Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

"sniffa" nätverket och logga statistik

1
Skriv svar
Permalänk
Medlem

"sniffa" nätverket och logga statistik

Finns det någon enkel liten linuxdist (eller docker) som man kan köra som sniffar hela nätverket och sedan loggar vilka domäner som besöks och hur ofta?

Det vore också bra om man kunde "whitelista" domäner som man godkänner och därmed ignoreras dom i loggningen.

Min tanke var att hitta om någon dator ansluter till någon suspekt domän och därmed felsöka den datorn och ev. blocka den domänen.

Visa signatur

Desktop: Ryzen 9 3950x | RTX 2060 | 16Gb RAM | 512Gb + 256Gb SSD
NAS: HP Microserver Gen8 | 8GB Ram | 3x2Tb ZFS | FreeNAS
SRV: HP ML350p Gen8 | 64GB Ram | 2x E5-2630v2 | ESXI

Redigera
Citera flera Citera
Permalänk
Medlem

Lite luddig fråga. Men sniffa nätverket göra Wireshark kanonbra. Exempelvis Pihole kan användas som DNS-blockering/hantering.

Redigera
Citera flera Citera
Permalänk
Medlem

Tänk dock på att för att se trafiken så behöver du en klassisk hub och inte en switch om det är ett trådat nätverk du skall analysera eftersom en switch normalt inte skickar ut trafik på den anslutning som sniffern sitter.

På ett trådlöst nätverk så har du inte det problemet.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av HerrNilsson:

Lite luddig fråga. Men sniffa nätverket göra Wireshark kanonbra. Exempelvis Pihole kan användas som DNS-blockering/hantering.

Gå till inlägget

Jag har redan PiHole så får lite statistik där också, samt att det blockerar en hel del reklam

Skrivet av ehsnils:

Tänk dock på att för att se trafiken så behöver du en klassisk hub och inte en switch om det är ett trådat nätverk du skall analysera eftersom en switch normalt inte skickar ut trafik på den anslutning som sniffern sitter.

På ett trådlöst nätverk så har du inte det problemet.

Gå till inlägget

Ja det är ju de som e problemet.. switch, menar hur många kör med hub idag?

Så det enda alternativet är isåfall en pfSense firewall samt något extra plugin eller nått som man logga trafiken som går igenom brandväggen..

Visa signatur

Desktop: Ryzen 9 3950x | RTX 2060 | 16Gb RAM | 512Gb + 256Gb SSD
NAS: HP Microserver Gen8 | 8GB Ram | 3x2Tb ZFS | FreeNAS
SRV: HP ML350p Gen8 | 64GB Ram | 2x E5-2630v2 | ESXI

Redigera
Citera flera Citera
Permalänk
Rekordmedlem
Skrivet av McZ:

Jag har redan PiHole så får lite statistik där också, samt att det blockerar en hel del reklam

Ja det är ju de som e problemet.. switch, menar hur många kör med hub idag?

Så det enda alternativet är isåfall en pfSense firewall samt något extra plugin eller nått som man logga trafiken som går igenom brandväggen..

Gå till inlägget

Nej det går att köra trafiken genom en normal dator också men den behöver ju ha 2 ethernetanslutningar.

Visa signatur

R5 5600G, Asus ROG STRIX X470-F Gaming, WD SN850X 2TB, Seasonic Focus+ Gold 650W, Aerocool Graphite v3, Tittar på en Acer ET430Kbmiippx 43" 4K. Lyssnar på Behringer DCX2496, Truth B3031A, Truth B2092A. Har också oscilloskop, mätmikrofon och colorimeter.

Redigera
Citera flera Citera
Permalänk
Medlem

Har man en Cisco-switch så går det att göra litet trix för att få den att fungera som en hub. Se denna sidan: https://blog.ine.com/2008/02/05/turning-switch-into-hub

Redigera
Citera flera Citera
Permalänk
Medlem

När jag tittade på detta för några sedan på fanns switchar som kan skicka ut all trafik på en port.
Borde väl finnas några kvar som kan göra detta.

Visa signatur

Klient: AMD 7 5800X | ASUS X570-F | 32GB 3200MHz | Corsair RM850 | Gigabyte 3070 | Phanteks P500A | Samsung 980 PRO
HTPC: Intel I7 4770T | 16 GB 1600 | FC8 EVO | Gigabyte GA-H87N-WIFI | Samsung 840 250GB
Server: Intel XEON E5620 x 2| ASUS Z8PE-D18 | 96GB 1333MHz | Corsair AX 1200W | HAF 932 | WD Black 2TB
Nätverk: Telia F@st| Unifi AC Lite/Pro/LR/Nano/Mesh/U6-LR/U6+/U6-Lite | Nighthawk M1 | pfSense | TP-Link TL-WPA8630KIT | Ubiquiti NanoStation M5 | UniFi Switch 8-150W

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av McZ:

Jag har redan PiHole så får lite statistik där också, samt att det blockerar en hel del reklam

Ja det är ju de som e problemet.. switch, menar hur många kör med hub idag?

Så det enda alternativet är isåfall en pfSense firewall samt något extra plugin eller nått som man logga trafiken som går igenom brandväggen..

Gå till inlägget
Skrivet av ehsnils:

Har man en Cisco-switch så går det att göra litet trix för att få den att fungera som en hub. Se denna sidan: https://blog.ine.com/2008/02/05/turning-switch-into-hub

Gå till inlägget
Skrivet av Prelatur:

När jag tittade på detta för några sedan på fanns switchar som kan skicka ut all trafik på en port.
Borde väl finnas några kvar som kan göra detta.

Gå till inlägget

De flesta, om inte alla, switchar som är managerbara har en funktion som heter "mirror" där du kan spegla en specifik port till en annan. Där du sedan kopplar in en pc med wireshark om du vill sniffa en specifik port. Annars har du pihole den funktionen som du efterfrågar och som du redan använder. Det är liksom det pihole är byggt för att göra Du ser också vilka domäner som efterfrågas och du kan då manuellt svart/vit-lista dem efter eget önskemål.

Visa signatur

.

Redigera
Citera flera Citera
Permalänk
Medlem

Wireshark, tcpdump gör jobbet bra, men vill du ha något verktyg för att visualisera detta är ju ntopng ett bra alternativ!

Citat:

ntopng is the next generation version of the original ntop, a network traffic probe that monitors network usage. ntopng is based on libpcap and it has been written in a portable way in order to virtually run on every Unix platform, MacOSX and on Windows as well.

Visa signatur

www.obscured.se mrtg.obscured.se - erik.hennerfors@obscured.se - See ya in cyberspace

[img]https://www.speedtest.net/result/8779163636.png[/img]

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara