从 PC 监控路由器流量

另一种解决方案是在路由器和它所连接的调制解调器或墙上插座之间安装一个被动或主动以太网分接头。专用设备就是为此目的而制造的，或者您可以简单地使用一个系统（例如 Raspberry Pi）并为其提供两个以太网端口。然后，您可以在其上运行您想要的任何软件，并且如果配置正确，您的路由器甚至不需要知道它在那里。

首先，你应该明白为什么要监控流量，然后你应该明白你想监控什么。没有通用的“流量监控”，它可能因目标而异：

1. 理论上，可以转储来自路由器的所有流量并将其存储在某个存储设备上。但是，您自己不可能查看所有这些流量。此外，我从未听说过任何组织进行 100% 的流量监控 - 这几乎是不可能实现的。因此，您可以使用这种方法来调查使用其他方法可能发现的任何差异，绝对不能“监控”。要实现这一点，您很可能需要一个带有 span 端口的路由器，正如 @schroeder 正确提到的那样，还需要一个存储（相当大的存储，对于来自一台普通 PC 的流量来说，可能有数百 GB）。
2. 可以只监控连接信息。为此，您再次需要一个具有 Netflow 日志记录功能或仅记录所有连接的路由器。同样，连接数量肯定会非常大，不可能在线处理，您需要一些日志监控工具（如 ELK stack）来存储和分析日志。部署和维护它需要相当多的时间和精力，而且我从未听说过有人手动实时分析所有连接，因为连接数量实在太多了。
3. 可以监控源主机和目标主机以及 URL，并将它们与“不良”域和 URL 的公开列表（所谓的“入侵指标”或 IoC）进行比较。此类列表由“威胁情报源”提供，互联网上有很多此类列表。如果您看到此类连接来自或指向此类 IoC，则表明可能意味着您的 PC 上出现了问题。这是许多组织使用的方法；但是，您再次需要将日志存储在某个地方，解析它们，将它们提取到日志存储工具中，并与该威胁情报源进行比较。您肯定会得到许多误报，而仅仅调查它们以及维护源的完整性就很容易占用您数周的时间。这肯定不是一件容易的事。
4. 您还可以在所有流量中搜索可疑内容。这通常是通过所谓的 YARA 规则完成的，故事是一样的：获取完整副本、比较、处理结果。误报少一点，但还有很多事情要做。
5. 您可以查找不同的流量异常 - 例如，来自或朝向您的 PC 的 SQL 注入/扫描等。在公司中，如今先进的下一代防火墙可以完成这项工作；您可以使用 Snort，这是一种具有一些基本规则的开源入侵检测系统 (IDS)。同样，这不是一个容易的选择。
6. 最后，您可以深入研究上述任何数据，并尝试手动查找异常 - 这称为“威胁搜寻”。例如，您可能会注意到某些 IP 或域的流量过多，或者您的 PC 上打开了可疑端口。然而，这需要良好的信息安全背景，耗费令人难以置信的大量时间，并且通常收效甚微。

因此，总而言之：要获得一些不错的流量监控，您很可能需要获得高端企业路由器（或至少为您的 SOHO 级路由器构建定制操作系统），具有大量磁盘空间、内存和良好 CPU 的服务器，以及一支由专业系统管理员和网络分析师组成的团队来应对任务 :)

因此，在家里计划这些事情真的没什么意义。如果你对电脑上发生的事情感兴趣，只需安装任何数据包嗅探器（如 Wireshark），在本地转储流量并进行分析 - 它会给你一个相当不错的画面。确保路由器上的防火墙配置正确，你的操作系统和安装的软件始终更新到最新版本，你在那里安装了不错的防病毒解决方案，并且你不会做任何愚蠢的操作，例如启动不受信任的可执行文件。这应该能让你足够安全，你永远不需要进行全面的流量监控。