HonixBox Statistics

HonixBox собирает статистику обо всем сетевом трафике, попадающем на его Ethernet-порт, а также, в случае его использования в качестве сетевого адаптера (USB-Ethernet), о трафике между компьютером, к которому он подключен по USB, и сетью. Пример отчета (комментарии ниже). HonixBox может также выдавать статистику по SNMP.

В отчете компьютеры, находящиеся в локальном сегменте сети, показаны с MAC-адресом. Остальное — трафик через роутер либо трафик между сервисами HonixBox и PC (.160, .180).

Отчет позволяет выявить "подозрительный" трафик — не-локальный трафик к хостам без доменного имени. HonixBox запоминает доменные имена и IP-адреса из всех проходящих DNS-запросов и выводит их в статистике по соответствующим IP-адресам. Если строка статистики не имеет доменного имени для не-локального хоста — значит клиентская программа на компьютере обращается к жестко "зашитому" IP-адресу. Не подозрительное исключение составляет 8.8.8.8 — Google Public DNS. Об IP 157.55.236.109 можно узнать, обратившись к нему на SSL-порт (в статистике видно, что обращения шли к 443му порту) — указанный сервер предъявляет сертификат *.wns.windows.com и тоже выбывает из списка подозрительных

Компьютер с нулевым IP-адресом (0.0.0.0 в списке на приведенном скриншоте) — это локальный VoIP-шлюз, который никакой сетевой активностью "не выдал" свой IP-адрес — HonixBox узнал о его существовании по ARP-пакетам от него.