Простой способ мониторинга и анализа трафика домашней сети через прокси?

8

Вопрос

Я ищу способ создания простого списка / журнала / базы данных URL-адресов, к которым обращались мои домашние компьютеры. В этом списке должны отображаться домены, URL, метки времени, отправленные / записанные байты, и это все.

Фон

В моей домашней сети у меня частые посетители с ограниченными компьютерными знаниями, а также некоторые ноутбуки с исправленными старыми версиями Windows. У наших маленьких детей и моего сына-подростка также есть случайный доступ. Иногда кто-то нажимает на сумасшедшие вещи. В настоящее время я подозреваю, что существует очень сложный вирус, заражающий всю нашу локальную сеть, изменяя результаты поиска в Google. Таким образом, текст результатов остается неизменным, но ссылки иногда указывают на чрезвычайно вредоносные сайты. Он настолько изобретательно разработан, что его трудно отследить, но у меня есть убедительные доказательства того, что это существует. Поэтому я начинаю серьезно ограничивать нашу сеть.

Предыдущие исследования

Я знаком со многими инструментами анализа, такими как wireshark и системы управления сетью, которые сильно излишни. Я прочитал десятки связанных вопросов. Самый похожий на мой:

Журнал сетевого трафика

Однако этот парень использует слишком сложный подход. Я также знаю о RFlow, но я ищу более универсальный подход и не хочу покупать другой маршрутизатор только потому, что у меня нет этого протокола.


Резюме

Должен быть более простой способ! Не могу ли я настроить прокси-сервер, указать на нем все мои компьютеры, и чтобы этот прокси-сервер регистрировал все запрошенные URL-адреса?

Похоже, что squid был бы предпочтительным прокси вместе с каким-то внешним инструментом для анализа файлов журнала. У кого-нибудь есть предложения по чистому, простому способу анализа трафика компьютеров (Mac, Windows, Ubuntu) в домашней сети через прокси? Количество расширений Squid огромно. Кто-нибудь имел успех делать подобные вещи с любым из множества плагинов Squid?

gMale
источник

Ответы:

5

Я чувствую, что DNS-атака здесь гораздо более вероятна. Если вы все еще склонны к отслеживанию своих URL, возможно, вы захотите попробовать использовать Fiddler2 , это больше для веб-разработчиков, но он создает перехватывающий локальный прокси-сервер и отслеживает веб-трафик.

Тем не менее, я чувствую, что DNS-атаки более вероятны, чем инъекции Google:

В основном вы запрашиваете IP для, www.fun.comа разрешение DNS возвращает IP дляwww.gonna-hack-you.cc

  1. Проверьте файл hosts, вредоносные программы любят переопределять разрешения DNS, особенно на сайтах, защищенных от вредоносных программ. Этот файл находится по адресу:, c:\Windows\System32\drivers\etc\hostsвы можете узнать больше об этом здесь: Hosts (File) @ Wikipedia .
  2. Используйте доверенные серверы разрешения DNS. Это гораздо сложнее, но злоумышленники могут использовать кеш на DNS-серверах вашего интернет-провайдера, чтобы заставить их возвращать вам недействительные результаты. Лучше всего использовать ваш роутер для переопределения настроек DNS. Я предлагаю публичный DNS Google , он не только имеет более высокий уровень безопасности, но и не позволит вам посещать ИЗВЕСТНЫЕ плохие сайты в целом. (Так что во многих случаях, если ваши URL-адреса переписываются, сайты-нарушители могут не разрешиться; p)

Кроме того, в качестве теста попробуйте разрешить DNS из веб-службы внешнего разрешения DNS и сравнить результаты с результатами, полученными из nslookupнее, чтобы определить, переопределяется ли ваш DNS.

Арен Б
источник
3

У вас есть несколько возможных вариантов здесь.

  1. Проверьте ваш маршрутизатор (может быть встроен в ваш модем). Некоторые из них имеют встроенную базовую возможность ведения журнала и могут регистрировать, хранить или отправлять вам информацию по электронной почте.
  2. Если вы хотите использовать прокси, я бы предложил настройку прозрачного прокси с помощью linux box. Все, что нужно этой машине, это передавать все туда и обратно и регистрировать все адреса отправителя и получателя. Если у вас есть отдельное модемное и маршрутизаторское оборудование, прозрачный прокси, конечно же, будет между ними. Смотрите здесь для руководства, чтобы получить один с кальмаром.
  3. Я не использовал их годами, поэтому я не помню ни одного из хороших, но я знаю, что есть приложения, которые можно установить и использовать для отслеживания трафика каждой системы в отдельности. Если вы знаете, откуда поступает подозрительный трафик, это может помочь точно определить точный источник и получить конкретную помощь и очистку.
    (Редактировать)
  4. OpenDNS может регистрировать все пройденные адреса. Настройте модем / маршрутизатор на его использование и подпишитесь на их обслуживание, чтобы все позаботилось автоматически.
Том А
источник
2

Вы можете установить свои настройки DNS в конфигурации DHCP вашего маршрутизатора, чтобы использовать OpenDNS. Создайте учетную запись в OpenDNS, и вы сможете включить ведение журнала DNS-запросов, чтобы вы могли видеть, какие домены ищутся. Это легко обойти, но это должно работать для среднего пользователя.

qroberts
источник
5
Если на вашем маршрутизаторе установлен брандмауэр, вы можете заблокировать все DNS-запросы (порт 53), за исключением запросов к серверам OpenDNS, что блокирует их немного больше.
Linker3000
Это правда. Они все еще могут использовать VPN и обходить это: P
qroberts
2

Братан! https://www.bro.org/

Это, безусловно, лучший, потому что он будет создавать не только логи прокси, но и днс, и т.д .....

У меня есть сигнал, который я передаю своему брат-сенсору, а затем запускаю Splunk, чтобы «пороть» журналы брата.

Я купил точку доступа и коммутатор, затем поместил сигнал между маршрутизатором и коммутатором. Таким образом, я фиксирую весь трафик.

Я купил агрегат нетоптики от ebay за ~ 100 долларов.

отметка
источник