Захват через прокси
Модуль захвата через прокси Trace Eagle делает сетевые запросы вашего компьютера, телефона и других устройств локальной сети видимыми полностью, ясно и расшифрованными. Вы не только смотрите: можно редактировать, перехватывать, повторять, сравнивать и отслеживать их до источника.
Принципиальное отличие от «ещё одного инструмента захвата через прокси» в следующем: обычные инструменты прокси имеют только один путь — «настроить прокси + расшифровка через человека посередине». Как только они сталкиваются с программой, игнорирующей прокси, приложением с закреплением сертификата, программой на Java / Python, приватным бинарным протоколом или приложением, чувствительным к характеристикам трафика, — они, по сути, застревают. Trace Eagle закрывает эти слепые пятна одно за другим: захватывает даже программы, игнорирующие прокси, расшифровывает даже приложения с закреплением сертификата, восстанавливает даже приватные форматы, точно определяет, кто отправил поток, даже когда он погребён в системном шуме, и оставляет трафик неизменным для приложений, чувствительных к его характеристикам, наблюдая за ними с высокой достоверностью, не нарушая их обычную работу.

1. Чем это отличается от обычных инструментов захвата через прокси
Заголовок раздела «1. Чем это отличается от обычных инструментов захвата через прокси»При одном и том же захвате через прокси разница не в том, «видите ли вы запрос», а в том, можете ли вы продолжать работать, столкнувшись со сложным случаем, и можете ли видеть глубже.
| Сценарий | Обычные инструменты захвата через прокси | Trace Eagle |
|---|---|---|
| Программа игнорирует системный прокси (многие клиенты, фоновые сервисы, трафик прямого подключения) | Не может захватить, полностью упускает | Прозрачный прокси: настройка приложения не нужна; он всё равно захватывает программы, игнорирующие прокси, трафик прямого подключения и трафик, пересылаемый, когда машина работает как точка доступа/шлюз, и может точно ограничивать область по процессу |
| Приложение использует закрепление сертификата | Ошибки / не подключается / приходится сдаться | Один клик, чтобы снять проверку сертификата у целевого приложения, так что оно доверяет сертификату захвата и расшифровка продолжается; сайты, которые лучше не трогать, пропускаются точно мимо |
| Java, Python и подобные программы | Даже с установленным системным сертификатом бесполезно, расшифровать не выходит | Полный охват сертификатов: эти программы, которые обычные прокси не могут расшифровать, здесь тоже расшифровываются |
| Трафик HTTP/3 (QUIC) | Слабая поддержка, в основном не виден | Выбирайте по необходимости из трёх уровней: захват с понижением, достоверная сквозная передача (высокая точность) или настоящая расшифровка |
| Приватные / бинарные протоколы, сжатые и зашифрованные обёртки | Куча мусора, который нельзя прочитать | Автоматическая распаковка, автоматическое распознавание многих форматов, плюс пользовательское декодирование через правила разбиения на кадры или JS-скрипты |
| Куча процессов вперемешку, непонятно, кто отправил трафик | Только IP / домен, приходится гадать | Каждый поток помечен своим исходным приложением / процессом; клик по хосту тоже открывает его полное досье |
| Хочется определить, кто на другой стороне и что за клиент | Ничего | Клик по хосту даёт его досье о принадлежности / сертификате / географии, а также просмотр клиентского отпечатка (JA3/JA4) каждого соединения |
| Приложения, чувствительные к характеристикам трафика | MITM-прокси меняет характеристики трафика, так что наблюдаемое вами уже не реальный трафик, и это может нарушить работу цели | Несколько режимов высокой достоверности: сохраняют трафик как есть, не меняя его характеристики, так что вы не нарушаете работу целевого приложения и не теряете из виду реальную связь, которую анализируете |
| Способ доступа / параллельная работа | По сути только прокси, одна сессия | Прокси + прямой захват на сетевой карте + прозрачный захват + прямое подключение мобильных устройств, несколько сессий параллельно, несколько портов без взаимных помех |
Короче: обычные инструменты делают «захват через прокси», а Trace Eagle делает «захват, расшифровку, понимание и определение, кто кому что отправил, в любой ситуации».
2. Гибкие способы доступа (два локальных режима доступа)
Заголовок раздела «2. Гибкие способы доступа (два локальных режима доступа)»То, как трафик попадает в захват, зависит от сценария. На панели инструментов сессии, в разделе «Локальный прокси» → шестерёнка «Настройки доступа», можно выбрать один из двух режимов доступа:
- Традиционный прокси (использует системный прокси, классический захват): доступ в один клик; браузеры, командная строка и большинство приложений автоматически идут через прокси. После остановки всё восстанавливается автоматически, так что обычный доступ в интернет гарантирован, а для аварийного завершения тоже предусмотрено восстановление. Ограничение: если приложение не использует системный прокси, захватить его нельзя.
- Прозрачный прокси (весь трафик): слепое пятно обычных инструментов: настройка приложения не нужна; можно захватить весь локальный трафик (включая трафик прямого подключения и трафик, пересылаемый, когда машина работает как точка доступа/шлюз); приложения, не использующие системный прокси, захватываются точно так же; можно точно ограничить область по приложению/процессу, чтобы захватывать только несколько программ; на мобильных устройствах достаточно установить корневой сертификат, без необходимости вручную настраивать прокси.

Захват устройств локальной сети: направьте прокси телефона/планшета/другого компьютера на эту машину, чтобы захватить его, с мастером установки сертификата в один клик (конфигурационный профиль iOS/macOS, установка сканированием QR-кода).
Подключение вышестоящего прокси цепочкой: сама сессия захвата может подключить сверху ещё один вышестоящий прокси (соединяя захват этой машины с корпоративным прокси, промежуточным узлом или другим вторичным прокси); связь прозрачна и не влияет на расшифровку.
3. Три уровня обработки HTTP/3 (QUIC)
Заголовок раздела «3. Три уровня обработки HTTP/3 (QUIC)»Всё больше приложений переходит на HTTP/3, и обычные инструменты часто спотыкаются на этом. В «Настройках доступа» можно выбрать:
- Блокировать (захват с понижением): попытаться понизить HTTP/3 до HTTP/2, чтобы сделать его захватываемым (некоторые приложения этого не поддерживают).
- Игнорировать (достоверная сквозная передача): пересылать как есть без расшифровки, высокая точность, не нарушает запросы данных программы.
- Расшифровать (настоящий MITM для H3): по-настоящему захватывать и расшифровывать, просматривая открытый текст так же, как обычный HTTPS.
Традиционный прокси поддерживает «Блокировать / Игнорировать»; «Расшифровать» нужно использовать в режиме прозрачного прокси.
4. Возможности расшифровки: больше, чем «просто установить сертификат»
Заголовок раздела «4. Возможности расшифровки: больше, чем «просто установить сертификат»»Расшифровка в обычных инструментах — это «установить один системный сертификат + прокси-посредник», что проваливается при малейшей защите. Trace Eagle — это комбинация приёмов:
- Расшифровка HTTPS в один клик: встроенная система сертификатов; установите один раз для непрерывной расшифровки.
- Установка с полным охватом сертификатов: один клик покрывает системный сертификат везде. Java, Python и подобные программы, которые обычные прокси не могут расшифровать даже с установленным системным сертификатом, здесь тоже расшифровываются.
- Снятие закрепления сертификата (убрать pinning): для приложений, использующих закрепление и обычно отклоняющих соединение с ошибкой сразу же, один клик снимает у них проверку сертификата, и расшифровка продолжается.
- Белый список / список разрешений / чёрный список: белый список расшифровывает только указанные домены и пропускает остальные напрямую; список разрешений пропускает строго проверяемые сайты как есть без расшифровки, чтобы избежать ошибок; чёрный список сразу отбрасывает домены, которые вы не хотите пропускать.

5. Несколько сессий / несколько прокси параллельно
Заголовок раздела «5. Несколько сессий / несколько прокси параллельно»- Открывайте сразу несколько сессий захвата; каждая — независимая вкладка, которую можно запускать/останавливать/переключать по отдельности.
- Сессии полностью изолированы: независимые списки потоков, детали, состояние выбора и конфигурация; несколько сессий прокси могут каждая слушать свой порт и работать одновременно.
- Прокси, прямой захват на сетевой карте, прозрачный захват и прямое подключение мобильных устройств можно запускать одновременно и сочетать по сценарию, не влияя друг на друга.
6. Полная поддержка протоколов
Заголовок раздела «6. Полная поддержка протоколов»| Протокол | Поддерживаемая возможность |
|---|---|
| HTTP / HTTPS | Полный разбор запроса-ответа, просмотр открытого текста |
| HTTP/2 | Нативный разбор, просмотр так же, как для HTTP/1.1 |
| HTTP/3 (QUIC) | Три уровня на выбор: захват с понижением / достоверная сквозная передача / настоящая расшифровка (см. выше) |
| WebSocket | Покадровый показ отправленных и полученных сообщений (текст/бинарные/ping/pong, с пометкой направления) |
| Server-Sent Events (SSE) | Потоки событий показываются по одному событию |
| gRPC / protobuf | Разбор структуры полей без необходимости в .proto |
| Сырой TCP / UDP | Захват сырых данных даже для не-HTTP пользовательских протоколов |
| SOCKS5 | Использует тот же порт для доступа; поддерживаются и CONNECT, и UDP ASSOCIATE, а SOCKS-трафик тоже можно расшифровывать / пропускать сквозь |
7. Наблюдение с высокой достоверностью: не нарушать работу цели, не менять характеристики трафика
Заголовок раздела «7. Наблюдение с высокой достоверностью: не нарушать работу цели, не менять характеристики трафика»Обычный прокси-посредник меняет характеристики сетевых запросов, и в результате то, что вы наблюдаете, уже не реальный трафик приложения, а это ещё может повлиять на обычное поведение целевого приложения. Для приложений, чувствительных к характеристикам трафика (таких как сервисы, полагающиеся на отпечатки данных сетевых запросов для проверки согласованности), это одновременно нарушает работу цели и искажает анализ.
Trace Eagle предлагает несколько уровней достоверности, чтобы сохранить процесс захвата максимально «прозрачным» и близким к реальному каналу связи: достоверное наблюдение (наблюдать способом, максимально близким к реальному клиенту, минимизируя изменения характеристик трафика), восстановление отпечатка (сохранять согласованный клиентский отпечаток, даже когда трафик нужно переписать) и фиксированный профиль клиента (восстанавливать характеристики трафика до характеристик стандартного клиента: настольного Chrome / Firefox / Safari, мобильного Safari или случайного профиля). В сочетании с «H3 Игнорировать (достоверная сквозная передача)» даже для приложений, чувствительных к характеристикам трафика, можно захватывать и анализировать достоверно, не нарушая их обычную работу.
8. Атрибуция процессов и точная фильтрация
Заголовок раздела «8. Атрибуция процессов и точная фильтрация»- Видно с первого взгляда, кто отправил: каждый поток помечен своим исходным приложением/процессом, так что вы быстро находите цель в переполненном окружении — то, чего обычные инструменты, показывающие только IP/домен, дать не могут.
- Захватывайте только то, что важно: сочетайте с прозрачным прокси, чтобы точно ограничить область захвата по приложению/процессу и отсечь шум.

9. Более мощные сопутствующие возможности (каждая в отдельной статье)
Заголовок раздела «9. Более мощные сопутствующие возможности (каждая в отдельной статье)»После захвата возможности «понять, отследить, переписать, повторить, нагрузочно протестировать» углубляются каждая в своём направлении, поэтому они подробно описаны в отдельных статьях:
| Возможность | Одним предложением | Подробности |
|---|---|---|
| Просмотр и декодирование | 5 режимов просмотра + автоматическая распаковка/распознавание/форматирование + предпросмотр медиа прямо в интерфейсе + разбиение на кадры/скриптовое декодирование приватных протоколов | Просмотр и декодирование |
| Досье хоста | Клик по любому хосту даёт принадлежность (ASN/организация/регистрация) + карту географии + DNS + проверку TLS-сертификата + веб-технологический стек | Досье хоста |
| Правила переписывания и перехват точками останова | Простые правила редактируют запросы мышью, без скриптов + точки останова редактируют каждый вручную + скрипты/плагины как запасной вариант для сложных сценариев | Правила переписывания и перехват точками останова |
| Конструирование и повтор запросов | Отправка заново / редактирование и повтор в один клик + конструктор запросов + подпись динамическими значениями + коллекции/окружения + генерация кода | Конструирование и повтор запросов |
| Сравнение запросов (Diff) | Сравнение двух запросов/ответов бок о бок построчно, между сессиями и источниками, чтобы увидеть с первого взгляда, чем они отличаются | Сравнение запросов |
| Повтор сессии и нагрузочное тестирование | Повтор серии запросов по порядку пакетами; правый клик по одному запросу для «нагрузочно протестировать этот запрос», с пропускной способностью и перцентилями задержки в реальном времени | Повтор сессии и нагрузочное тестирование |
Есть также одна лёгкая, но удобная возможность:
- Отпечаток соединения (JA3 / JA4): для любого HTTPS-соединения просмотрите его клиентский TLS-отпечаток (JA3 с сырой строкой, JA4, копирование в один клик). Он не меняется вместе с IP/UA и используется для определения типа клиента, а также помогает в отслеживании трафика и анализе безопасности.
10. Типичные сценарии
Заголовок раздела «10. Типичные сценарии»- Отладка интеграции API: mock для получения данных; перенаправление продакшен-эндпоинта в локальное/тестовое окружение.
- Захват на мобильных устройствах: захват HTTPS-запросов приложения на телефоне для анализа эндпоинтов и устранения неполадок.
- Работа со сложными случаями: программы, игнорирующие прокси, использующие закрепление сертификата, или написанные на Java / Python; обрабатывайте их прозрачным прокси + снятием закрепления + полным охватом сертификатов.
- Анализ приватных протоколов: разбор структуры бинарных/пользовательских протоколов правилами разбиения на кадры или скриптами.
- Устранение неполадок: ясно увидеть, что отправил запрос и что вернул сервер, чтобы точно определить проблемы с параметрами/возвратом/межсайтовым доступом.
- Тестирование слабой сети / нагрузочное тестирование: используйте правила, чтобы имитировать плохую сеть; используйте нагрузочное тестирование, чтобы оценить пропускную способность эндпоинта.
- Аудит безопасности / инвентаризация активов: проверка исходящих коммуникаций, поиск утечек чувствительной информации, проверка сертификатов, использование досье хостов для определения принадлежности другой стороны.
- Анализ высокой достоверности: для приложений, чувствительных к характеристикам трафика, захват и анализ достоверно, при сохранении трафика как есть и без нарушения его поведения.
Захват через прокси — часть возможностей сбора данных Trace Eagle. Помимо метода прокси, продукт также поддерживает прямой захват на сетевой карте, прямое подключение мобильных устройств и другие способы захвата, которые можно гибко сочетать по сценарию.