Простий спосіб контролювати та аналізувати трафік домашньої мережі через проксі?

Питання

Я шукаю спосіб створити простий список / журнал / базу даних з URL-адрес, до яких мали доступ домашні комп'ютери. У цьому списку повинні бути вказані домени, URL-адреси, мітки часу, байти, надіслані / відтворені, і ось про це.

Фон

У моїй домашній мережі я відвідую часто відвідувачів з обмеженими знаннями на комп'ютері та деякими ноутбуками з непов’язаними старими версіями Windows. Наші маленькі діти та мій син-підліток також мають час від часу доступ. Інколи хтось натискає на божевільні речі. В даний час я підозрюю, що в нашій локальній мережі локально локальна мережа заражає дуже складний вірус, змінюючи результати пошуку Google. Так що текст результатів є незмінним, але посилання час від часу вказують на надзвичайно шкідливі сайти. Це настільки геніально розроблено, що важко відстежити, але я маю вагомі докази того, що це існує. Тому я починаю серйозно затискати свою мережу.

Попередні дослідження

Мені знайомі з багатьма інструментами аналізу, такими як проводка та системи управління мережею, які є надмірними. Я прочитав десятки пов’язаних питань. Найбільш схожий на мій:

Журнал мережевого трафіку

Однак цей хлопець застосовує надто складний підхід. Я також знаю про RFlow, але я шукаю більш універсальний підхід, і я не хочу купувати інший маршрутизатор лише тому, що моєму не вистачає цього протоколу.

Має бути простіший спосіб! Чи не можу я встановити проксі, вказати на нього всі мої комп’ютери та чи повинен цей проксі-журнал записувати всі запитувані URL-адреси?

Здається, що кальмари будуть проксі-сервером вибору разом із якимсь зовнішнім інструментом для розбору файлів журналів. Хтось має пропозиції щодо чистого, простого способу аналізу трафіку комп’ютерів (Mac, Windows, Ubuntu) в домашній мережі, через проксі? Кількість розширень кальмарів величезна. Хтось мав успіх робити подібні речі з будь-яким із незліченних плагінів?

Я відчуваю, що напад ДНС набагато ймовірніший. Якщо ви все ще не знаєте, як відстежувати ваші URL-адреси, можливо, ви захочете спробувати скористатися Fiddler2 , це більше для веб-розробників, але це робить перехоплюючий локальний проксі і відстежує веб-трафік.

Однак я відчуваю, що більше шансів, ніж введення Google, є атаки DNS:

В основному ви запитуєте ip для, www.fun.comа роздільна здатність dns повертає ip forwww.gonna-hack-you.cc

1. Перевірте свій файл хостів, шкідливе програмне забезпечення любить переохочувати дозволи dns, особливо на сайти проти зловмисних програм. Цей файл розташований за адресою: c:\Windows\System32\drivers\etc\hostsдокладнішу інформацію про нього ви можете прочитати тут: Hosts (Файл) @ Wikipedia .
2. Використовуйте довірені сервери роздільної здатності DNS. Це зробити набагато складніше, але зловмисники можуть зловживати кешем на серверах DNS вашого провайдера, щоб змусити їх повертати вам недійсні результати. Найкраще використовувати свій маршрутизатор для зміни параметрів DNS. Я пропоную загальнодоступному DNS Google , він не тільки підвищеної безпеки, але і взагалі не дозволить вам відвідувати ЗНАНІ погані сайти загалом. (Отже, у багатьох випадках, якщо ваші URL-адреси переписуються, сайти, які порушили правопорушення, можуть не вирішити; p)

Крім того, спробуйте вирішити dns від веб-сервісу зовнішнього вирішення DNS і порівняйте результати з результатами, поверненими з nslookupнього, що допоможе вам визначити, чи буде ваш dns перекрито.

Тут у вас є кілька можливих варіантів.

1. Перевірте свій маршрутизатор (може бути вбудований у ваш модем). Деякі з них мають вбудовані основні можливості ведення журналу, і вони можуть вести журнал, зберігати та надсилати інформацію електронною поштою.
2. Якщо ви хочете перейти з проксі-сервером, я б запропонував прозору настройку проксі-сервера за допомогою linux box. Все, що ця машина повинна зробити, - це передавати все туди-назад і записувати всі джерела та адреси призначення. Якщо у вас є окреме обладнання для модему та маршрутизатора, прозорий проксі, звичайно, буде проходити між ними. Дивіться тут для керівництва , щоб отримати один йти з кальмарами.
3. Я не використовував їх у роках, тому не пам’ятаю жодного хорошого, але я знаю, що є програми, які можна встановити та використовувати для перегляду трафіку кожної системи окремо. Якщо ви знаєте, звідки походить підозрюваний трафік, вони можуть допомогти точно визначити джерело та надати вам конкретну допомогу та очищення.
   (Редагувати)
4. OpenDNS здатний реєструвати всі пройдені адреси. Налаштуйте свій модем / маршрутизатор, щоб ним користуватися, і підпишіться на їх службу, щоб автоматично все було забезпечено.

Ви можете встановити налаштування DNS у конфігурації DHCP у своєму маршрутизаторі, щоб використовувати OpenDNS. Створіть обліковий запис за допомогою OpenDNS, і ви можете ввімкнути реєстрацію запитів DNS, щоб ви могли бачити, які домени шукають. Її просто обійти, але це має працювати середньому користувачеві.

Брат! https://www.bro.org/

Це, безумовно, найкраще, оскільки він створюватиме не лише проксі-журнали, але й dns тощо.

У мене є кран, який я подаю на свій датчик брати, а потім запускаю Splunk, щоб "сплюнути" журнали bro.

Я придбав точку доступу та комутатор, потім поклав кран між маршрутизатором і комутатором. Таким чином я фіксую весь трафік.

Я придбав ebay, який збирає тактику, за ~ 100 доларів.