¿Manera simple de monitorear y analizar el tráfico de la red doméstica, a través de proxy?

8

Pregunta

Estoy buscando una manera de crear una lista / registro / base de datos simple de las URL a las que han accedido las computadoras de mi hogar. Esta lista debe mostrar dominios, URL, marcas de tiempo, bytes enviados / recibidos y eso es todo.

Fondo

En mi red doméstica tengo visitas frecuentes con conocimiento limitado de computadoras y algunas computadoras portátiles con versiones antiguas de Windows sin parches. Nuestros niños pequeños y mi hijo adolescente también tienen acceso ocasional. Ocasionalmente, alguien hace clic en locuras. Actualmente, sospecho que hay un virus altamente sofisticado que infecta toda nuestra LAN al modificar nuestros resultados de búsqueda de Google. Para que el texto de los resultados no cambie, pero los enlaces ocasionalmente apuntan a sitios extremadamente maliciosos. Está tan ingeniosamente diseñado que es difícil de rastrear, pero tengo una fuerte evidencia de que esto existe. Así que estoy empezando a reprimir seriamente nuestra red.

Investigaciones anteriores

Estoy familiarizado con muchas de las herramientas de análisis como wireshark y los sistemas de administración de red que son excesivamente severos. He leído docenas de preguntas relacionadas. El más parecido al mío es:

Registro de tráfico de red

Sin embargo, este tipo está adoptando un enfoque demasiado complejo. También conozco RFlow, pero estoy buscando un enfoque más universal y no quiero comprar otro enrutador solo porque el mío carece de este protocolo.


Resumen

Debe haber una manera más simple! ¿No puedo configurar un proxy, apuntar todas mis computadoras y hacer que ese proxy registre todas las URL solicitadas?

Parece que el calamar sería el proxy de elección junto con algún tipo de herramienta externa para analizar los archivos de registro. ¿Alguien tiene sugerencias sobre una forma limpia y simple de analizar el tráfico de las computadoras (Mac, Windows, Ubuntu) en una red doméstica, a través de proxy? La cantidad de extensiones de Squid es abrumadora. ¿Alguien ha tenido éxito haciendo este tipo de cosas con alguno de los innumerables complementos de calamar?

gMale
fuente

Respuestas:

5

Siento que un ataque de dns es mucho más probable aquí. Si todavía está empeñado en rastrear sus URL, puede intentar usar Fiddler2 , es más para desarrolladores web, pero hace un proxy local interceptor y monitorea el tráfico web.

Sin embargo, creo que lo que es más probable que la inyección de Google es DNS Attacks:

Básicamente, solicita la dirección IP www.fun.comy la resolución dns devuelve la dirección IP parawww.gonna-hack-you.cc

  1. Verifique su archivo de hosts, al malware le gusta anular las resoluciones dns, especialmente a los sitios anti-malware. Este archivo se encuentra en:, c:\Windows\System32\drivers\etc\hostspuede leer más sobre él aquí: Hosts (File) @ Wikipedia .
  2. Utilice servidores de resolución de DNS de confianza. Es mucho más difícil de hacer, pero los atacantes pueden abusar del caché en los servidores DNS de su ISP para que le devuelvan resultados no válidos. Lo mejor es usar su enrutador para anular la configuración de DNS. Sugiero el DNS público de Google , no solo es de mayor seguridad, sino que también le impedirá visitar sitios malos conocidos en general. (Por lo tanto, en muchos casos, si sus URL están siendo reescritas, los sitios ofensivos pueden no resolverse; p)

Además, como prueba, intente resolver dns desde un servicio de resolución de DNS externo basado en la web, y compare los resultados con los devueltos, nslookuplo ayudará a determinar si su dns está siendo anulado.

Aren B
fuente
3

Tienes algunas opciones potenciales aquí.

  1. Verifique su enrutador (puede estar integrado en su módem). Algunos de ellos tienen una capacidad básica de registro incorporada y pueden registrar y almacenar o enviarle información por correo electrónico.
  2. Si quieres usar un proxy, te sugiero una configuración de proxy transparente usando un cuadro de Linux. Todo lo que esta máquina necesita hacer es pasar todo de un lado a otro y registrar todas las direcciones de origen y destino. Si tiene un módem y un hardware de enrutador separados, el proxy transparente, por supuesto, iría entre ellos. Vea aquí una guía para comenzar con los calamares.
  3. No los he usado en años, así que no recuerdo ninguno de los buenos, pero sé que hay aplicaciones que se pueden instalar y usar para observar el tráfico de cada sistema de forma individual. Si sabe de dónde proviene el tráfico sospechoso, esto podría ayudar a identificar la fuente exacta y permitirle obtener ayuda y limpieza específicas.
    (Editar)
  4. OpenDNS es capaz de registrar todas las direcciones atravesadas. Configure su módem / enrutador para que lo use y regístrese en su servicio para que todo se solucione automáticamente.
Tom A
fuente
2

Puede establecer su configuración de DNS en su configuración de DHCP en su enrutador para usar OpenDNS. Cree una cuenta con OpenDNS y puede habilitar el registro de solicitudes de DNS para que pueda ver qué dominios se están buscando. Es fácil de evitar, pero debería funcionar en el usuario promedio.

qroberts
fuente
55
Si su enrutador tiene un firewall, puede bloquear todas las solicitudes de DNS (puerto 53), excepto las de los servidores OpenDNS, lo que bloquea un poco más las cosas.
Linker3000
Es verdad. Sin embargo, todavía pueden usar una VPN y evitar eso: P
qroberts
2

Hermano! https://www.bro.org/

Este es, de lejos, el mejor, porque no solo creará registros proxy, sino también dns, etc.

Tengo un toque que le doy a mi sensor de hermano y luego ejecuto Splunk para "splunk" los registros de hermano.

Compré un punto de acceso y un interruptor, luego puse el grifo entre el enrutador y el interruptor. De esta manera capturo todo el tráfico.

Compré un grifo de agregación netoptics de eBay por ~ $ 100.

marca
fuente