Cách đơn giản để giám sát và phân tích lưu lượng mạng gia đình, thông qua proxy?

Câu hỏi

Tôi đang tìm cách tạo một danh sách / nhật ký / cơ sở dữ liệu đơn giản về các URL mà máy tính gia đình của tôi đã truy cập. Danh sách này sẽ hiển thị Tên miền, Url, Dấu thời gian, byte được gửi / rec'd và đó là về nó.

Lý lịch

Trên mạng gia đình của tôi, tôi có khách truy cập thường xuyên với kiến ​​thức máy tính hạn chế và một số máy tính xách tay với các phiên bản Windows cũ chưa được vá. Trẻ nhỏ của chúng tôi và con trai tuổi teen của tôi cũng thỉnh thoảng có quyền truy cập. Thỉnh thoảng, có người nhấp vào những thứ điên rồ. Hiện tại, tôi nghi ngờ có một loại virus rất tinh vi lây nhiễm toàn bộ mạng LAN của chúng tôi bằng cách sửa đổi kết quả tìm kiếm google của chúng tôi. Vì vậy, văn bản của các kết quả là không thay đổi nhưng các liên kết đôi khi trỏ đến các trang web cực kỳ độc hại. Nó được thiết kế khéo léo đến mức khó theo dõi nhưng tôi có bằng chứng mạnh mẽ rằng điều này tồn tại. Vì vậy, tôi đang bắt đầu nghiêm túc kiểm soát mạng của chúng tôi.

Nghiên cứu trước

Tôi quen thuộc với nhiều công cụ phân tích như wireshark và các hệ thống quản lý mạng quá mức cần thiết. Tôi đã đọc hàng tá câu hỏi liên quan. Cái giống với tôi nhất là:

Nhật ký lưu lượng mạng

Tuy nhiên, anh chàng này đang thực hiện một cách tiếp cận quá phức tạp. Tôi cũng biết về RFlow nhưng tôi đang tìm kiếm một cách tiếp cận phổ quát hơn và tôi không muốn mua một bộ định tuyến khác chỉ vì tôi thiếu giao thức này.

Phải có một cách đơn giản hơn! Tôi không thể thiết lập proxy, trỏ tất cả các máy tính của mình vào đó và để proxy đó ghi nhật ký tất cả các URL được yêu cầu?

Có vẻ như mực sẽ là ủy quyền của sự lựa chọn cùng với một số loại công cụ bên ngoài để phân tích các tệp nhật ký. Có ai có đề xuất về một cách đơn giản, sạch sẽ để phân tích lưu lượng của máy tính (Mac, Windows, Ubuntu) trong mạng gia đình, qua proxy không? Số lượng phần mở rộng Squid là áp đảo. Có ai đã thành công khi làm điều này với bất kỳ plugin mực nào chưa?

Tôi cảm thấy một cuộc tấn công dns có nhiều khả năng ở đây. Nếu bạn vẫn không muốn theo dõi các url của mình, bạn có thể muốn thử sử dụng Fiddler2 , điều đó sẽ tốt hơn cho các nhà phát triển web nhưng nó tạo ra một proxy cục bộ chặn và giám sát lưu lượng truy cập web.

Tuy nhiên, tôi cảm thấy những gì có nhiều khả năng hơn google tiêm, là Tấn công DNS:

Về cơ bản, bạn yêu cầu ip cho www.fun.comvà độ phân giải dns trả về ip chowww.gonna-hack-you.cc

1. Kiểm tra tệp máy chủ của bạn, phần mềm độc hại thích ghi đè độ phân giải dns đặc biệt là các trang web chống phần mềm độc hại. Tệp này được đặt tại : c:\Windows\System32\drivers\etc\hosts, bạn có thể đọc thêm về nó ở đây: Máy chủ (Tệp) @ Wikipedia .
2. Sử dụng máy chủ độ phân giải DNS đáng tin cậy. Việc này khó thực hiện hơn nhiều nhưng kẻ tấn công có thể lạm dụng bộ đệm trên máy chủ DNS của ISP để khiến chúng trả về kết quả không hợp lệ cho bạn. Tốt nhất để sử dụng bộ định tuyến của bạn để ghi đè Cài đặt DNS. Tôi đề nghị DNS công cộng của Google , nó không chỉ có độ bảo mật cao hơn mà còn ngăn bạn truy cập các trang web xấu KNOWN nói chung. (Vì vậy, trong rất nhiều trường hợp nếu các url của bạn được viết lại, các trang web vi phạm có thể không giải quyết được; p)

Ngoài ra, dưới dạng thử nghiệm, hãy thử giải quyết các dns từ dịch vụ phân giải DNS bên ngoài dựa trên web và so sánh kết quả với các kết quả được trả về từ nslookupđó sẽ giúp bạn xác định xem dns của bạn có bị quá tải hay không.

Bạn có một vài lựa chọn tiềm năng ở đây.

1. Kiểm tra bộ định tuyến của bạn (có thể được tích hợp vào modem của bạn). Một số trong số chúng có khả năng ghi nhật ký cơ bản được tích hợp và có thể đăng nhập và lưu trữ hoặc gửi email thông tin cho bạn.
2. Nếu bạn muốn sử dụng proxy, tôi khuyên bạn nên thiết lập proxy trong suốt bằng hộp linux. Tất cả những gì máy này cần làm là vượt qua mọi thứ qua lại và ghi nhật ký tất cả các địa chỉ nguồn và đích. Nếu bạn có phần cứng modem và bộ định tuyến riêng biệt, dĩ nhiên, proxy trong suốt sẽ đi giữa chúng. Xem ở đây để được hướng dẫn để có được một con mực.
3. Tôi đã không sử dụng chúng trong nhiều năm, vì vậy tôi không nhớ bất kỳ ứng dụng nào tốt, nhưng tôi biết có những ứng dụng có thể được cài đặt và sử dụng để xem lưu lượng truy cập của từng hệ thống. Nếu bạn biết lưu lượng truy cập đáng ngờ đến từ đâu, chúng có thể giúp xác định chính xác nguồn chính xác và cho phép bạn nhận trợ giúp cụ thể và dọn dẹp.
   (Biên tập)
4. OpenDNS có khả năng ghi nhật ký tất cả các địa chỉ đi qua. Đặt Modem / Bộ định tuyến của bạn để sử dụng nó và đăng ký dịch vụ của họ để mọi thứ được xử lý tự động.

Bạn có thể đặt cài đặt DNS trong cấu hình DHCP trong bộ định tuyến của mình để sử dụng OpenDNS. Tạo một tài khoản với OpenDNS và bạn có thể kích hoạt ghi nhật ký yêu cầu DNS để bạn có thể xem tên miền nào đang được tìm kiếm. Thật dễ dàng để bỏ qua nhưng nó sẽ hoạt động trên người dùng trung bình.

Anh bạn! https://www.bro.org/

Điều này là tốt nhất, bởi vì nó sẽ không chỉ tạo ra các bản ghi proxy, mà còn cả dns, vv .....

Tôi có một vòi mà tôi nạp vào cảm biến bro của mình và sau đó tôi chạy Splunk để "tách" nhật ký bro.

Tôi đã mua một điểm truy cập và chuyển đổi, sau đó đặt vòi giữa bộ định tuyến và công tắc. Bằng cách này, tôi nắm bắt tất cả lưu lượng truy cập.

Tôi đã mua một tập hợp tổng hợp netoptics tắt ebay với giá ~ 100 đô la.