He probado con wireshark, pero me captura solo el tráfico de mi pc y no de otros host de la red. En wireshark vero que puedo filtar por la dirección ip y por protocolo.
Para hacer que capture todo el trafico de red tienes que cambiar un poco la estructura de RED de donde estas, lo que se puede hacer es colocar un PC queño o grande depéndiendo de la catidad de recursos que tengas disponible, se trata de colocar este PC detras del router principal y hacer que todo el trafico de red pase primero por ese PC/Servidor y este saque el trafico al Router de principal.
Snort esta hecho principalmente para 2 Cosas sniffear trafico para diagnosticar si algo esta mal en la misma RED, y para Alertar sobre posibles paquetes sospechosos segun las reglas. Yo solo lo he utilizado para lo primero.
Si lo que quieres es una lista completa de que IP visito que pagina, tal ve si sea necesario crear las reglas manualmente he buscado pro si ya hay algo hecho como eso y no encuentro nada.
Se podria solo guardar trafico con destino a los puertos 80,443 y tal vez 8080 o algun otro puerto relacionado con trafico WEB.
En la siguiente pagina
https://www.linuxtoday.com/blog/network-monitoring-with-snort.htmlmenciona lo siguiente:
If you want to monitor all network traffic, but don't want to sit glued to the screen, you can have Snort send its output to a log file instead. The -l option takes a log file directory as a parameter. You may also want to pass the -h option, which tells Snort the address of the home network. For example, the command
# snort -l /var/log/snort -h 192.168.1.0/24
creates a series of subdirectories under /var/log/snort, one for each IP address. These directories hold files named after the port numbers involved in a data transfer. For instance, /var/log/snort/192.168.1.3/TCP:54749-22 holds information on packets originating from port 54749 on host 192.168.1.3 and directed at port 22. This arrangement can help you track specific types of information. For instance, if you suspect a person who uses a particular computer is up to no good, you can monitor that system's traffic while ignoring other systems.
One disadvantage of logging everything, of course, is that the log files are likely to grow unmanageably large very quickly. Performing logging in this way may be helpful when diagnosing network problems, though. For instance, you can monitor the exchange of data between computers if a network protocol isn't working as you expect, then shut down Snort when you're done.
For ongoing security monitoring, you'll probably use Snort as a NIDS, and this use requires you to configure the system to log far less data.
Entonces loguear todo el trafico de esos puertos puede generar mucho trafico, tal vez con las reglas se pueda hacer que solo guarde cierta metadata pero con las reglas no tengo mucha experiencia.
Otra sugerencia seria utilizar squid proxy configurado de forma transparente.
https://plataforma.josedomingo.org/pledin/cursos/servicios2008/doc/Proxy_transparente_con_squid_e_iptablesCreo que también tiene opción de generarte logs de trafico, además de poder restringir paginas.
Saludos
Mostrar Mensajes
