Forumdelen sponsras av

"sniffa" nätverket och logga statistik

Trädvy Permalänk
Medlem
Plats
Valbo
Registrerad
Aug 2002

"sniffa" nätverket och logga statistik

Finns det någon enkel liten linuxdist (eller docker) som man kan köra som sniffar hela nätverket och sedan loggar vilka domäner som besöks och hur ofta?

Det vore också bra om man kunde "whitelista" domäner som man godkänner och därmed ignoreras dom i loggningen.

Min tanke var att hitta om någon dator ansluter till någon suspekt domän och därmed felsöka den datorn och ev. blocka den domänen.

Desktop: Core i5-4690K | Zotac GTX 970 | 16Gb RAM | 512Gb + 256Gb SSD
NAS: HP Microserver Gen8 | 8GB Ram | 3x2Tb ZFS | FreeNAS
ESXI: HP ML350p Gen8 | 64GB Ram | 1x E5-2609 (upgrade in progress)

Trädvy Permalänk
Medlem
Registrerad
Sep 2006

Lite luddig fråga. Men sniffa nätverket göra Wireshark kanonbra. Exempelvis Pihole kan användas som DNS-blockering/hantering.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jun 2018

Tänk dock på att för att se trafiken så behöver du en klassisk hub och inte en switch om det är ett trådat nätverk du skall analysera eftersom en switch normalt inte skickar ut trafik på den anslutning som sniffern sitter.

På ett trådlöst nätverk så har du inte det problemet.

Trädvy Permalänk
Medlem
Plats
Valbo
Registrerad
Aug 2002
Skrivet av HerrNilsson:

Lite luddig fråga. Men sniffa nätverket göra Wireshark kanonbra. Exempelvis Pihole kan användas som DNS-blockering/hantering.

Jag har redan PiHole så får lite statistik där också, samt att det blockerar en hel del reklam

Skrivet av ehsnils:

Tänk dock på att för att se trafiken så behöver du en klassisk hub och inte en switch om det är ett trådat nätverk du skall analysera eftersom en switch normalt inte skickar ut trafik på den anslutning som sniffern sitter.

På ett trådlöst nätverk så har du inte det problemet.

Ja det är ju de som e problemet.. switch, menar hur många kör med hub idag?

Så det enda alternativet är isåfall en pfSense firewall samt något extra plugin eller nått som man logga trafiken som går igenom brandväggen..

Desktop: Core i5-4690K | Zotac GTX 970 | 16Gb RAM | 512Gb + 256Gb SSD
NAS: HP Microserver Gen8 | 8GB Ram | 3x2Tb ZFS | FreeNAS
ESXI: HP ML350p Gen8 | 64GB Ram | 1x E5-2609 (upgrade in progress)

Trädvy Permalänk
Rekordmedlem
Plats
Salstad
Registrerad
Feb 2009
Skrivet av McZ:

Jag har redan PiHole så får lite statistik där också, samt att det blockerar en hel del reklam

Ja det är ju de som e problemet.. switch, menar hur många kör med hub idag?

Så det enda alternativet är isåfall en pfSense firewall samt något extra plugin eller nått som man logga trafiken som går igenom brandväggen..

Nej det går att köra trafiken genom en normal dator också men den behöver ju ha 2 ethernetanslutningar.

Ryzen 5 2400G, Asus ROG STRIX B350-F Gaming, 500GB Samsung 970EVO NVMe M.2 och en väldig massa masslagring. Seasonic Focus+ Gold 650W, Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, Tittar på en Acer ET430Kbmiippx 43" 4K
Främre ljudkanalerna återges via Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop, mätmikrofon och en Colorimeter.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jun 2018

Har man en Cisco-switch så går det att göra litet trix för att få den att fungera som en hub. Se denna sidan: https://blog.ine.com/2008/02/05/turning-switch-into-hub

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Mar 2011

När jag tittade på detta för några sedan på fanns switchar som kan skicka ut all trafik på en port.
Borde väl finnas några kvar som kan göra detta.

Klient: Intel I7 3820 | ASUS P9X79 Pro | 64GB 1600MHz | Corsair HX 850W | Gigabyte 1080TI | HAF 922 | Crucial 525G | Seagate XT 4TB
Server: Intel XEON E5620 x 2| ASUS Z8PE-D18 | 96GB 1333MHz | Corsair AX 1200W | HAF 932 | WD Black 2TB
HTPC: Intel I7 4770T | 16 GB 1600 | FC8 EVO | Gigabyte GA-H87N-WIFI | Samsung 840 250GB

Trädvy Permalänk
Medlem
Registrerad
Dec 2002
Skrivet av McZ:

Jag har redan PiHole så får lite statistik där också, samt att det blockerar en hel del reklam

Ja det är ju de som e problemet.. switch, menar hur många kör med hub idag?

Så det enda alternativet är isåfall en pfSense firewall samt något extra plugin eller nått som man logga trafiken som går igenom brandväggen..

Skrivet av ehsnils:

Har man en Cisco-switch så går det att göra litet trix för att få den att fungera som en hub. Se denna sidan: https://blog.ine.com/2008/02/05/turning-switch-into-hub

Skrivet av Prelatur:

När jag tittade på detta för några sedan på fanns switchar som kan skicka ut all trafik på en port.
Borde väl finnas några kvar som kan göra detta.

De flesta, om inte alla, switchar som är managerbara har en funktion som heter "mirror" där du kan spegla en specifik port till en annan. Där du sedan kopplar in en pc med wireshark om du vill sniffa en specifik port. Annars har du pihole den funktionen som du efterfrågar och som du redan använder. Det är liksom det pihole är byggt för att göra Du ser också vilka domäner som efterfrågas och du kan då manuellt svart/vit-lista dem efter eget önskemål.

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Okt 2001

Wireshark, tcpdump gör jobbet bra, men vill du ha något verktyg för att visualisera detta är ju ntopng ett bra alternativ!

Citat:

ntopng is the next generation version of the original ntop, a network traffic probe that monitors network usage. ntopng is based on libpcap and it has been written in a portable way in order to virtually run on every Unix platform, MacOSX and on Windows as well.