Modo semplice per monitorare e analizzare il traffico di rete domestica, tramite proxy?


8

Domanda

Sto cercando un modo per creare un semplice elenco / registro / database degli URL a cui i miei computer di casa hanno avuto accesso. Questo elenco dovrebbe mostrare domini, URL, timestamp, byte inviati / reced e questo è tutto.

sfondo

Sulla mia rete domestica ho visitatori frequenti con conoscenze informatiche limitate e alcuni laptop con vecchie versioni di Windows senza patch. Anche i nostri bambini e mio figlio adolescente hanno accesso occasionale. Occasionalmente, qualcuno fa clic su cose folli. Attualmente, sospetto che ci sia un virus altamente sofisticato che infetta l'intera nostra LAN modificando i nostri risultati di ricerca di Google. In modo che il testo dei risultati rimanga invariato ma i collegamenti occasionalmente puntano a siti estremamente dannosi. È progettato in modo così ingegnoso che è difficile da rintracciare, ma ho forti prove dell'esistenza di questo. Quindi sto iniziando a bloccare seriamente la nostra rete.

Ricerche precedenti

Conosco molti degli strumenti di analisi come WireShark e i sistemi di gestione della rete che sono eccessivamente gravi. Ho letto dozzine di domande correlate. Quello più simile al mio è:

Registro del traffico di rete

Tuttavia, questo ragazzo sta adottando un approccio eccessivamente complesso. Sono anche a conoscenza di RFlow ma sto cercando un approccio più universale e non voglio acquistare un altro router solo perché il mio non ha questo protocollo.


Sommario

Deve esserci un modo più semplice! Non posso impostare un proxy, puntare tutti i miei computer su di esso e quel proxy registra tutti gli URL richiesti?

Sembra che squid sia il proxy preferito insieme a una sorta di strumento esterno per analizzare i file di registro. Qualcuno ha suggerimenti su un modo pulito e semplice per analizzare il traffico di computer (Mac, Windows, Ubuntu) in una rete domestica, tramite proxy? Il numero di estensioni di calamari è travolgente. Qualcuno ha avuto successo facendo questo genere di cose con uno qualsiasi degli innumerevoli plugin di calamari?

Risposte:


5

Sento che un attacco DNS è molto più probabile qui. Se sei ancora intenzionato a rintracciare i tuoi URL, potresti provare a utilizzare Fiddler2 , è più per gli sviluppatori web ma crea un proxy locale intercettante e monitora il traffico web.

Tuttavia, ritengo che ciò che è più probabile dell'iniezione di Google, siano Attacchi DNS:

Fondamentalmente si richiede l'IP per www.fun.come la risoluzione DNS restituisce l'IP perwww.gonna-hack-you.cc

  1. Controlla il tuo file host, al malware piace sovrascrivere le risoluzioni DNS soprattutto ai siti anti-malware. Questo file si trova in c:\Windows\System32\drivers\etc\hosts:, puoi leggere di più qui: Host (File) @ Wikipedia .
  2. Utilizzare server di risoluzione DNS attendibili. È molto più difficile da fare, ma gli aggressori possono abusare della cache sui server DNS del tuo ISP per farti restituire risultati non validi. È meglio usare il router per sovrascrivere le impostazioni DNS. Suggerisco il DNS pubblico di Google , non solo è di maggiore sicurezza, ma ti impedirà anche di visitare siti male conosciuti in generale. (Quindi in molti casi se i tuoi URL SONO riscritti, i siti offensivi potrebbero non risolversi; p)

Inoltre, come test, prova a risolvere il DNS da un servizio di risoluzione DNS esterno basato sul web e confronta i risultati con quelli restituiti da nslookupesso ti aiuterà a determinare se il tuo DNS è stato annullato.


3

Hai alcune potenziali opzioni qui.

  1. Controlla il tuo router (potrebbe essere integrato nel tuo modem). Alcuni di essi hanno una funzionalità di registrazione di base integrata e possono accedere e archiviare o inviare tramite e-mail le informazioni.
  2. Se vuoi andare con un proxy, suggerirei una configurazione proxy trasparente usando una scatola di Linux. Tutto ciò che questa macchina deve fare è passare tutto avanti e indietro e registrare tutti gli indirizzi di origine e destinazione. Se si dispone di hardware separato per modem e router, il proxy trasparente dovrebbe ovviamente passare da uno all'altro. Vedi qui per una guida per ottenere uno con calamari.
  3. Non li uso da anni, quindi non ricordo nessuno di quelli buoni, ma so che ci sono applicazioni che possono essere installate e utilizzate per monitorare singolarmente il traffico di ciascun sistema. Se sai da dove proviene il traffico sospetto, questi potrebbero aiutare a individuare l'origine esatta e consentirti di ottenere assistenza e pulizia specifiche.
    (Modificare)
  4. OpenDNS è in grado di registrare tutti gli indirizzi attraversati. Imposta il tuo modem / router per usarlo e iscriviti al loro servizio per occuparti di tutto automaticamente.

2

È possibile configurare le impostazioni DNS nella configurazione DHCP nel router per utilizzare OpenDNS. Crea un account con OpenDNS e puoi abilitare la registrazione delle richieste DNS in modo da poter vedere quali domini vengono cercati. È facile da bypassare, ma dovrebbe funzionare su un utente medio.


5
Se il tuo router ha un firewall, puoi bloccare tutte le richieste DNS (porta 53) tranne quelle ai server OpenDNS - che bloccano un po 'di più le cose.
Linker3000,

È vero. Possono comunque usare una VPN e bypassarla: P
qroberts,

2

Fra! https://www.bro.org/

Questo è di gran lunga il migliore, perché non solo creerà registri proxy, ma anche dns, ecc .....

Ho un tocco che alimento al mio sensore fratello e quindi eseguo Splunk per "dividere" i registri fratello.

Ho acquistato un punto di accesso e un interruttore, quindi ho messo il rubinetto tra il router e l'interruttore. In questo modo acquisisco tutto il traffico.

Ho acquistato un netoptics aggregando tap off ebay per ~ $ 100.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.