Jump to content
mgabriel

Monitorizare trafic web din retea

Recommended Posts

Serverul web ar trebui sa logheze URL-ul accesat, browser-ul, IP si alte cateva informatii. Aces log se poate modifica din config-ul serverului web pentru a loga mai multe detalii insa daca sunt multe request-uri se poate umple storage-ul. Se pot arhiva automat log-urile, se poate scripta ceva, exista solutii pentru orice. 

  • Like 1
Link to comment
Share on other sites

  • Active Members

Nu cred ca ai formulat bine intrebarea... este vorba de vre-un IDS/SIEM? Daca e asa log-urile server-ului WEB nu te-ar ajuta prea mult pentru ca vei avea acces doar la logurile server-ului pe care-l deti...

 

Sunt alternative gratuite (partial), dar trebuie sa sti ce log-uri vrei sa colectezi, vrei doar traficul care trece prin retea? Atunci poti folosi Suricata sau Snort, dar e destul de complex configurarea de retea (eg. port mirroring), apoi trimiterea log-urilor catre o aplicatie care genereaza alerte (nu stiu daca m-am exprimat bine) gen Elasticsearch/Splunk, aici iar trebuie configurat/customizat.

 

BTW: Lucrez la un proiect personal IDS folosind resurse gratuite... poate o sa scriu un tutorial daca-mi permite timpul. :D

 

Asta cred ca te-ar ajuta sa intelegi idea si complexitatea, bine aici e voarba de un IDS care s-ar putea aplica pentru utilizarea proprie (proiect personal).

  • Like 1
Link to comment
Share on other sites

Nu ati inteles voi intrebarea. Fac eu o traducere:

La el la scoala, in laboratotul de informatica, cum sa faca el sa stie pe ce site-uri se uita ceilalti elevi/profesori?
In reteaua locala sa hackuiasca sa stie ce acceseaza ceilalti useri (parole, siteuri, mesasje, tot, tot)

Asa e? Am inteles bine?

  • Like 3
Link to comment
Share on other sites

Solutia ideala: Iti alegi in sala/laborator un loc in mijloc si intorci capul spre monitoarele celorlati. 

Solutia mai dificila nu prea exista. Fiind o retea locala poti face Man in The Middle dar nu poti prinde traficul criptat deoarece TLS. Ai avea nevoie sa generezi un root CA pe care sa il instalezi pe toate calculatoarele si la accesarea unui site sa generezi la runtime un server certificate valid (semnat de acel root CA) pentru ce cauta user-ul. Asta daca nu se fac validari mai detaliate de certificate (SSL/TLS pinning). Asta daca nu ai probleme cu MiTM-ul (mai merge ARP spoofing?).

Insa si asa trebuie targetat atacul ca daca vin 20 de PC-uri cu trafic spre tine si vrei sa faci toate porcariile astea ai nevoie totusi de un PC puternic.

Hint: Nu e ceva user-friendly, sa descarci ceva program, sa dai 2 click-uri si bum, Hackerman. Daca iti iese ai o bere de la mine. :D 

  • Like 1
Link to comment
Share on other sites

  • Active Members

+1 pentru idea lui Nytro, merge MITM in retea, acum depinde daca sunt conectate LAN sau Wireless, daca e LAN -> DHCP MITM faci un iptables POSTROUTING cu optiunea MASQUERADE, apoi un iptables PREROUTING port 80 catre port-ul  proxy-ului tau (eg. Burpsuite - 8080), pe langa tehnica asta poti folosi SSLStrip ca sa pacalesti victima (https://site.com v-a fii redirectionat catre http://site.com).

 

A 2-a optiune Wirleless MITM, mai exact Rogue Access Point, numele retelei trebuie sa fie familiar sau chiar lafel si victima se conecteaza automat la reteaua ta fara parola, se aplica aceleasi reguli iptables ca sa redirectionezi trafficul catre proxy.

 

Este un Network Adapter special pentru asta, Wifi Pineapple, dar aici nu te poti juca cu redirectionearea catre proxy (doar daca cunosti OpenWrt, cel putin eu nu am reusit) , vei vedea trafficul direct in dashboard-ul device-ului.

 

Daca vrei sa faci victima sa-ti instaleze certificatul SSL (eg. Burpsuite), folosesti ARP Poisoning + SE.

 

 

Oricum ne-am dus prea departe in subiect, omul vrea doar ceea ce a scris yoyosis :))

  • Like 2
Link to comment
Share on other sites

Poti sa mai faci ceva. Conectezi toate PC-urile la un Pihole.  Si in Pihole iti arata toate site-urile accesate. 

Daca nu ai restrictii pe retea  poti sa il instalezi chiar pe un pc de la scoala. 

Trebuie sa faci o partitie pe care sa pui Debian, acolo sa instalezi pihole.

Dupa asta manual trebuie sa intri in fiecare calculator la control panel/ network/ ip 4/ DNS : sa bagi aici ip-ul tau, pe care ai pus pihole-ul 

 

Pihole, e un DNS Hole facut pentru Raspberry pi, dar se poate pune si pe un PC vechi. El are ca scop blocarea reclamelor.

Edited by ChokoFlender
Link to comment
Share on other sites

Ai avea nevoie sa generezi un root CA pe care sa il instalezi pe toate calculatoarele si la accesarea unui site sa generezi la runtime un server certificate valid (semnat de acel root CA) pentru ce cauta user-ul. Asta daca nu se fac validari mai detaliate de certificate (SSL/TLS pinning). Asta daca nu ai probleme cu MiTM-ul (mai merge ARP spoofing?).

Insa si asa trebuie targetat atacul ca daca vin 20 de PC-uri cu trafic spre tine si vrei sa faci toate porcariile astea ai nevoie totusi de un PC puternic.

Hint: Nu e ceva user-friendly, sa descarci ceva program, sa dai 2 click-uri si bum, Hackerman.

pikashow download

Edited by cindrela80
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...