프록시를 통해 홈 네트워크 트래픽을 모니터링하고 분석하는 간단한 방법?


8

질문

가정용 컴퓨터가 액세스 한 URL의 간단한 목록 / 로그 / 데이터베이스를 만드는 방법을 찾고 있습니다. 이 목록에는 Domains, Urls, Timestamps, bytes sent / rec'd 및 관련 정보가 표시되어야합니다.

배경

내 홈 네트워크에는 컴퓨터 지식이 제한적이고 패치가 적용되지 않은 이전 버전의 Windows가있는 일부 랩톱이있는 방문자가 자주 있습니다. 우리의 어린 아이들과 나의 십대 아들도 가끔씩 접근 할 수 있습니다. 때때로 누군가가 미친 것을 클릭합니다. 현재 Google 검색 결과를 수정하여 전체 LAN을 감염시키는 매우 정교한 바이러스가 있다고 생각합니다. 따라서 결과의 텍스트는 변경되지 않지만 링크는 때때로 매우 악의적 인 사이트를 가리 킵니다. 매우 독창적으로 디자인되어 추적하기 어렵지만 이것이 존재한다는 강력한 증거가 있습니다. 그래서 나는 우리 네트워크를 심각하게 제한하기 시작했습니다.

이전 연구

wireshark 및 네트워크 관리 시스템과 같은 많은 분석 도구에 익숙합니다. 수십 개의 관련 질문을 읽었습니다. 내 것과 가장 유사한 것은 :

네트워크 트래픽 로그

그러나이 사람은 지나치게 복잡한 접근법을 취하고 있습니다. 나는 RFlow 도 알고 있지만 더 보편적 인 접근법을 찾고 있는데이 프로토콜이 없기 때문에 다른 라우터를 사고 싶지 않습니다.


요약

더 간단한 방법이 있어야합니다! 프록시를 설정하고 모든 컴퓨터를 가리켜 프록시가 요청한 모든 URL을 기록하도록 할 수 없습니까?

오징어 는 로그 파일을 구문 분석하기위한 일종의 외부 도구와 함께 선택한 프록시가 될 것 같습니다 . 누구나 프록시를 통해 홈 네트워크에서 컴퓨터 (Mac, Windows, Ubuntu)의 트래픽을 분석 할 수있는 깨끗하고 간단한 방법에 대한 제안이 있습니까? 오징어 확장의 수는 압도적입니다. 수많은 오징어 플러그인으로 이런 종류의 일을 성공한 사람이 있습니까?

답변:


5

나는 dns 공격이 훨씬 더 가능성이 있다고 생각합니다. 여전히 URL을 추적하는 데 어려움이 있다면 Fiddler2 를 사용해보십시오. 웹 개발자에게는 더 많은 것이지만 인터셉트 로컬 프록시를 만들고 웹 트래픽을 모니터링합니다.

그러나 Google 주입보다 가능성이 높은 것은 DNS 공격입니다.

기본적으로 IP를 요청하고 www.fun.comdns 해상도는 IP를 반환합니다.www.gonna-hack-you.cc

  1. 호스트 파일을 확인하십시오. 멀웨어는 특히 맬웨어 방지 사이트에 대한 DNS 해상도를 재정의합니다. 이 파일은 다음 위치에 있습니다. c:\Windows\System32\drivers\etc\hosts, 자세한 내용은 여기를 참조하십시오 : Hosts (File) @ Wikipedia .
  2. 신뢰할 수있는 DNS 확인 서버를 사용하십시오. 수행하기가 훨씬 어렵지만 공격자는 ISP의 DNS 서버에서 캐시를 악용하여 잘못된 결과를 사용자에게 반환 할 수 있습니다. 라우터를 사용하여 DNS 설정을 재정의하는 것이 가장 좋습니다. Google의 공개 DNS를 제안합니다. 보안 수준이 높을뿐만 아니라 알려진 나쁜 사이트를 방문하지 못하게합니다. (따라서 많은 경우 URL을 다시 작성하면 문제가되는 사이트가 해결되지 않을 수 있습니다. p)

또한 테스트로 웹 기반 외부 DNS 확인 서비스에서 DNS를 확인하고 그 결과를 비교 nslookup하여 DNS가 재정의되고 있는지 확인하는 데 도움이됩니다.


3

여기 몇 가지 가능한 옵션이 있습니다.

  1. 라우터를 확인하십시오 (모뎀에 내장되어있을 수 있음). 그들 중 일부는 기본 로깅 기능이 내장되어 있으며 정보를 로깅 및 저장하거나 이메일로 보낼 수 있습니다.
  2. 프록시를 사용하려면 Linux 상자를 사용하여 투명 프록시 설정을 제안합니다. 이 기계는 모든 것을 앞뒤로 전달하고 모든 소스 및 대상 주소를 기록하기 만하면됩니다. 별도의 모뎀 및 라우터 하드웨어가있는 경우 투명 프록시는 물론 이들 사이를 이동합니다. 오징어를 먹는 방법에 대한 안내는 여기 를 참조 하십시오 .
  3. 몇 년 동안 사용하지 않았으므로 좋은 것을 기억하지 못하지만 각 시스템의 트래픽을 개별적으로 감시하기 위해 설치하고 사용할 수있는 응용 프로그램이 있다는 것을 알고 있습니다. 의심되는 트래픽이 어디에서 오는지 알면 정확한 소스를 찾아 특정 도움을 받고 정리할 수 있습니다.
    (편집하다)
  4. OpenDNS 는 모든 통과 주소를 기록 할 수 있습니다. 모뎀 / 라우터를 사용하도록 설정하고 모든 서비스가 자동으로 처리되도록 서비스에 가입하십시오.

2

라우터의 DHCP 구성에서 DNS 설정을 설정하여 OpenDNS를 사용할 수 있습니다. OpenDNS로 계정을 생성하면 DNS 요청 로깅을 활성화하여 어떤 도메인을 조회하고 있는지 확인할 수 있습니다. 우회하기는 쉽지만 일반 사용자에게는 효과가 있습니다.


5
라우터에 방화벽이있는 경우 OpenDNS 서버에 대한 요청을 제외한 모든 DNS (포트 53) 요청을 차단할 수 있습니다.
Linker3000

사실입니다. 그들은 여전히 ​​VPN을 사용하고 그것을 우회 할 수 있습니다 : P
qroberts

2

브로! https://www.bro.org/

프록시 로그뿐만 아니라 dns 등도 생성하기 때문에 이것이 가장 좋습니다.

Bro 센서에 공급하는 탭이 있고 Splunk를 실행하여 Bro 로그를 "Splunk"합니다.

액세스 포인트와 스위치를 구입 한 다음 라우터와 스위치 사이에 탭을 두었습니다. 이 방법으로 모든 트래픽을 캡처합니다.

나는 ~ $ 100에 대한 netofftics 집계 탭 오프 이베이를 구입했습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.