Cara sederhana untuk memantau dan menganalisis lalu lintas jaringan rumah, melalui proxy?

8

Pertanyaan

Saya mencari cara untuk membuat daftar / log / basis data URL sederhana yang diakses komputer rumah saya. Daftar ini harus menunjukkan Domain, Url, Stempel Waktu, byte yang dikirim / diterima dan hanya itu saja.

Latar Belakang

Di jaringan rumah saya, saya sering memiliki pengunjung dengan pengetahuan komputer yang terbatas dan beberapa laptop dengan Windows versi lama yang tidak ditambal. Anak-anak kecil kami dan putra remaja saya juga memiliki akses sesekali. Kadang-kadang, seseorang mengklik hal-hal gila. Saat ini, saya menduga ada virus yang sangat canggih menginfeksi seluruh LAN kami dengan memodifikasi hasil pencarian google kami. Agar teks hasil tidak berubah tetapi tautan terkadang mengarah ke situs yang sangat jahat. Ini dirancang dengan sangat cerdik sehingga sulit dilacak tetapi saya memiliki bukti kuat bahwa ini ada. Jadi saya mulai secara serius menekan jaringan kami.

Penelitian Sebelumnya

Saya akrab dengan banyak alat analisis seperti wireshark dan sistem manajemen jaringan yang terlalu banyak membunuh. Saya sudah membaca puluhan pertanyaan terkait. Yang paling mirip dengan milik saya adalah:

Log Lalu Lintas Jaringan

Namun, pria ini mengambil pendekatan yang terlalu rumit. Saya juga mengetahui RFlow tetapi saya mencari pendekatan yang lebih universal dan saya tidak ingin membeli router lain hanya karena saya tidak memiliki protokol ini.


Ringkasan

Pasti ada cara yang lebih sederhana! Tidak bisakah saya menyiapkan proxy, arahkan semua komputer saya ke sana, dan minta proxy itu mencatat semua URL?

Sepertinya squid akan menjadi proksi pilihan bersama dengan beberapa jenis alat eksternal untuk mem-parsing file log. Adakah yang punya saran tentang cara bersih dan sederhana untuk menganalisis lalu lintas komputer (Mac, Windows, Ubuntu) di jaringan rumah, melalui proxy? Jumlah ekstensi Squid luar biasa. Adakah yang berhasil melakukan hal semacam ini dengan plugin cumi-cumi yang tak terhitung jumlahnya?

gMale
sumber

Jawaban:

5

Saya merasa serangan dns jauh lebih mungkin di sini. Jika Anda masih sulit melacak url Anda, Anda mungkin ingin mencoba menggunakan Fiddler2 , itu lebih untuk pengembang web tetapi membuat proxy lokal yang menyadap dan memonitor lalu lintas web.

Namun, saya merasa apa yang lebih mungkin daripada injeksi google, adalah Serangan DNS:

Pada dasarnya Anda meminta ip untuk www.fun.comdan resolusi dns mengembalikan ip untukwww.gonna-hack-you.cc

  1. Periksa file host Anda, malware suka mengganti resolusi dns terutama ke situs anti-malware. File ini terletak di:, c:\Windows\System32\drivers\etc\hostsAnda dapat membaca lebih lanjut di sini: Hosts (File) @ Wikipedia .
  2. Gunakan Server Resolusi DNS Tepercaya. Ini jauh lebih sulit untuk dilakukan tetapi penyerang dapat menyalahgunakan cache pada server DNS ISP Anda untuk meminta mereka mengembalikan hasil yang tidak valid kepada Anda. Terbaik untuk menggunakan router Anda untuk menimpa Pengaturan DNS. Saya sarankan DNS publik Google , bukan saja memiliki keamanan yang lebih tinggi, tetapi juga akan menghentikan Anda mengunjungi situs buruk KNOWN secara umum. (Jadi dalam banyak kasus jika url Anda sedang ditulis ulang, situs yang menyinggung mungkin tidak menyelesaikan; p)

Juga, sebagai tes, cobalah menyelesaikan dns dari layanan penyelesaian DNS eksternal berbasis web, dan bandingkan hasilnya dengan yang dikembalikan dari nslookupitu akan membantu Anda menentukan apakah dns Anda sedang diganti.

Aren B
sumber
3

Anda memiliki beberapa opsi potensial di sini.

  1. Periksa router Anda (dapat dibangun ke modem Anda). Beberapa dari mereka memiliki kemampuan dasar logging dan dapat login dan menyimpan atau mengirim email informasi kepada Anda.
  2. Jika Anda ingin menggunakan proxy, saya sarankan setup proxy transparan menggunakan kotak linux. Yang perlu dilakukan mesin ini adalah meneruskan semuanya bolak-balik dan mencatat semua sumber dan alamat tujuan. Jika Anda memiliki modem dan perangkat keras perute yang terpisah, proksi transparan tentu saja akan berada di antara keduanya. Lihat di sini untuk panduan untuk mendapatkannya dengan cumi.
  3. Saya sudah bertahun-tahun tidak menggunakannya, jadi saya tidak ingat yang bagus, tapi saya tahu ada aplikasi yang dapat diinstal dan digunakan untuk mengawasi lalu lintas setiap sistem secara individual. Jika Anda tahu dari mana datangnya lalu lintas yang dicurigai, ini dapat membantu menunjukkan dengan tepat sumber yang tepat dan memungkinkan Anda mendapatkan bantuan dan pembersihan khusus.
    (Edit)
  4. OpenDNS mampu mencatat semua alamat yang dilalui. Atur Modem / Router Anda untuk menggunakannya, dan mendaftar untuk layanan mereka agar semuanya diurus secara otomatis.
Tom A
sumber
2

Anda dapat mengatur pengaturan DNS Anda dalam konfigurasi DHCP di router Anda untuk menggunakan OpenDNS. Buat akun dengan OpenDNS dan Anda dapat mengaktifkan pendataan permintaan DNS sehingga Anda dapat melihat domain apa yang sedang dicari. Sangat mudah untuk mem-bypass tetapi harus bekerja pada rata-rata pengguna.

qroberts
sumber
5
Jika router Anda memiliki firewall, Anda dapat memblokir semua permintaan DNS (port 53) kecuali permintaan untuk server OpenDNS - yang mengunci lebih banyak hal.
Linker3000
Itu benar. Mereka masih dapat menggunakan VPN dan memotongnya: P
qroberts
2

Kawan! https://www.bro.org/

Sejauh ini yang terbaik, karena tidak hanya akan membuat log proxy, tetapi juga dns, dll .....

Saya memiliki keran yang saya makan ke sensor bro saya dan kemudian saya menjalankan Splunk untuk "splunk" log bro.

Saya membeli titik akses dan sakelar, lalu meletakkan keran di antara router dan sakelar. Dengan cara ini saya menangkap semua lalu lintas.

Saya membeli agregat netoptics dari ebay untuk ~ $ 100.

Menandai
sumber