Einfache Möglichkeit, den Heimnetzwerkverkehr über einen Proxy zu überwachen und zu analysieren?

8

Frage

Ich suche nach einer Möglichkeit, eine einfache Liste / Protokoll / Datenbank der URLs zu erstellen, auf die meine Heimcomputer zugegriffen haben. Diese Liste sollte Domains, URLs, Zeitstempel, gesendete / empfangene Bytes anzeigen und das war's auch schon.

Hintergrund

In meinem Heimnetzwerk habe ich häufige Besucher mit begrenzten Computerkenntnissen und einige Laptops mit nicht gepatchten alten Windows-Versionen. Unsere kleinen Kinder und mein jugendlicher Sohn haben auch gelegentlich Zugang. Gelegentlich klickt jemand auf verrückte Dinge. Derzeit vermute ich, dass ein hochentwickelter Virus unser gesamtes LAN infiziert, indem er unsere Google-Suchergebnisse ändert. Damit der Text der Ergebnisse unverändert bleibt, verweisen die Links jedoch gelegentlich auf extrem bösartige Websites. Es ist so genial gestaltet, dass es schwer zu verfolgen ist, aber ich habe starke Beweise dafür, dass dies existiert. Also fange ich an, unser Netzwerk ernsthaft einzuschränken.

Vorherige Forschung

Ich kenne viele der Analysetools wie Wireshark und die Netzwerkverwaltungssysteme, die einen schweren Overkill darstellen. Ich habe Dutzende verwandter Fragen gelesen. Das mir am ähnlichsten ist:

Netzwerkverkehrsprotokoll

Dieser Typ verfolgt jedoch einen übermäßig komplexen Ansatz. Ich kenne auch RFlow, aber ich suche einen universelleren Ansatz und möchte keinen anderen Router kaufen, nur weil mir dieses Protokoll fehlt.


Zusammenfassung

Es muss einen einfacheren Weg geben! Kann ich keinen Proxy einrichten, alle meine Computer darauf verweisen und von diesem Proxy alle angeforderten URLs protokollieren lassen?

Es scheint, als wäre Tintenfisch der Proxy der Wahl, zusammen mit einer Art externem Tool zum Parsen der Protokolldateien. Hat jemand Vorschläge für eine saubere und einfache Methode, um den Datenverkehr von Computern (Mac, Windows, Ubuntu) in einem Heimnetzwerk über einen Proxy zu analysieren? Die Anzahl der Squid-Erweiterungen ist überwältigend. Hat jemand Erfolg damit gehabt, so etwas mit einem der unzähligen Squid-Plugins zu machen?

gMännlich
quelle

Antworten:

5

Ich bin der Meinung, dass ein DNS-Angriff hier weitaus wahrscheinlicher ist. Wenn Sie immer noch darauf aus sind, Ihre URLs zu verfolgen, möchten Sie vielleicht Fiddler2 verwenden. Dies ist eher für Webentwickler gedacht , stellt jedoch einen abfangenden lokalen Proxy her und überwacht den Webverkehr .

Ich bin jedoch der Meinung, dass DNS-Angriffe wahrscheinlicher sind als Google Injection:

Grundsätzlich fordern Sie die IP für an www.fun.comund die DNS-Auflösung gibt die IP für zurückwww.gonna-hack-you.cc

  1. Überprüfen Sie Ihre Hosts-Datei. Malware überschreibt gerne DNS-Auflösungen, insbesondere für Anti-Malware-Websites. Diese Datei befindet sich unter : c:\Windows\System32\drivers\etc\hosts, Sie können hier mehr darüber lesen: Hosts (File) @ Wikipedia .
  2. Verwenden Sie vertrauenswürdige DNS-Auflösungsserver. Dies ist viel schwieriger, aber Angreifer können den Cache auf den DNS-Servern Ihres Internetdienstanbieters missbrauchen, um sie dazu zu bringen, ungültige Ergebnisse an Sie zurückzugeben. Verwenden Sie am besten Ihren Router, um die DNS-Einstellungen zu überschreiben. Ich schlage vor, dass das öffentliche DNS von Google nicht nur eine höhere Sicherheit bietet, sondern Sie auch daran hindert, bekannte schlechte Websites im Allgemeinen zu besuchen. (In vielen Fällen werden die fehlerhaften Websites möglicherweise nicht aufgelöst, wenn Ihre URLs neu geschrieben werden. P)

Versuchen Sie als Test außerdem, DNS von einem webbasierten externen DNS-Auflösungsdienst aufzulösen, und vergleichen Sie die Ergebnisse mit den von nslookupihm zurückgegebenen, um festzustellen, ob Ihre DNS überschrieben werden.

Aren B.
quelle
3

Sie haben hier einige mögliche Optionen.

  1. Überprüfen Sie Ihren Router (möglicherweise in Ihr Modem integriert). Einige von ihnen verfügen über eine integrierte Grundprotokollierungsfunktion und können Informationen protokollieren und speichern oder per E-Mail an Sie senden.
  2. Wenn Sie mit einem Proxy arbeiten möchten, würde ich ein transparentes Proxy-Setup unter Verwendung einer Linux-Box vorschlagen. Alles, was dieser Computer tun muss, ist, alles hin und her zu übergeben und alle Quell- und Zieladressen zu protokollieren. Wenn Sie separate Modem- und Router-Hardware haben, würde der transparente Proxy natürlich zwischen ihnen wechseln. Sehen Sie hier für einen Guide zu einem mit Tintenfisch gehen.
  3. Ich habe sie seit Jahren nicht mehr verwendet, daher erinnere ich mich an keine der guten, aber ich weiß, dass es Anwendungen gibt, die installiert und verwendet werden können, um den Datenverkehr jedes Systems einzeln zu überwachen. Wenn Sie wissen, woher der vermutete Datenverkehr stammt, können Sie anhand dieser Informationen die genaue Quelle ermitteln und spezifische Hilfe und Bereinigung erhalten.
    (Bearbeiten)
  4. OpenDNS kann alle durchquerten Adressen protokollieren. Stellen Sie Ihr Modem / Ihren Router so ein, dass es verwendet wird, und melden Sie sich für den Dienst an, damit alles automatisch erledigt wird.
Tom A.
quelle
2

Sie können Ihre DNS-Einstellungen in Ihrer DHCP-Konfiguration in Ihrem Router so einstellen, dass OpenDNS verwendet wird. Erstellen Sie ein Konto bei OpenDNS und aktivieren Sie die DNS-Anforderungsprotokollierung, damit Sie sehen können, welche Domänen gesucht werden. Es ist leicht zu umgehen, sollte aber für den durchschnittlichen Benutzer funktionieren.

qroberts
quelle
5
Wenn Ihr Router über eine Firewall verfügt, können Sie alle DNS-Anforderungen (Port 53) blockieren, mit Ausnahme der Anforderungen an die OpenDNS-Server.
Linker3000
Das stimmt. Sie können trotzdem ein VPN verwenden und das umgehen: P
qroberts
2

Bruder! https://www.bro.org/

Dies ist bei weitem das Beste, da nicht nur Proxy-Protokolle erstellt werden, sondern auch DNS usw.

Ich habe einen Tipp, den ich meinem Bro-Sensor zuführe, und dann starte ich Splunk, um die Bro-Protokolle zu "splunk".

Ich habe einen Zugangspunkt und einen Switch gekauft und dann den Hahn zwischen Router und Switch gesetzt. Auf diese Weise erfasse ich den gesamten Verkehr.

Ich habe einen Netoptics Aggregating Tap Off bei eBay für ~ 100 US-Dollar gekauft.

Kennzeichen
quelle