İçeriğe geç

NIC Yakalama

Proxy yakalama size “proxy üzerinden geçen trafik kısmını” gösterir; NIC yakalama ise size bu makinenin NIC’i üzerinden akan her şeyi gösterir: DNS, QUIC, oyunlar, IoT, her türden özel protokol. NIC’ten geçen her şey karşınızdadır. Ve geleneksel yakalama araçlarının çok ötesine geçer: yakaladığınız HTTPS artık bir şifreli metin yığını değil, şifresini çözebileceğiniz, kimin gönderdiğine atfedebileceğiniz ve parçalarına ayırıp anlayabileceğiniz bir şeydir.


İkisi, her birinin kendi kullanım alanı olan tamamlayıcı yakalama yöntemleridir:

Proxy yakalama NIC yakalama
Nasıl bağlanırsınız Trafiği bir proxy üzerinden yönlendirin + bir sertifikaya güvenin NIC üzerindeki ham paketleri doğrudan yakalayın, hiçbir ayarı değiştirmeden ve hiçbir sertifika kurmadan
Ne görebilirsiniz Proxy üzerinden geçen trafik, ağırlıklı olarak HTTP(S) NIC üzerindeki tüm trafik: DNS, QUIC, ICMP, ARP, herhangi bir TCP / UDP…
Varsayılan olarak düz metin mi? Varsayılan olarak düz metin Varsayılan olarak şifreli metin; gerektiğinde tek tıkla “Bu programın şifresini çöz” (aşağıya bakın)
En uygun olduğu durum HTTP API’lerinde hata ayıklama, yeniden yazma / yeniden oynatma HTTP olmayan trafiği görüntüleme, bir programın ağda yaptığı her şeyi görme, sistem düzeyinde herhangi bir değişiklikten kaçınma

Kısacası: proxy yakalama “kesin”, NIC yakalama “eksiksiz”dir. Bir uygulamanın hangi adreslere sessizce bağlandığını ve hangi protokolleri kullandığını tam olarak bilmek istiyorsanız, NIC yakalama her şeyi ortaya serer.


Geleneksel NIC yakalama araçları paketleri yakalayabilir, ama yakaladıkları HTTPS bir şifreli metin yığınıdır ve ayrıca onu hangi programın gönderdiğine dair hiçbir fikirleri yoktur. NIC yakalama “yakalayabilme” özelliğinin üzerine “anlayabilme, izini sürebilme” özelliğini ekler:

  • Şifresini çözebilir: bir programın HTTPS’ini tek tıkla şifreli metinden düz metne geri döndürür (bkz. Bölüm 4), yalnızca şifreli metne bakabilmek yerine.
  • Kimin gönderdiğini bilir: her akış kaynak süreciyle etiketlenir, böylece gürültülü bir ortamda bile tek bakışta tespit edebilirsiniz.
  • Karşı tarafın geçmişinin izini sürebilir: uzak bir IP’ye tıklayarak doğrudan onun host profiline gidin (sahiplik / coğrafya / sertifika).
  • Parçalarına ayırıp anlayabilir: yakalanan veri otomatik olarak açılır (decompress), biçimi tespit edilir ve yapılandırılmış şekilde gösterilir; özel protokoller özel bir çözücü ile çözümlenebilir (bkz. Bölüm 6).
  • Wireshark’ı da besleyebilir: profesyonel paket paket analize ihtiyaç duyduğunuzda, trafiği tek tıkla canlı olarak Wireshark’a iletin; orada, başka bir makinede bile, düz metin olarak açılır.

  1. Bir NIC seçin: makinedeki tüm NIC’ler otomatik olarak listelenir, şu anda etkin olan sizin için varsayılan olarak seçilir.
  2. İsterseniz başlamadan önce bir filtre ayarlayın: yalnızca önemsediğiniz trafiği yakalamak için bir yakalama filtresi girin. Yaygın ön ayarlar yerleşiktir (TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH ve daha fazlası), uygulamak için tek tıklama yeterlidir.

    Yakalama filtresi başlamadan önce ayarlanır ve yakalama çalışırken değiştirilemez; NIC katmanında “neyin yakalanacağını” belirler. Zaten yakalanmış veri içinde daraltma yapmak için paket görünümündeki “görüntüleme filtresini” kullanın (bkz. Bölüm 6).

Yeni oturum · NIC yakalama: bir NIC seçin ve yakalamaya başlayın, değiştirilecek hiçbir ayar ve kurulacak hiçbir sertifika olmadan; yakalanan HTTPS daha sonra “Bu programın şifresini çöz” ile tek tıkla bir program için çözülebilir


4. Düz metni görün: şifreli metni düz metne dönüştüren üç adım

Bölüm başlığı “4. Düz metni görün: şifreli metni düz metne dönüştüren üç adım”

NIC’ten yakalanan trafik varsayılan olarak şifreli metindir (araya girme olmadan, olduğu gibi yakalanır). Düz metni görmek, her biri bir öncekini destekleyen üç katmanla gelir:

  1. Otomatik şifre çözme: tarayıcılar ve Electron uygulamaları gibi yaygın programlar genellikle yakalandıkları anda düz metindir, ek bir adım gerekmez.
  2. Manuel “Bu programın şifresini çöz”: otomatik olarak şifresi çözülemeyen programlar için “Bu programın şifresini çöz”e tıklayın, programı seçin ve şifreli trafiğinin şifresi çözülsün. Birden fazla programın şifresini aynı anda çözmek de desteklenir.
  3. İki güçlendirme anahtarı:
    • Programı yeniden başlat: hedefi baştan başlatarak erken başlangıç aşamasındaki şifreli trafiğinin de geri kalanıyla birlikte şifresinin çözülmesini sağlayın.
    • Alt süreçleri tek tıkla işle: bazı programlar trafiği alt süreçler üzerinden gönderip alır; hiçbir şeyin gözden kaçmaması için bu kutuyu işaretleyerek alt süreçleri de işleyin.

Yaygın programlar yakalandıkları anda düz metindir, geri kalanlar için “Bu programın şifresini çöz”e manuel tek tıklama da onların şifresini çözer. Şifreli metni düz metne dönüştürmek genellikle tek adımlık bir iştir.


5. İki görünüm: paket paket ve bağlantı bazında

Bölüm başlığı “5. İki görünüm: paket paket ve bağlantı bazında”
  • Paket görünümü: her paketi tek tek inceleyin, tıpkı profesyonel bir yakalama aracında olduğu gibi. Bir çerçeve seçin, çerçeve bilgisini, ham baytları ve katman katman genişletilmiş protokol ağacını görün. Arama kutusu Wireshark tarzı görüntüleme filtrelerini destekler (örneğin tcp.port==443, tls.handshake), yazarken canlı sözdizimi doğrulaması ile, böylece yakalanan verinin tamamı içinde herhangi bir şeyi tespit edebilirsiniz.

Paket görünümü: NIC’ten yakalanan gerçek paketler, dns görüntüleme filtresi ile tespit edilmiş; bir çerçeve seçin, çerçeve bilgisini ve katman katman genişletilmiş protokol ağacını görün

  • Bağlantı görünümü: dağınık paketleri ayrı bağlantılara yeniden birleştirin ve bir bağlantının baştan sona tüm gönderme/alma sürecini görmek için “Akışı Takip Et“i kullanın; HTTP / DNS ve diğerleri de yapılandırılmış şekilde görüntülenebilir.

Bağlantı görünümü: dağınık paketler ayrı bağlantılara yeniden birleştirilmiş, DNS / TLS / HTTP / ham TCP her biri protokole göre kategorize edilmiş, böylece bu makinenin kiminle konuştuğunu tek bakışta görebilirsiniz

  • Sağ tık eylemleri: herhangi bir çerçeveye sağ tıklayarak yalnızca bu bağlantıyı görüntüleyebilir / bu bağlantıya filtreleyebilir (görünümünüzü bu tek bağlantıya daraltın), çerçeveyi işaretleyebilir, kaynak / hedef adresini kopyalayabilir veya uzak IP için doğrudan host profilini görüntüle / ping / port taramasına giderek soruşturmanızın bir sonraki adımına geçebilirsiniz.
  • İki görünüm birbirine bağlıdır (bir bağlantıdan ham paketlerine geri dönün, ya da bir paketten tüm bağlantıyı takip edin).
  • İstatistikler: üç tablo üzerinden özetler (protokol hiyerarşisi, konuşmalar, uç noktalar), isteğe bağlı olarak yalnızca mevcut filtre sonuçları üzerinden; “bant genişliğini kim kullanıyor ve kiminle konuşuyor”u hızlıca görün.
  • İstediğiniz zaman duraklatın: o ana kadar yakaladıklarınıza bakmak, durumu değerlendirmek ve devam etmek için yakalama sırasında duraklatın. Uzun oturumlarda sürekli başlatıp durdurmanız gerekmez.

Aynı veri birden çok şekilde görüntülenebilir ve motor bunu sizin için otomatik olarak çözümler. Bu yetenek tüm yakalama yöntemleri için ortaktır ve burada da geçerlidir:

  • Birden çok görüntüleme yolu: yapılandırılmış, düzenli metin, hex ve otomatik tespit; her yön için bağımsız olarak geçiş yapılabilir. Ayrıntılar için İnceleme ve Çözümleme’ye bakın.
  • Birçok kodlamayı otomatik tespit eder: şifresi çözülen HTTP içeriği gzip / brotli / deflate / zstd için otomatik olarak açılır (birden çok üst üste bindirilmiş katman dahil), JSON, XML, formlar, protobuf / gRPC ve plist otomatik olarak tespit edilip düzenli hale getirilir, görüntüler / ses / video satır içinde önizlenir. Ayrıntılar için İnceleme ve Çözümleme’ye bakın.
  • Özel çözücüler: özel / şirket içi protokoller için, onları nasıl okuyacağını öğretmek üzere kısa bir betik yazın; çerçeveleri bölme, başlıkları soyma ve okunabilir bir yapıya açma. Ayrıntılar için Özel Protokol Çözümleme’ye bakın.

7. HTTP/3’ü ele alma: QUIC trafiğini de yakalama ve şifresini çözme

Bölüm başlığı “7. HTTP/3’ü ele alma: QUIC trafiğini de yakalama ve şifresini çözme”

Giderek daha fazla uygulama HTTP/3’e (QUIC) geçiyor ve QUIC, NIC katmanında her zaman yakalanması ve şifresinin çözülmesi zor olmuştur; birçok araç burada tıkanıp kalır. NIC yakalama iki şekilde de çalışır: hedef uygulamanın HTTP/3’ten sıradan bir bağlantıya sorunsuzca geri dönmesini sağlayarak yeniden yakalanabilir ve şifresi çözülebilir hale getirebilir (oturumu durdurduğunuzda otomatik olarak eski haline döner, uygulamanın sonraki normal kullanımını etkilemez) ve anahtarlar mevcut olduğunda QUIC / HTTP/3’ün şifresini doğrudan çözüp düz metni gösterebilir.

Bu, tamamen HTTP/3’e geçmiş uygulamalar için bile, dokunamayacağınız bir QUIC yığınına çaresizce bakmak yerine, düz metin alışverişlerini görebileceğiniz anlamına gelir.


8. Derin analiz için Wireshark’a sorunsuz geçiş

Bölüm başlığı “8. Derin analiz için Wireshark’a sorunsuz geçiş”

Wireshark düzeyinde profesyonel paket paket analize ihtiyaç duyduğunuzda, iki araç arasında ileri geri dışa aktarma yapmanıza gerek yok: bu oturumun trafiğini tek tıkla canlı olarak Wireshark’a iletin, orada hiçbir ek yapılandırma olmadan düz metin olarak açılır. Şifre çözme anahtarları, trafikle birlikte canlı olarak kademeli şekilde enjekte edilir, böylece geç gelen anahtarlar da doldurulur ve hiçbir çerçeve kaybolmaz.

Trafiği başka bir makinedeki Wireshark’a bile gönderebilir; bu makine yakalama ve şifre çözmeyi üstlenirken diğeri analize odaklanır; uzaktan işbirliği ve ortak sorun giderme için doğal bir uyum sağlar.

  • Dosyaya da dışa aktarma: şifre çözme anahtarları gömülü bir .pcapng dosyasını (Wireshark’ta açıldığında düz metindir) veya standart bir HAR’ı tek tıkla dışa aktarın ve bir meslektaşınıza başka hiçbir şey ayarlamadan doğrudan açması için verin.

Böylece her iki dünyanın en iyisini elde edersiniz: bu aracın “şifre çözme + süreç atfetme + tek tıkla host profili” özellikleri, artı Wireshark’ın derin paket paket analizi.


  • HTTP olmayan trafiği görüntüleme: DNS, QUIC, oyunlar, IoT, her türden özel protokol. Proxy’nin yakalayamadığı her şeyi NIC yakalayabilir.
  • Bir programın ağda yaptığı her şeyi anlama: gerçekte hangi adreslere bağlandığı, hangi protokolleri kullandığı ve “sessiz” bağlantıları olup olmadığı.
  • Sistem proxy’sini değiştirmek veya bir sertifika kurmak istememek: doğrudan yakalayın, sıfır müdahale.
  • Özel protokollerle uğraşma: ham akışı yakaladıktan sonra, okunabilir bir yapıya geri yüklemek için özel bir çözücü kullanın.
  • Derin inceleme için Wireshark’a devretme: profesyonel paket paket analize ihtiyaç duyduğunuzda, canlı olarak iletin; hiçbir ek yapılandırma olmadan düz metin olarak açılır.

Proxy Yakalama’ya geri dön · İlgili: İnceleme ve Çözümleme · Özel Protokol Çözümleme · Host Detayları