Простой способ мониторинга и анализа трафика домашней сети через прокси?

29724
gMale

Вопрос

Я ищу способ создания простого списка / журнала / базы данных URL-адресов, к которым обращались мои домашние компьютеры. В этом списке должны отображаться домены, URL, метки времени, отправленные / записанные байты, и это все.

Фон

В моей домашней сети у меня частые посетители с ограниченными компьютерными знаниями и некоторые ноутбуки с непропатченными старыми версиями Windows. Наши маленькие дети и мой сын-подросток также имеют случайный доступ. Иногда кто-то нажимает на сумасшедшие вещи. В настоящее время я подозреваю, что существует очень сложный вирус, заражающий всю нашу локальную сеть, изменяя результаты поиска в Google. Таким образом, текст результатов остается неизменным, но ссылки иногда указывают на чрезвычайно вредоносные сайты. Он настолько изобретательно разработан, что его трудно отследить, но у меня есть веские доказательства того, что это существует. Поэтому я начинаю серьезно ограничивать нашу сеть.

Предыдущие исследования

Я знаком со многими инструментами анализа, такими как wireshark и системы управления сетью, которые сильно излишни. Я прочитал десятки связанных вопросов. Самый похожий на мой:

Журнал сетевого трафика

Тем не менее, этот парень использует слишком сложный подход. Я также знаю о RFlow, но я ищу более универсальный подход и не хочу покупать другой маршрутизатор только потому, что у меня нет этого протокола.

Резюме

Должен быть более простой способ! Не могу ли я настроить прокси-сервер, указать на нем все мои компьютеры, и чтобы этот прокси-сервер регистрировал все запрошенные URL-адреса?

Похоже, что squid был бы предпочтительным прокси вместе с каким-то внешним инструментом для анализа файлов журнала. У кого-нибудь есть предложения по чистому, простому способу анализа трафика компьютеров (Mac, Windows, Ubuntu) в домашней сети через прокси? Количество расширений Squid огромно. Кто-нибудь имел успех делать подобные вещи с любым из многочисленных плагинов Squid?

8

4 ответа на вопрос

5
Aren B

Я чувствую, что DNS-атака здесь гораздо более вероятна. Если вы все еще склонны к отслеживанию своих URL, возможно, вы захотите попробовать использовать Fiddler2, это больше для веб-разработчиков, но он создает перехватывающий локальный прокси-сервер и отслеживает веб-трафик.

Тем не менее, я чувствую, что DNS-атаки более вероятны, чем инъекции Google:

В основном вы запрашиваете IP для, www.fun.comа разрешение DNS возвращает IP дляwww.gonna-hack-you.cc

  1. Проверьте файл hosts, вредоносные программы любят переопределять разрешения DNS, особенно на сайтах, защищенных от вредоносных программ. Этот файл находится по адресу:, c:\Windows\System32\drivers\etc\hostsвы можете узнать больше об этом здесь: Hosts (File) @ Wikipedia .
  2. Используйте доверенные серверы разрешения DNS. Это гораздо сложнее, но злоумышленники могут использовать кеш на DNS-серверах вашего интернет-провайдера, чтобы заставить их возвращать вам недействительные результаты. Лучше всего использовать ваш роутер для переопределения настроек DNS. Я предлагаю публичный DNS Google, он не только имеет более высокий уровень безопасности, но и не позволит вам посещать ИЗВЕСТНЫЕ плохие сайты в целом. (Так что во многих случаях, если ваши URL-адреса переписываются, сайты-нарушители могут не разрешиться; p)

Кроме того, в качестве теста попробуйте разрешить днс из веб-службы внешнего разрешения DNS и сравнить результаты с результатами, полученными из nslookupнего, чтобы определить, переопределяется ли ваш днс.

3
Tom A

У вас есть несколько потенциальных вариантов здесь.

  1. Проверьте ваш маршрутизатор (может быть встроен в ваш модем). Некоторые из них имеют встроенную базовую возможность ведения журналов и могут регистрировать, хранить или отправлять вам информацию по электронной почте.
  2. Если вы хотите использовать прокси, я бы предложил настройку прозрачного прокси с помощью linux box. Все, что нужно этой машине, это передавать все туда и обратно и регистрировать все адреса отправителя и получателя. Если у вас есть отдельное модемное и маршрутизаторское оборудование, прозрачный прокси, конечно же, будет между ними. Смотрите здесь для руководства, чтобы получить один с кальмаром.
  3. Я не использовал их годами, поэтому я не помню ни одного из хороших, но я знаю, что есть приложения, которые можно установить и использовать для отслеживания трафика каждой системы в отдельности. Если вы знаете, откуда поступает подозрительный трафик, это может помочь точно определить точный источник и получить конкретную помощь и очистку.
    (Редактировать)
  4. OpenDNS способен регистрировать все пройденные адреса. Настройте модем / маршрутизатор на его использование и подпишитесь на их обслуживание, чтобы обо всем позаботились автоматически.
2
qroberts

Вы можете установить свои настройки DNS в конфигурации DHCP вашего маршрутизатора, чтобы использовать OpenDNS. Создайте учетную запись в OpenDNS, и вы сможете включить ведение журнала DNS-запросов, чтобы вы могли видеть, какие домены ищутся. Это легко обойти, но это должно работать для среднего пользователя.

Если на вашем маршрутизаторе установлен брандмауэр, вы можете заблокировать все DNS-запросы (порт 53), кроме запросов к серверам OpenDNS, что блокирует их немного больше. Linker3000 14 лет назад 5
Это правда. Они все еще могут использовать VPN, хотя и обойти это: P qroberts 14 лет назад 0
2
Mark

Bro! https://www.bro.org/

This is by far the best, because it will not only create proxy logs, but also dns, etc.....

I have a tap that I feed to my bro sensor and then I run Splunk to "splunk" the bro logs.

I purchased a access point and switch, then put the tap between the router and the switch. This way I capture all traffic.

I purchased a netoptics aggregating tap off ebay for ~$100.

Похожие вопросы