Einfache Möglichkeit, den Netzwerkverkehr des Heimnetzwerks über einen Proxy zu überwachen und zu analysieren?

29649
gMale

Frage

Ich suche nach einer Möglichkeit, eine einfache Liste / Protokoll / Datenbank der URLs zu erstellen, auf die meine Heimcomputer zugegriffen haben. Diese Liste sollte Domänen, URLs, Zeitstempel, gesendete / empfangene Bytes anzeigen und das wars.

Hintergrund

In meinem Heimnetzwerk habe ich häufige Besucher mit eingeschränkten Computerkenntnissen und einige Laptops mit nicht gepatchten alten Windows-Versionen. Auch unsere Kinder und mein Sohn im Teenageralter haben gelegentlich Zutritt. Gelegentlich klickt jemand auf verrückte Dinge. Derzeit vermute ich, dass ein hochentwickelter Virus unser gesamtes LAN infiziert, indem er unsere Google-Suchergebnisse modifiziert. Damit der Text der Ergebnisse unverändert bleibt, weisen die Links jedoch gelegentlich auf extrem bösartige Websites hin. Es ist so genial entworfen, dass es schwer zu verfolgen ist, aber ich habe starke Beweise dafür, dass dies existiert. Ich fange an, unser Netzwerk ernsthaft zu bekämpfen.

Vorherige Forschung

Ich bin mit vielen Analysewerkzeugen wie Wireshark und den Netzwerkverwaltungssystemen vertraut, die einen erheblichen Overkill verursachen. Ich habe Dutzende von verwandten Fragen gelesen. Das mir am ähnlichsten ist:

Netzwerkverkehrsprotokoll

Dieser Typ ist jedoch zu komplex. Ich weiß auch von RFlow, aber ich suche einen universelleren Ansatz und ich möchte keinen anderen Router kaufen, nur weil mir dieses Protokoll fehlt.


Zusammenfassung

Es muss einen einfacheren Weg geben! Kann ich keinen Proxy einrichten, alle meine Computer darauf verweisen und diesen Proxy alle angeforderten URLs protokollieren lassen?

Es scheint, als wäre Squid die erste Wahl, zusammen mit einem externen Tool zum Parsen der Protokolldateien. Hat jemand Vorschläge für eine saubere, einfache Möglichkeit, den Verkehr von Computern (Mac, Windows, Ubuntu) in einem Heimnetzwerk über einen Proxy zu analysieren? Die Anzahl der Squid-Erweiterungen ist überwältigend. Hat jemand Erfolg gehabt, so etwas mit einem der unzähligen Tintenfisch-Plugins zu machen?

8

4 Antworten auf die Frage

5
Aren B

Ich glaube, ein DNS-Angriff ist hier viel wahrscheinlicher. Wenn Sie Ihre URLs nachverfolgen möchten, sollten Sie Fiddler2 ausprobieren. Dies ist mehr für Web-Entwickler, aber es stellt einen lokalen Proxy dar und überwacht den Web-Traffic.

Ich glaube jedoch, dass DNS-Angriffe wahrscheinlicher sind als die Google-Injektion:

Grundsätzlich fordern Sie die IP für www.fun.comund die DNS-Auflösung gibt die IP für zurückwww.gonna-hack-you.cc

  1. Überprüfen Sie Ihre Hosts-Datei, Malware überschreibt DNS-Auflösungen besonders für Anti-Malware-Websites. Diese Datei befindet sich unter: Hier c:\Windows\System32\drivers\etc\hostskönnen Sie mehr darüber lesen: Hosts (File) @ Wikipedia .
  2. Verwenden Sie vertrauenswürdige DNS-Auflösungsserver. Dies ist viel schwieriger, aber Angreifer können den Cache auf den DNS-Servern Ihres Internetdienstanbieters missbrauchen, damit sie ungültige Ergebnisse an Sie zurückgeben. Verwenden Sie Ihren Router am besten, um die DNS-Einstellungen zu überschreiben. Ich schlage vor, dass das öffentliche DNS von Google nicht nur eine höhere Sicherheit hat, sondern auch dazu führt, dass Sie allgemein BEKANNTE schlechte Websites nicht besuchen. (Wenn Ihre URLs also umgeschrieben werden, werden die betroffenen Seiten möglicherweise nicht aufgelöst; p)

Versuchen Sie als Test auch, DNS von einem webbasierten externen DNS-Auflösungsdienst zu lösen, und vergleichen Sie die Ergebnisse mit denen, die von nslookupdiesem zurückgegeben werden. So können Sie feststellen, ob Ihre DNS überschrieben werden.

3
Tom A

Sie haben hier einige Möglichkeiten.

  1. Überprüfen Sie Ihren Router (möglicherweise in Ihr Modem integriert). Einige von ihnen verfügen über eine grundlegende Protokollierungsfunktion und können Informationen protokollieren, speichern oder per E-Mail an Sie senden.
  2. Wenn Sie mit einem Proxy arbeiten möchten, würde ich ein transparentes Proxy-Setup mit einer Linux-Box vorschlagen. Alles, was dieser Rechner tun muss, ist, alles hin und her zu übergeben und alle Quell- und Zieladressen zu protokollieren. Wenn Sie über separate Modem- und Router-Hardware verfügen, würde der transparente Proxy natürlich zwischen ihnen wechseln. Sehen Sie hier für einen Führer eines mit Tintenfisch in Gang zu bringen.
  3. Ich habe sie seit Jahren nicht mehr verwendet, daher kann ich mich an keine der guten erinnern, aber ich weiß, dass es Anwendungen gibt, die installiert werden können und verwendet werden, um den Datenverkehr jedes Systems einzeln zu überwachen. Wenn Sie wissen, woher der verdächtige Datenverkehr kommt, können diese die genaue Quelle ermitteln und Sie können gezielte Hilfe und Bereinigung erhalten.
    (Bearbeiten)
  4. OpenDNS kann alle durchlaufenen Adressen protokollieren. Richten Sie Ihr Modem / Router so ein, dass es verwendet wird, und melden Sie sich für den Dienst an, damit alles automatisch erledigt wird.
2
qroberts

Sie können Ihre DNS-Einstellungen in der DHCP-Konfiguration Ihres Routers für die Verwendung von OpenDNS festlegen. Erstellen Sie ein Konto bei OpenDNS, und Sie können die DNS-Anforderungsprotokollierung aktivieren, um zu sehen, welche Domänen gesucht werden. Es ist leicht zu umgehen, sollte aber für den durchschnittlichen Benutzer funktionieren.

Wenn Ihr Router über eine Firewall verfügt, können Sie alle DNS-Anforderungen (Port 53) mit Ausnahme derjenigen an die OpenDNS-Server blockieren. Dadurch werden die Anforderungen etwas eingeschränkt. Linker3000 vor 14 Jahren 5
Das ist richtig. Sie können trotzdem ein VPN verwenden und das umgehen: P qroberts vor 14 Jahren 0
2
Mark

Bruder! https://www.bro.org/

Dies ist bei weitem das Beste, da hier nicht nur Proxy-Protokolle, sondern auch DNS usw. erstellt werden.

Ich habe einen Tipp, den ich meinem bro-Sensor zuführe, und dann lasse ich Splunk laufen, um die bro-Protokolle zu "splunk".

Ich habe einen Access Point und einen Switch gekauft und dann den Schalter zwischen Router und Switch platziert. Auf diese Weise fange ich den gesamten Verkehr ein.

Ich kaufte ein Netoptics-Aggregat für $ 100.