Un moyen simple de surveiller et d'analyser le trafic du réseau domestique, via un proxy?

8

Question

Je cherche un moyen de créer une simple liste / journal / base de données des URL auxquelles mes ordinateurs personnels ont accédé. Cette liste devrait montrer les domaines, les URL, les horodatages, les octets envoyés / reçus et c'est tout.

Contexte

Sur mon réseau domestique, j'ai des visiteurs fréquents avec des connaissances informatiques limitées et certains ordinateurs portables avec d'anciennes versions non corrigées de Windows. Nos jeunes enfants et mon fils adolescent ont également un accès occasionnel. Parfois, quelqu'un clique sur des choses folles. Actuellement, je soupçonne qu'un virus hautement sophistiqué infecte l'ensemble de notre réseau local en modifiant nos résultats de recherche Google. De sorte que le texte des résultats reste inchangé mais que les liens pointent parfois vers des sites extrêmement malveillants. Il est si ingénieusement conçu qu'il est difficile de le suivre, mais j'ai des preuves solides que cela existe. Je commence donc à restreindre sérieusement notre réseau.

Recherches antérieures

Je connais bon nombre des outils d'analyse tels que Wireshark et les systèmes de gestion de réseau qui sont excessifs. J'ai lu des dizaines de questions connexes. Le plus similaire au mien est:

Journal de trafic réseau

Cependant, ce type adopte une approche trop complexe. Je connais également RFlow mais je cherche une approche plus universelle et je ne veux pas acheter un autre routeur juste parce que le mien n'a pas ce protocole.


Sommaire

Il doit y avoir un moyen plus simple! Puis-je configurer un proxy, pointer tous mes ordinateurs vers celui-ci et demander à ce proxy de consigner toutes les URL demandées?

Il semble que Squid soit le proxy de choix avec une sorte d'outil externe pour analyser les fichiers journaux. Quelqu'un a-t-il des suggestions sur une manière propre et simple d'analyser le trafic des ordinateurs (Mac, Windows, Ubuntu) dans un réseau domestique, via un proxy? Le nombre d'extensions Squid est écrasant. Quelqu'un a-t-il réussi à faire ce genre de chose avec l'un des innombrables plugins Squid?

gMale
la source

Réponses:

5

Je pense qu'une attaque DNS est beaucoup plus probable ici. Si vous êtes toujours déterminé à suivre vos URL, vous voudrez peut-être essayer d'utiliser Fiddler2 , c'est plus pour les développeurs Web, mais cela fait un proxy local d'interception et surveille le trafic Web.

Cependant, je pense que ce qui est plus probable que l'injection Google, ce sont les attaques DNS:

Fondamentalement, vous demandez l'ip pour www.fun.comet la résolution DNS renvoie l'ip pourwww.gonna-hack-you.cc

  1. Vérifiez votre fichier d'hôtes, les logiciels malveillants aiment remplacer les résolutions DNS, en particulier pour les sites anti-logiciels malveillants. Ce fichier se trouve à:, c:\Windows\System32\drivers\etc\hostsvous pouvez en savoir plus ici: Hosts (File) @ Wikipedia .
  2. Utilisez des serveurs de résolution DNS approuvés. C'est beaucoup plus difficile à faire, mais les attaquants peuvent abuser du cache sur les serveurs DNS de votre FAI pour qu'ils vous retournent des résultats invalides. Il est préférable d'utiliser votre routeur pour remplacer les paramètres DNS. Je suggère le DNS public de Google , non seulement il est d'une sécurité plus élevée, mais il vous empêchera également de visiter les mauvais sites connus en général. (Donc, dans de nombreux cas, si vos URL SONT en cours de réécriture, les sites incriminés peuvent ne pas résoudre; p)

En outre, à titre de test, essayez de résoudre le DNS à partir d'un service de résolution DNS externe basé sur le Web et comparez les résultats à ceux qui en sont retournés pour nslookupvous aider à déterminer si votre DNS est remplacé.

Aren B
la source
3

Vous avez ici quelques options potentielles.

  1. Vérifiez votre routeur (peut être intégré à votre modem). Certains d'entre eux ont une capacité de journalisation de base intégrée et peuvent vous connecter et stocker ou envoyer des informations par e-mail.
  2. Si vous souhaitez utiliser un proxy, je vous suggère une configuration de proxy transparente à l'aide d'une boîte Linux. Tout ce que cette machine doit faire est de tout transmettre et d'enregistrer toutes les adresses source et de destination. Si vous avez un modem et un routeur séparés, le proxy transparent ira bien sûr entre eux. Voir ici pour un guide pour obtenir un calmar.
  3. Je ne les ai pas utilisés depuis des années, donc je ne me souviens d'aucune des bonnes, mais je sais qu'il existe des applications qui peuvent être installées et utilisées pour surveiller le trafic de chaque système individuellement. Si vous savez d'où vient le trafic suspect, cela pourrait aider à localiser la source exacte et vous permettre d'obtenir une aide et un nettoyage spécifiques.
    (Éditer)
  4. OpenDNS est capable d'enregistrer toutes les adresses traversées. Configurez votre modem / routeur pour l'utiliser, et inscrivez-vous à leur service pour que tout soit pris en charge automatiquement.
Tom A
la source
2

Vous pouvez définir vos paramètres DNS dans votre configuration DHCP sur votre routeur pour utiliser OpenDNS. Créez un compte avec OpenDNS et vous pouvez activer la journalisation des demandes DNS afin de voir quels domaines sont recherchés. Il est facile de contourner mais cela devrait fonctionner sur l'utilisateur moyen.

qroberts
la source
5
Si votre routeur dispose d'un pare-feu, vous pouvez bloquer toutes les demandes DNS (port 53), à l'exception de celles vers les serveurs OpenDNS - ce qui verrouille un peu plus les choses.
Linker3000
C'est vrai. Ils peuvent toujours utiliser un VPN et contourner cela: P
qroberts
2

Bro! https://www.bro.org/

C'est de loin le meilleur, car il créera non seulement des journaux de proxy, mais aussi des DNS, etc .....

J'ai un robinet que j'alimente à mon capteur de bro puis j'exécute Splunk pour "splunk" les journaux de bro.

J'ai acheté un point d'accès et un commutateur, puis j'ai mis le robinet entre le routeur et le commutateur. De cette façon, je capture tout le trafic.

J'ai acheté un robinet d'agrégation netoptics sur eBay pour ~ 100 $.

marque
la source