Monitorizare trafic web din retea

[mgabriel]

Salutare. Ce metode eficiente sunt de a monitoriza traficul web (tot ce se acceseaza din browser) dintr-o retea locala de calculatoare ?

Edited October 6, 2022 by mgabriel

[Dragos]

Ce anume vrei sa vezi? Cine ce request-uri face? Ce date se trimit/primesc?

[mgabriel]

Da, ce site-uri acceseaza ce request-uri face ce date se trimit si se primesc. Totul.

[Nytro]

Serverul web ar trebui sa logheze URL-ul accesat, browser-ul, IP si alte cateva informatii. Aces log se poate modifica din config-ul serverului web pentru a loga mai multe detalii insa daca sunt multe request-uri se poate umple storage-ul. Se pot arhiva automat log-urile, se poate scripta ceva, exista solutii pentru orice. 

[mgabriel]

Nu merge quote aici...

 

Despre ce server web vorbesti? Eu vreau sa captez tot ce se acceseaza prin browsere-le web dintr-o retea de calculatoare. Sa vad ce site-uri acceseaza utilizatorii. Exista vreo solutie free pentru treaba asta?

[0xStrait]

Nu cred ca ai formulat bine intrebarea... este vorba de vre-un IDS/SIEM? Daca e asa log-urile server-ului WEB nu te-ar ajuta prea mult pentru ca vei avea acces doar la logurile server-ului pe care-l deti...

 

Sunt alternative gratuite (partial), dar trebuie sa sti ce log-uri vrei sa colectezi, vrei doar traficul care trece prin retea? Atunci poti folosi Suricata sau Snort, dar e destul de complex configurarea de retea (eg. port mirroring), apoi trimiterea log-urilor catre o aplicatie care genereaza alerte (nu stiu daca m-am exprimat bine) gen Elasticsearch/Splunk, aici iar trebuie configurat/customizat.

 

BTW: Lucrez la un proiect personal IDS folosind resurse gratuite... poate o sa scriu un tutorial daca-mi permite timpul.

 

Asta cred ca te-ar ajuta sa intelegi idea si complexitatea, bine aici e voarba de un IDS care s-ar putea aplica pentru utilizarea proprie (proiect personal).

[yoyois]

Nu ati inteles voi intrebarea. Fac eu o traducere:

La el la scoala, in laboratotul de informatica, cum sa faca el sa stie pe ce site-uri se uita ceilalti elevi/profesori?
In reteaua locala sa hackuiasca sa stie ce acceseaza ceilalti useri (parole, siteuri, mesasje, tot, tot)

Asa e? Am inteles bine?

[mgabriel]

Da asa este, dar cred ca am fost destul de explicit. 

 

 

[Nytro]

Solutia ideala: Iti alegi in sala/laborator un loc in mijloc si intorci capul spre monitoarele celorlati. 

Solutia mai dificila nu prea exista. Fiind o retea locala poti face Man in The Middle dar nu poti prinde traficul criptat deoarece TLS. Ai avea nevoie sa generezi un root CA pe care sa il instalezi pe toate calculatoarele si la accesarea unui site sa generezi la runtime un server certificate valid (semnat de acel root CA) pentru ce cauta user-ul. Asta daca nu se fac validari mai detaliate de certificate (SSL/TLS pinning). Asta daca nu ai probleme cu MiTM-ul (mai merge ARP spoofing?).

Insa si asa trebuie targetat atacul ca daca vin 20 de PC-uri cu trafic spre tine si vrei sa faci toate porcariile astea ai nevoie totusi de un PC puternic.

Hint: Nu e ceva user-friendly, sa descarci ceva program, sa dai 2 click-uri si bum, Hackerman. Daca iti iese ai o bere de la mine.  

[0xStrait]

+1 pentru idea lui Nytro, merge MITM in retea, acum depinde daca sunt conectate LAN sau Wireless, daca e LAN -> DHCP MITM faci un iptables POSTROUTING cu optiunea MASQUERADE, apoi un iptables PREROUTING port 80 catre port-ul  proxy-ului tau (eg. Burpsuite - 8080), pe langa tehnica asta poti folosi SSLStrip ca sa pacalesti victima (https://site.com v-a fii redirectionat catre http://site.com).

 

A 2-a optiune Wirleless MITM, mai exact Rogue Access Point, numele retelei trebuie sa fie familiar sau chiar lafel si victima se conecteaza automat la reteaua ta fara parola, se aplica aceleasi reguli iptables ca sa redirectionezi trafficul catre proxy.

 

Este un Network Adapter special pentru asta, Wifi Pineapple, dar aici nu te poti juca cu redirectionearea catre proxy (doar daca cunosti OpenWrt, cel putin eu nu am reusit) , vei vedea trafficul direct in dashboard-ul device-ului.

 

Daca vrei sa faci victima sa-ti instaleze certificatul SSL (eg. Burpsuite), folosesti ARP Poisoning + SE.

 

 

Oricum ne-am dus prea departe in subiect, omul vrea doar ceea ce a scris yoyosis :))

[Kev]

Armitage?

[ChokoFlender]

Poti sa mai faci ceva. Conectezi toate PC-urile la un Pihole.  Si in Pihole iti arata toate site-urile accesate. 

Daca nu ai restrictii pe retea  poti sa il instalezi chiar pe un pc de la scoala. 

Trebuie sa faci o partitie pe care sa pui Debian, acolo sa instalezi pihole.

Dupa asta manual trebuie sa intri in fiecare calculator la control panel/ network/ ip 4/ DNS : sa bagi aici ip-ul tau, pe care ai pus pihole-ul 

 

Pihole, e un DNS Hole facut pentru Raspberry pi, dar se poate pune si pe un PC vechi. El are ca scop blocarea reclamelor.

Edited October 18, 2022 by ChokoFlender

[teampades]

Nu cred ca ai formulat bine intrebarea... este vorba de vre-un IDS/SIEM? Daca e asa log-urile server-ului WEB nu te-ar ajuta prea mult pentru ca vei avea acces doar la logurile server-ului pe care-l deti..  9apps

cartoon hd
 

Edited March 4, 2023 by teampades

[GabrielRo]

3 hours ago, teampades said:

Nu cred ca ai formulat bine intrebarea... este vorba de vre-un IDS/SIEM? Daca e asa log-urile server-ului WEB nu te-ar ajuta prea mult pentru ca vei avea acces doar la logurile server-ului pe care-l deti..

 

2022... bro  

[cindrela80]

Ai avea nevoie sa generezi un root CA pe care sa il instalezi pe toate calculatoarele si la accesarea unui site sa generezi la runtime un server certificate valid (semnat de acel root CA) pentru ce cauta user-ul. Asta daca nu se fac validari mai detaliate de certificate (SSL/TLS pinning). Asta daca nu ai probleme cu MiTM-ul (mai merge ARP spoofing?).

Insa si asa trebuie targetat atacul ca daca vin 20 de PC-uri cu trafic spre tine si vrei sa faci toate porcariile astea ai nevoie totusi de un PC puternic.

Hint: Nu e ceva user-friendly, sa descarci ceva program, sa dai 2 click-uri si bum, Hackerman.

pikashow download

Edited October 23, 2023 by cindrela80