Maneira simples de monitorar e analisar o tráfego da rede doméstica, via proxy?

Questão

Estou procurando uma maneira de criar uma lista / registro / banco de dados simples dos URLs que meus computadores domésticos acessaram. Esta lista deve mostrar domínios, URLs, registros de data e hora, bytes enviados / registrados e é isso.

fundo

Na minha rede doméstica, tenho visitantes frequentes com conhecimento limitado sobre computadores e alguns laptops com versões antigas sem correção do Windows. Nossos filhos pequenos e meu filho adolescente também têm acesso ocasional. Ocasionalmente, alguém clica em coisas malucas. Atualmente, suspeito que haja um vírus altamente sofisticado infectando toda a LAN, modificando nossos resultados de pesquisa no Google. Para que o texto dos resultados permaneça inalterado, os links apontam ocasionalmente para sites extremamente maliciosos. É tão engenhosamente projetado que é difícil de rastrear, mas tenho fortes evidências de que isso existe. Então, estou começando a reprimir seriamente nossa rede.

Pesquisa anterior

Eu estou familiarizado com muitas das ferramentas de análise, como o wireshark e os sistemas de gerenciamento de rede que são um exagero grave. Eu li dezenas de perguntas relacionadas. O mais semelhante ao meu é:

Log de tráfego de rede

No entanto, esse cara está adotando uma abordagem muito complexa. Também estou ciente do RFlow, mas estou buscando uma abordagem mais universal e não quero comprar outro roteador apenas porque o meu não possui esse protocolo.

Deve haver uma maneira mais simples! Não consigo configurar um proxy, apontar todos os meus computadores para ele e fazer com que esse proxy registre todos os URLs solicitados?

Parece que o squid seria o proxy de escolha junto com algum tipo de ferramenta externa para analisar os arquivos de log. Alguém tem sugestões de uma maneira limpa e simples de analisar o tráfego de computadores (Mac, Windows, Ubuntu) em uma rede doméstica, via proxy? O número de extensões do Squid é impressionante. Alguém já teve sucesso fazendo esse tipo de coisa com qualquer um dos inúmeros plugins de Lula?

Sinto que um ataque de DNS é muito mais provável aqui. Se você ainda está empenhado em rastrear seus URLs, tente usar o Fiddler2 , é mais para desenvolvedores da Web, mas cria um proxy local interceptador e monitora o tráfego da Web.

No entanto, sinto que o que é mais provável que a injeção no Google são ataques de DNS:

Basicamente, você solicita o IP www.fun.come a resolução DNS retorna o IP parawww.gonna-hack-you.cc

1. Verifique o arquivo do seu host, o malware gosta de substituir as resoluções de DNS, especialmente para sites anti-malware. Este arquivo está localizado em:, c:\Windows\System32\drivers\etc\hostsvocê pode ler mais sobre ele aqui: Hosts (Arquivo) @ Wikipedia .
2. Use servidores de resolução de DNS confiáveis. É muito mais difícil, mas os invasores podem abusar do cache nos servidores DNS do seu ISP para que eles retornem resultados inválidos para você. É melhor usar seu roteador para substituir as configurações de DNS. Eu sugiro o DNS público do Google , não apenas é de maior segurança, mas também o impede de visitar sites ruins CONHECIDOS em geral. (Em muitos casos, se seus URLs estiverem sendo reescritos, os sites ofensivos podem não ser resolvidos; p)

Além disso, como teste, tente resolver o DNS de um serviço de resolução de DNS externo baseado na Web e comparar os resultados com os retornados a partir nslookupdele, para determinar se o DNS está sendo substituído.

Você tem algumas opções em potencial aqui.

1. Verifique seu roteador (pode estar embutido no seu modem). Alguns deles têm um recurso básico de registro incorporado e podem registrar e armazenar ou enviar informações por e-mail para você.
2. Se você quiser usar um proxy, sugiro uma configuração de proxy transparente usando uma caixa Linux. Tudo o que esta máquina precisa fazer é passar tudo de um lado para o outro e registrar todos os endereços de origem e destino. Se você tiver hardware de modem e roteador separado, o proxy transparente iria, é claro, entre eles. Veja aqui um guia para começar com o Lula.
3. Não os utilizo há anos, por isso não me lembro de nenhum dos bons, mas sei que existem aplicativos que podem ser instalados e usados ​​para monitorar o tráfego de cada sistema individualmente. Se você souber de onde vem o tráfego suspeito, isso poderá ajudar a identificar a fonte exata e permitir que você obtenha ajuda e limpeza específicas.
   (Editar)
4. O OpenDNS é capaz de registrar todos os endereços atravessados. Configure seu modem / roteador para usá-lo e inscreva-se no serviço para que tudo seja resolvido automaticamente.

Você pode definir suas configurações de DNS na sua configuração DHCP no seu roteador para usar o OpenDNS. Crie uma conta no OpenDNS e ative o log de solicitações de DNS para poder ver quais domínios estão sendo pesquisados. É fácil ignorar, mas deve funcionar com o usuário médio.

Mano! https://www.bro.org/

Este é de longe o melhor, porque não apenas criará logs de proxy, mas também dns, etc .....

Eu tenho uma torneira que alimento no meu sensor de mano e depois corro o Splunk para "afunilar" os logs de mano.

Comprei um ponto de acesso e um comutador e, em seguida, coloque a torneira entre o roteador e o comutador. Dessa forma, capto todo o tráfego.

Comprei um netoptics agregando o tap off ebay por ~ $ 100.