问题
我正在寻找一种方法来创建一个简单的列表/日志/数据库,其中包含我家用电脑访问过的 URL。此列表应显示域、URL、时间戳、发送/接收的字节数,仅此而已。
背景
我家里的网络经常会有一些电脑知识有限的访客,还有一些装有未打补丁的旧版 Windows 的笔记本电脑。我们年幼的孩子和十几岁的儿子也偶尔会访问网络。偶尔,有人会点击一些疯狂的东西。目前,我怀疑有一种非常复杂的病毒通过修改我们的谷歌搜索结果感染了我们的整个局域网。结果文本没有改变,但链接偶尔会指向极其恶意的网站。它设计得如此巧妙,很难追踪,但我有强有力的证据表明它确实存在。所以我开始认真打击我们的网络。
先前研究
我熟悉许多分析工具,例如 wireshark 和严重过度的网络管理系统。我读过几十个相关问题。与我最相似的一个是:
然而,这家伙采取了过于复杂的方法。我也知道流量但我正在寻求一种更通用的方法,并且我不想仅仅因为我的路由器缺少这个协议而购买另一个路由器。
概括
一定有更简单的方法!我不能设置一个代理,将所有计算机指向它,然后让该代理记录所有请求的 URL 吗?
这好像是乌贼将是首选代理以及某种用于解析日志文件的外部工具。有人能建议一种干净、简单的方法,通过代理分析家庭网络中计算机(Mac、Windows、Ubuntu)的流量吗?Squid 扩展的数量令人眼花缭乱。有没有人成功地用无数的 squid 插件做过这种事?
答案1
我觉得这里更有可能发生 DNS 攻击。如果你仍然坚持要跟踪你的网址,你可能想尝试使用Fiddler2,它更适合网络开发人员,但它可以拦截本地代理并监控网络流量。
然而,我觉得比谷歌注入更有可能的是 DNS 攻击:
基本上你请求 ipwww.fun.com并且 dns 解析返回 ipwww.gonna-hack-you.cc
- 检查您的主机文件,恶意软件喜欢覆盖 DNS 解析,尤其是针对反恶意软件站点。此文件位于:
c:\Windows\System32\drivers\etc\hosts,您可以在此处阅读更多相关信息:主持人(文件)@维基百科。 - 使用受信任的 DNS 解析服务器。这很难做到,但攻击者可以滥用 ISP 的 DNS 服务器上的缓存,让它们向您返回无效结果。最好使用路由器覆盖 DNS 设置。我建议Google 的公共 DNS,它不仅具有更高的安全性,而且还可以阻止您访问已知的恶意网站。(因此在很多情况下,如果您的 URL 被重写,则有问题的网站可能无法解析 ;p)
另外,作为测试,尝试从基于 Web 的外部 DNS 解析服务解析 DNS,并将结果与返回的结果进行比较,nslookup这将有助于您确定您的 DNS 是否被覆盖。
答案2
这里您有几个潜在的选择。
- 检查您的路由器(可能内置于调制解调器中)。其中一些路由器内置有基本日志记录功能,可以记录和存储信息或通过电子邮件将信息发送给您。
- 如果您想使用代理,我建议使用 Linux 机器设置透明代理。这台机器需要做的就是来回传递所有内容并记录所有源地址和目标地址。如果您有单独的调制解调器和路由器硬件,透明代理当然会在它们之间运行。请参阅这里以获得有关如何制作鱿鱼的指南。
- 我已经很多年没用它们了,所以我不记得有什么好的,但我知道有些应用程序可以安装并用于单独监视每个系统的流量。如果你知道可疑流量来自哪里,这些可以帮助你查明确切的来源,让你得到具体的帮助和清理。
(编辑) - 开放DNS能够记录所有经过的地址。设置您的调制解调器/路由器以使用它,并注册其服务以自动处理所有事情。
答案3
您可以在路由器的 DHCP 配置中设置 DNS 设置以使用 OpenDNS。使用 OpenDNS 创建一个帐户,然后您可以启用 DNS 请求日志记录,以便查看正在查找的域。这很容易绕过,但对普通用户来说应该有效。
答案4
这是迄今为止最好的,因为它不仅会创建代理日志,还会创建 dns 等......
我有一个水龙头,我将它送到我的 bro 传感器,然后我运行 Splunk 来“splunk”bro 日志。
我购买了一个接入点和交换机,然后将分接头放在路由器和交换机之间。这样我就可以捕获所有流量。
我在 ebay 上购买了一个 netoptics 聚合分接头,价格约为 100 美元。