy, descriptografa até apps com fixação de certificado, reconstrói até formatos privados, identifica quem enviou um fluxo mesmo quando ele está enterrado no ruído do sistema, e mantém o tráfego inalterado para aplicativos sensíveis às características do tráfego, observando-os com alta fidelidade sem atrapalhar seu funcionamento normal.

1. Como se difere das ferramentas comuns de captura por proxy
Seção intitulada “1. Como se difere das ferramentas comuns de captura por proxy”Para a mesma captura por proxy, a diferença não é “você consegue ver a requisição”, é se você consegue continuar trabalhando quando bate num caso difícil, e se consegue enxergar mais fundo.
| Cenário | Ferramentas comuns de captura por proxy | Trace Eagle |
|---|---|---|
| O programa ignora o proxy do sistema (muitos clientes, serviços em segundo plano, tráfego de conexão direta) | Não consegue capturar, perde tudo | Proxy transparente: sem necessidade de configurar o app; ainda captura programas que ignoram o proxy, tráfego de conexão direta e tráfego encaminhado quando a máquina atua como ponto de acesso/gateway, e pode delimitar com precisão por processo |
| O app usa fixação de certificado | Erros / não conecta / tem que desistir | Um clique para limpar a validação de certificado do app-alvo para que ele confie no certificado de captura e a descriptografia continue; sites em que você prefere não mexer passam direto com precisão |
| Programas em Java, Python e semelhantes | Mesmo com o certificado do sistema instalado é inútil, não consegue descriptografar | Cobertura total de certificado: esses programas, que os proxies comuns não conseguem descriptografar, também são descriptografados aqui |
| Tráfego HTTP/3 (QUIC) | Suporte fraco, na maioria não consegue ver | Escolha conforme a necessidade entre três níveis: captura com rebaixamento, repasse fiel (alta fidelidade) ou descriptografia real |
| Protocolos privados / binários, envelopes comprimidos e criptografados | Um monte de lixo ilegível | Descompressão automática, reconhecimento automático de muitos formatos, além de decodificação personalizada via regras de enquadramento ou scripts JS |
| Um monte de processos misturados, sem saber qual enviou o tráfego | Apenas IP / domínio, você tem que adivinhar | Cada fluxo é rotulado com seu app / processo de origem; clique no host para consultar também seu perfil completo |
| Quer identificar quem é o par e qual é o cliente | Nenhum | Clique num host para seu perfil de atribuição / certificado / geografia, e veja a impressão digital do cliente (JA3/JA4) de cada conexão |
| Aplicativos sensíveis às características do tráfego | Um proxy intermediário altera as características do tráfego, então o que você observa já não é o tráfego real, e ele pode atrapalhar o alvo | Múltiplos modos de alta fidelidade: mantenha o tráfego como está, sem alterar suas características, para não atrapalhar o app-alvo nem perder de vista o link real que você está analisando |
| Método de acesso / trabalho em paralelo | Basicamente só o proxy, sessão única | Proxy + captura direta por NIC + captura transparente + conexão direta com dispositivos móveis, múltiplas sessões em paralelo, múltiplas portas sem interferência |
Em resumo: as ferramentas comuns fazem “captura por proxy”, enquanto o Trace Eagle faz “capturar, descriptografar, entender e saber quem enviou para quem, seja qual for a situação”.
2. Métodos de acesso flexíveis (dois modos de acesso locais)
Seção intitulada “2. Métodos de acesso flexíveis (dois modos de acesso locais)”Como o tráfego entra na captura depende do cenário. Na barra de ferramentas da sessão, em “Proxy local” → engrenagem “Configurações de acesso”, você pode escolher entre dois modos de acesso:
- Proxy tradicional (usa o proxy do sistema, captura clássica): acesso com um clique; navegadores, linha de comando e a maioria dos apps passam pelo proxy automaticamente. Depois de parar, ele é restaurado automaticamente, então o acesso normal à internet é garantido, e há também uma recuperação de reserva para encerramentos anormais. Limitação: se um app não usa o proxy do sistema, ele não pode ser capturado.
- Proxy transparente (todo o tráfego): o ponto cego das ferramentas comuns: sem necessidade de configurar o app; todo o tráfego local (incluindo tráfego de conexão direta e tráfego encaminhado quando a máquina atua como ponto de acesso/gateway) pode ser capturado; apps que não usam o proxy do sistema são capturados do mesmo jeito; você pode delimitar com precisão por app/processo para capturar apenas alguns programas; no celular, basta instalar o certificado raiz, sem necessidade de definir um proxy à mão.

Capturar dispositivos da rede local: aponte o proxy de um celular/tablet/outro computador para esta máquina para capturá-lo, com um guia de instalação de certificado com um clique (perfil de configuração para iOS/macOS, instalação por leitura de QR).
Encadear um proxy upstream: a própria sessão de captura pode encadear outro proxy upstream por cima (conectando a captura desta máquina a um proxy da empresa, host de salto ou outro proxy secundário); o link é transparente e não afeta a descriptografia.
3. Três níveis de tratamento de HTTP/3 (QUIC)
Seção intitulada “3. Três níveis de tratamento de HTTP/3 (QUIC)”Cada vez mais apps adotam HTTP/3, e as ferramentas comuns costumam falhar aqui. Em “Configurações de acesso” você pode escolher:
- Bloquear (captura com rebaixamento): tenta rebaixar o HTTP/3 para HTTP/2 para torná-lo capturável (alguns poucos apps não suportam isso).
- Ignorar (repasse fiel): encaminha como está, sem descriptografar, alta fidelidade, não atrapalha as requisições de dados do programa.
- Descriptografar (interceptação real de H3): captura e descriptografa de verdade, vendo o texto claro assim como no HTTPS comum.
O proxy tradicional suporta “Bloquear / Ignorar”; “Descriptografar” deve ser usado no modo de proxy transparente.
4. Capacidade de descriptografia: mais do que “só instalar um certificado”
Seção intitulada “4. Capacidade de descriptografia: mais do que “só instalar um certificado””A descriptografia das ferramentas comuns é “instalar um certificado de sistema + um intermediário no proxy”, o que falha à menor defesa. O Trace Eagle é uma combinação de recursos:
- Descriptografia de HTTPS com um clique: um sistema de certificados embutido; instale uma vez para descriptografia contínua.
- Instalação com cobertura total de certificado: um clique para cobrir o certificado do sistema em todos os lugares. Programas em Java, Python e semelhantes, que os proxies comuns não conseguem descriptografar mesmo com o certificado do sistema instalado, também são descriptografados aqui.
- Limpar a fixação de certificado (remover pinning): para apps que usam pinning e normalmente rejeitariam a conexão com um erro de cara, um clique limpa a validação de certificado deles e a descriptografia continua.
- Lista de permissão / lista de aprovação / lista de bloqueio: a lista de permissão descriptografa apenas domínios especificados e passa o resto direto; a lista de aprovação deixa passar como está, sem descriptografar, os sites com validação rígida para evitar erros; a lista de bloqueio descarta de vez os domínios que você não quer deixar passar.

5. Múltiplas sessões / múltiplos proxies em paralelo
Seção intitulada “5. Múltiplas sessões / múltiplos proxies em paralelo”- Abra várias sessões de captura ao mesmo tempo; cada uma é uma aba independente que pode ser iniciada/parada/alternada por conta própria.
- As sessões são completamente isoladas: listas de fluxos, detalhes, estado de seleção e configuração independentes; múltiplas sessões de proxy podem cada uma escutar em uma porta diferente e trabalhar ao mesmo tempo.
- Proxy, captura direta por NIC, captura transparente e conexão direta com dispositivos móveis podem ser executados de uma vez e combinados por cenário sem afetar uns aos outros.
6. Suporte completo a protocolos
Seção intitulada “6. Suporte completo a protocolos”| Protocolo | Capacidade suportada |
|---|---|
| HTTP / HTTPS | Análise completa de requisição-resposta, visualização em texto claro |
| HTTP/2 | Análise nativa, experiência de visualização consistente com HTTP/1.1 |
| HTTP/3 (QUIC) | Três níveis para escolher: captura com rebaixamento / repasse fiel / descriptografia real (veja acima) |
| WebSocket | Exibição quadro a quadro das mensagens enviadas e recebidas (texto/binário/ping/pong, com direção rotulada) |
| Server-Sent Events (SSE) | Fluxos de eventos exibidos evento a evento |
| gRPC / protobuf | Resolve estruturas de campos sem precisar do .proto |
| TCP / UDP brutos | Captura dados brutos mesmo para protocolos personalizados não-HTTP |
| SOCKS5 | Compartilha a mesma porta de acesso; tanto CONNECT quanto UDP ASSOCIATE são suportados, e o tráfego SOCKS também pode ser descriptografado / passado direto |
7. Observação de alta fidelidade: não atrapalhe o alvo, não altere as características do tráfego
Seção intitulada “7. Observação de alta fidelidade: não atrapalhe o alvo, não altere as características do tráfego”Um proxy intermediário comum altera as características das requisições de rede, e o resultado é que o que você observa já não é o tráfego real do app, e isso pode afetar o comportamento normal do app-alvo. Para aplicativos sensíveis às características do tráfego (como serviços que dependem de impressões digitais de dados das requisições de rede para verificações de consistência), isso ao mesmo tempo atrapalha o alvo e distorce a análise.
O Trace Eagle oferece múltiplos níveis de fidelidade para manter o processo de captura o mais “transparente” e próximo do link real possível: observação fiel (observa da forma mais próxima de um cliente real, minimizando alterações nas características do tráfego), reconstrução de impressão digital (mantém uma impressão digital de cliente consistente mesmo quando o tráfego precisa ser reescrito) e perfil de cliente fixo (restaura as características do tráfego às de um cliente padrão: Chrome / Firefox / Safari de desktop, Safari mobile, ou um perfil aleatório). Combinado com “Ignorar H3 (repasse fiel)”, mesmo para aplicativos sensíveis às características do tráfego você pode capturar e analisar fielmente enquanto não atrapalha seu funcionamento normal.
8. Atribuição de processo e filtragem precisa
Seção intitulada “8. Atribuição de processo e filtragem precisa”- Veja num piscar de olhos quem enviou: cada fluxo é rotulado com seu app/processo de origem, então você identifica rapidamente o alvo num ambiente movimentado, algo que as ferramentas comuns, que só mostram IP/domínio, não conseguem oferecer.
- Capture só o que interessa: combine com o proxy transparente para delimitar a captura com precisão por app/processo e barrar o ruído.

9. Capacidades complementares mais poderosas (cada uma com seu artigo)
Seção intitulada “9. Capacidades complementares mais poderosas (cada uma com seu artigo)”Uma vez capturado, “entender, rastrear, reescrever, reenviar, testar carga” cada um vai fundo, então são detalhados em artigos separados:
| Capacidade | Em uma frase | Detalhes |
|---|---|---|
| Inspecionar e decodificar | 5 modos de visualização + descompressão/reconhecimento/embelezamento automáticos + pré-visualização de mídia embutida + decodificação de protocolos privados por enquadramento/script | Inspecionar e decodificar |
| Detalhes do host | Clique em qualquer host para atribuição (ASN/organização/registro) + mapa geográfico + DNS + verificação de certificado TLS + pilha de tecnologia web | Detalhes do host |
| Regras de reescrita e interceptação por breakpoint | Regras simples editam requisições por apontar e clicar, sem scripts + breakpoints editam cada uma à mão + scripts/plugins como reserva para cenários complexos | Regras de reescrita e interceptação por breakpoint |
| Composição e reenvio de requisições | Reenvio com um clique/editar e reenviar + compositor de requisições + assinatura de valores dinâmicos + coleções/ambientes + geração de código | Composição e reenvio de requisições |
| Comparação de requisições (Diff) | Compare duas requisições/respostas lado a lado, linha por linha, entre sessões e origens, para ver num piscar de olhos onde diferem | Comparação de requisições |
| Reenvio de sessão e teste de carga | Reenvie uma sequência de requisições em ordem, em lote; clique com o botão direito numa única para “testar a carga desta requisição”, com vazão em tempo real e percentis de latência | Reenvio de sessão e teste de carga |
Há também uma capacidade leve, mas prática:
- Impressão digital de conexão (JA3 / JA4): para qualquer conexão HTTPS, veja sua impressão digital TLS de cliente (JA3 com string bruta, JA4, cópia com um clique). Ela não muda com IP/UA e é usada para identificar o tipo de cliente e auxiliar o rastreamento de tráfego e a análise de segurança.
10. Casos de uso típicos
Seção intitulada “10. Casos de uso típicos”- Depuração de integração de API: simule para produzir dados; encaminhe um endpoint de produção para um ambiente local/de teste.
- Captura em dispositivos móveis: capture as requisições HTTPS de um app de celular para analisar endpoints e resolver problemas.
- Encarar os casos difíceis: programas que ignoram o proxy, usam fixação de certificado ou são escritos em Java / Python; trate-os com o proxy transparente + remoção de pinning + cobertura total de certificado.
- Análise de protocolos privados: resolva a estrutura de protocolos binários/personalizados com regras de enquadramento ou scripts.
- Resolução de falhas: veja com clareza o que a requisição enviou e o que o servidor retornou, para identificar problemas de parâmetro/retorno/cross-origin.
- Teste de rede fraca / teste de carga: use regras para simular uma rede ruim; use o teste de carga para avaliar a capacidade de um endpoint.
- Auditoria de segurança / inventário de ativos: revise as comunicações de saída, verifique vazamentos de informações sensíveis, valide certificados e use os perfis de host para descobrir a atribuição do par.
- Análise de alta fidelidade: para aplicativos sensíveis às características do tráfego, capture e analise fielmente mantendo o tráfego como está e sem atrapalhar seu comportamento.
A captura por proxy faz parte das capacidades de coleta de dados do Trace Eagle. Além do método por proxy, o produto também suporta captura direta por NIC, conexão direta com dispositivos móveis e outros métodos de captura, que podem ser combinados com flexibilidade por cenário.