8

Вопрос

Я ищу способ создания простого списка / журнала / базы данных URL-адресов, к которым обращались мои домашние компьютеры. В этом списке должны отображаться домены, URL, метки времени, отправленные / записанные байты, и это все.

Фон

В моей домашней сети у меня частые посетители с ограниченными компьютерными знаниями, а также некоторые ноутбуки с незащищенными старыми версиями Windows. Наши маленькие дети и мой сын-подросток также имеют случайный доступ. Иногда кто-то нажимает на сумасшедшие вещи. В настоящее время я подозреваю, что существует очень сложный вирус, заражающий всю нашу локальную сеть, изменяя результаты поиска в Google. Таким образом, текст результатов остается неизменным, но ссылки иногда указывают на чрезвычайно вредоносные сайты. Он настолько изобретательно разработан, что его трудно отследить, но у меня есть веские доказательства того, что это существует. Поэтому я начинаю серьезно ограничивать нашу сеть.

Предыдущие исследования

Я знаком со многими инструментами анализа, такими как wireshark и системы управления сетью, которые сильно излишни. Я прочитал десятки связанных вопросов. Самый похожий на мой:

Журнал сетевого трафика

Тем не менее, этот парень использует слишком сложный подход. Я также знаю о RFlow, но я ищу более универсальный подход и не хочу покупать другой маршрутизатор только потому, что у меня нет этого протокола.


Резюме

Должен быть более простой способ! Не могу ли я настроить прокси-сервер, указать на нем все мои компьютеры, и чтобы этот прокси-сервер регистрировал все запрошенные URL-адреса?

Похоже, что squid был бы предпочтительным прокси вместе с каким-то внешним инструментом для анализа файлов журнала. У кого-нибудь есть предложения по чистому, простому способу анализа трафика компьютеров (Mac, Windows, Ubuntu) в домашней сети через прокси? Количество расширений Squid огромно. Кто-нибудь имел успех делать подобные вещи с любым из многочисленных плагинов Squid?

4 ответа4

5

Я чувствую, что DNS-атака здесь гораздо более вероятна. Если вы все еще склонны к отслеживанию своих URL, возможно, вы захотите попробовать использовать Fiddler2, это больше для веб-разработчиков, но он создает перехватывающий локальный прокси и отслеживает веб-трафик.

Тем не менее, я чувствую, что DNS-атаки более вероятны, чем инъекции Google:

Обычно вы запрашиваете ip для www.fun.com а разрешение dns возвращает ip для www.gonna-hack-you.cc

  1. Проверьте файл hosts, вредоносные программы любят переопределять разрешения DNS, особенно на сайтах, защищенных от вредоносных программ. Этот файл находится по адресу: c:\Windows\System32\drivers\etc\hosts , вы можете узнать больше об этом здесь: Hosts (File) @ Wikipedia.
  2. Используйте доверенные серверы разрешения DNS. Это гораздо сложнее, но злоумышленники могут использовать кеш на DNS-серверах вашего интернет-провайдера, чтобы заставить их возвращать вам недействительные результаты. Лучше всего использовать ваш роутер для переопределения настроек DNS. Я предлагаю публичный DNS Google , он не только имеет более высокий уровень безопасности, но и не позволит вам посещать ИЗВЕСТНЫЕ плохие сайты в целом. (Так что во многих случаях, если ваши URL-адреса переписываются, сайты-нарушители могут не разрешиться; p)

Кроме того, в качестве теста попробуйте разрешить DNS из веб-службы внешнего разрешения DNS и сравнить результаты, полученные с помощью nslookup это поможет вам определить, переопределяется ли ваш DNS.

3

У вас есть несколько потенциальных вариантов здесь.

  1. Проверьте ваш маршрутизатор (может быть встроен в ваш модем). Некоторые из них имеют встроенную базовую возможность ведения журналов и могут регистрировать, хранить или отправлять вам информацию по электронной почте.
  2. Если вы хотите использовать прокси, я бы предложил настройку прозрачного прокси с помощью linux box. Все, что нужно этой машине, это передавать все туда и обратно и регистрировать все адреса отправителя и получателя. Если у вас есть отдельное модемное и маршрутизаторское оборудование, прозрачный прокси, конечно же, будет между ними. Смотрите здесь для руководства, чтобы получить один с кальмаром.
  3. Я не использовал их годами, поэтому я не помню ни одного из хороших, но я знаю, что есть приложения, которые можно установить и использовать для отслеживания трафика каждой системы в отдельности. Если вы знаете, откуда поступает подозрительный трафик, это может помочь точно определить точный источник и получить конкретную помощь и очистку.
    (Редактировать)
  4. OpenDNS способен регистрировать все пройденные адреса. Настройте модем / маршрутизатор на его использование и подпишитесь на их обслуживание, чтобы обо всем позаботились автоматически.
2

Братан! https://www.bro.org/

Это, безусловно, лучший вариант, потому что он будет создавать не только логи прокси, но также DNS и т.д. .....

У меня есть сигнал, который я передаю своему брат-сенсору, а затем запускаю Splunk, чтобы "пороть" журналы брата.

Я купил точку доступа и коммутатор, затем поместил сигнал между маршрутизатором и коммутатором. Таким образом, я фиксирую весь трафик.

Я купил агрегатный кран Netoptics от Ebay за ~ 100 долларов.

2

Вы можете установить свои настройки DNS в конфигурации DHCP вашего маршрутизатора, чтобы использовать OpenDNS. Создайте учетную запись в OpenDNS, и вы сможете включить ведение журнала DNS-запросов, чтобы вы могли видеть, какие домены ищутся. Это легко обойти, но это должно работать для среднего пользователя.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .