Maneira simples de monitorar e analisar o tráfego da rede doméstica via proxy?

Navegue suas respostas
8

Pergunta

Estou procurando uma maneira de criar uma lista / registro / banco de dados simples dos URLs que meus computadores domésticos acessaram. Esta lista deve mostrar Domínios, Urls, Carimbos de data / hora, bytes enviados / recebidos e é sobre isso.

Plano de fundo

Na minha rede doméstica, tenho visitantes frequentes com conhecimento limitado de computadores e alguns laptops com versões antigas do Windows sem patch. Nossos filhos pequenos e meu filho adolescente também têm acesso ocasional. Ocasionalmente, alguém clica em coisas malucas. Atualmente, suspeito que há um vírus altamente sofisticado infectando toda a nossa LAN, modificando nossos resultados de pesquisa do Google. Para que o texto dos resultados permaneça inalterado, mas os links ocasionalmente apontam para sites extremamente maliciosos. É tão engenhosamente projetado que é difícil de acompanhar, mas tenho strongs evidências de que isso existe. Então, estou começando a comprometer seriamente nossa rede.

Pesquisa anterior

Estou familiarizado com muitas das ferramentas de análise, como a wireshark, e os sistemas de gerenciamento de rede, que são um grande exagero. Eu já li dezenas de perguntas relacionadas. O mais parecido com o meu é:

Log de tráfego de rede

No entanto, esse cara está adotando uma abordagem excessivamente complexa. Também estou ciente de RFlow , mas estou procurando um abordagem universal e eu não quero comprar outro roteador só porque o meu não tem esse protocolo.

Resumo

Deve haver uma maneira mais simples! Não consigo configurar um proxy, apontar todos os meus computadores para ele e solicitar que todos os URLs solicitem o registro do proxy?

Parece que o squid seria o proxy preferido junto com algum tipo de de ferramenta externa para analisar os arquivos de log. Alguém tem sugestões sobre uma maneira simples e limpa de analisar o tráfego de computadores (Mac, Windows, Ubuntu) em uma rede doméstica, via proxy? O número de extensões do Squid é impressionante. Alguém já teve sucesso fazendo esse tipo de coisa com qualquer um dos inúmeros plugins do squid?

    
por gMale 24.09.2010 / 17:24

4 respostas

5

Eu sinto que um ataque DNS é muito mais provável aqui. Se você ainda está empenhado em monitorar seus URLs, você pode tentar usar Fiddler2 , é mais para desenvolvedores web, mas faz uma interceptação proxy local e monitora o tráfego na web.

No entanto, acho que o que é mais provável do que a injeção do Google é ataques de DNS:

Basicamente você solicita o ip para www.fun.com e a resolução do dns retorna o ip para www.gonna-hack-you.cc

  1. Verifique seu arquivo de hosts, o malware gosta de substituir as resoluções de DNS, especialmente para sites antimalware. Este arquivo está localizado em: c:\Windows\System32\drivers\etc\hosts , você pode ler mais sobre isso aqui: Hosts (File) @ Wikipedia
  2. Use servidores de resolução de DNS confiáveis. É muito mais difícil fazer isso, mas os invasores podem abusar do cache dos servidores DNS do seu provedor para que eles retornem resultados inválidos para você. Melhor usar seu roteador para substituir as configurações de DNS. Sugiro o DNS público do Google , não apenas de maior segurança, mas também impedirá que você visite o KNOWN sites ruins em geral. (Assim, em muitos casos, se seus URLs estão sendo reescritos, os sites ofensivos podem não resolver; p)

Além disso, como um teste, tente resolver dns de um serviço de resolução de DNS externo baseado na web e compare os resultados com os retornados de nslookup para ajudar a determinar se seu dns está sendo substituído.

    
por 24.09.2010 / 18:40
3

Você tem algumas opções possíveis aqui.

  1. Verifique seu roteador (pode estar embutido no seu modem). Alguns deles têm um recurso de registro básico integrado e podem registrar, armazenar ou enviar por email informações para você.
  2. Se você quiser usar um proxy, sugiro uma configuração de proxy transparente usando uma caixa linux. Tudo o que esta máquina precisa fazer é passar tudo para trás e para frente e registrar todos os endereços de origem e destino. Se você tiver hardware separado de modem e roteador, o proxy transparente, é claro, irá entre eles. Veja aqui para um guia sobre como obter um com lula.
  3. Eu não os uso há anos, por isso não me lembro de nenhum dos bons, mas sei que existem aplicativos que podem ser instalados e usados para observar o tráfego de cada sistema individualmente. Se você souber de onde vem o tráfego suspeito, isso poderá ajudar a identificar a origem exata e permitir que você obtenha ajuda e limpeza específicas. (Editar)
  4. O OpenDNS é capaz de registrar todos os endereços percorridos. Configure seu Modem / Roteador para usá-lo e inscreva-se em seu serviço para que tudo seja feito automaticamente.
por 24.09.2010 / 18:30
2

Você pode definir suas configurações de DNS na configuração do DHCP no roteador para usar o OpenDNS. Crie uma conta com o OpenDNS e você pode habilitar o log de solicitações de DNS para poder ver quais domínios estão sendo pesquisados. É fácil ignorar, mas deve funcionar no usuário médio.

    
por 24.09.2010 / 19:33
2

Bro! link

Este é de longe o melhor, porque não só cria logs de proxy, mas também dns, etc .....

Eu tenho um toque que eu alimento no meu sensor bro e depois executo o Splunk para "splunk" os logs do bro.

Eu comprei um ponto de acesso e switch, depois coloquei o toque entre o roteador e o switch. Desta forma, eu capturo todo o tráfego.

Eu comprei um agregador de netoptics do ebay por ~ $ 100.

    
por 29.04.2015 / 17:42

Tags

Como eu exporto o histórico da linha de comando do Windows para um arquivo de texto? Nenhum símbolo de pipe no Ubuntu 11.04 em execução no Windows 7 x64 VirtualBox