Prosty sposób monitorowania i analizy ruchu w sieci domowej za pośrednictwem proxy?

8

Pytanie

Szukam sposobu na utworzenie prostej listy / dziennika / bazy danych adresów URL, do których uzyskali dostęp moje komputery domowe. Ta lista powinna zawierać Domeny, adresy URL, znaczniki czasu, bajty wysłane / odzyskane i to wszystko.

tło

W mojej sieci domowej często odwiedzają mnie osoby z ograniczoną znajomością komputera i niektóre laptopy z niepoprawionymi starymi wersjami systemu Windows. Nasze małe dzieci i mój nastoletni syn mają również okazjonalny dostęp. Czasami ktoś klika szalone rzeczy. Obecnie podejrzewam, że istnieje wysoce wyrafinowany wirus infekujący całą naszą sieć LAN poprzez modyfikację wyników wyszukiwania Google. Tak więc tekst wyników pozostaje niezmieniony, ale linki czasami wskazują na bardzo złośliwe strony. Jest tak pomysłowo zaprojektowany, że trudno go wyśledzić, ale mam mocne dowody, że tak jest. Zaczynam więc poważnie ograniczać naszą sieć.

Wcześniejsze badania

Znam wiele narzędzi analitycznych, takich jak wireshark i systemy zarządzania siecią, które powodują poważne nadwyżki. Przeczytałem dziesiątki powiązanych pytań. Najbardziej podobny do mojego to:

Dziennik ruchu sieciowego

Jednak ten facet przyjmuje zbyt złożone podejście. Jestem również świadomy RFlow, ale szukam bardziej uniwersalnego podejścia i nie chcę kupować innego routera tylko dlatego, że mój nie ma tego protokołu.


Podsumowanie

Musi być prostszy sposób! Czy nie mogę skonfigurować serwera proxy, skierować go na wszystkie moje komputery i pozwolić temu dziennikowi rejestrować wszystkie żądane adresy URL?

Wygląda na to, że kałamarnica byłaby wybranym serwerem proxy wraz z jakimś zewnętrznym narzędziem do parsowania plików dziennika. Czy ktoś ma sugestie dotyczące czystego, prostego sposobu analizy ruchu komputerów (Mac, Windows, Ubuntu) w sieci domowej za pośrednictwem proxy? Liczba rozszerzeń Squid jest przytłaczająca. Czy ktoś osiągnął sukces, robiąc coś takiego z dowolną liczbą niezliczonych wtyczek squid?

gMale
źródło

Odpowiedzi:

5

Wydaje mi się, że atak dns jest tutaj o wiele bardziej prawdopodobny. Jeśli nadal masz ochotę śledzić swoje adresy URL, możesz spróbować użyć Fiddler2 , jest to więcej dla twórców stron internetowych, ale przechwytuje lokalnego proxy i monitoruje ruch w sieci.

Wydaje mi się jednak, że bardziej prawdopodobne niż zastrzyk Google, są ataki DNS:

Zasadniczo www.fun.comżądasz adresu ip dla, a rozdzielczość dns zwraca adres ipwww.gonna-hack-you.cc

  1. Sprawdź plik hostów, złośliwe oprogramowanie lubi zastępować rozdzielczości DNS, szczególnie na stronach z oprogramowaniem przeciw złośliwym programom. Ten plik znajduje się na stronie: c:\Windows\System32\drivers\etc\hostsmożesz przeczytać więcej o nim tutaj: Hosts (File) @ Wikipedia .
  2. Użyj zaufanych serwerów rozpoznawania nazw DNS. Jest to o wiele trudniejsze, ale atakujący mogą nadużyć pamięć podręczną na serwerach DNS Twojego dostawcy ISP, aby zmusić ich do zwrócenia ci nieprawidłowych wyników. Najlepiej użyć routera do zastąpienia ustawień DNS. Sugeruję publiczny DNS Google'a , który nie tylko zapewnia większe bezpieczeństwo, ale także powstrzyma cię przed odwiedzaniem ZNANYCH złych stron w ogóle. (Tak więc w wielu przypadkach, gdy adresy URL są PONOWNIE zapisywane, strony mogą nie rozwiązać problemu; p)

Ponadto, w ramach testu, spróbuj rozwiązać dns z internetowej usługi zewnętrznego rozpoznawania DNS i porównaj wyniki z wynikami zwróconymi z nslookupniego, aby pomóc Ci ustalić, czy dns jest zastępowany.

Aren B.
źródło
3

Masz tutaj kilka potencjalnych opcji.

  1. Sprawdź router (może być wbudowany w modem). Niektóre z nich mają wbudowaną podstawową funkcję rejestrowania i mogą rejestrować i przechowywać informacje e-mailem.
  2. Jeśli chcesz korzystać z serwera proxy, sugerowałbym przezroczystą konfigurację serwera proxy za pomocą Linux-a. Wszystko, co musi zrobić ta maszyna, to przekazać wszystko tam i z powrotem i zapisać wszystkie adresy źródłowe i docelowe. Jeśli masz oddzielny modem i router, przezroczysty serwer proxy oczywiście będzie się między nimi łączył. Zobacz tutaj przewodnik, który pomoże ci zacząć od kałamarnicy.
  3. Nie korzystałem z nich od lat, więc nie pamiętam żadnych dobrych, ale wiem, że istnieją aplikacje, które można zainstalować i używać do indywidualnego monitorowania ruchu każdego systemu. Jeśli wiesz, skąd pochodzi podejrzany ruch, mogą one pomóc w dokładnym wskazaniu źródła i uzyskać konkretną pomoc i czyszczenie.
    (Edytować)
  4. OpenDNS może rejestrować wszystkie przemierzane adresy. Skonfiguruj modem / router, aby z niego korzystał i zarejestruj się w jego serwisie, aby wszystko załatwiało się automatycznie.
Tom A.
źródło
2

Możesz skonfigurować ustawienia DNS w konfiguracji DHCP w routerze, aby korzystać z OpenDNS. Utwórz konto w OpenDNS i możesz włączyć rejestrowanie żądań DNS, aby zobaczyć, które domeny są wyszukiwane. Łatwo go ominąć, ale powinien działać na przeciętnym użytkowniku.

qroberts
źródło
5
Jeśli router ma zaporę ogniową, możesz zablokować wszystkie żądania DNS (port 53) z wyjątkiem tych skierowanych do serwerów OpenDNS - to trochę blokuje sytuację.
Linker3000,
To prawda. Nadal mogą jednak korzystać z VPN i ominąć to: P
qroberts
2

Brachu! https://www.bro.org/

Jest to zdecydowanie najlepsze, ponieważ nie tylko tworzy dzienniki proxy, ale także dns itp.

Mam kran, który podaję do mojego czujnika bro, a następnie uruchamiam Splunk, aby „rozłupać” dzienniki bro.

Kupiłem punkt dostępowy i przełącznik, a następnie wcisnąłem kran między routerem a przełącznikiem. W ten sposób rejestruję cały ruch.

Kupiłem netoptics agregację dotknij eBay za ~ 100 $.

znak
źródło