'n Tuisroeteerder (in hierdie geval FritzBox) kan baie opneem: hoeveel verkeer wanneer gaan, wie is teen watter spoed gekoppel, ens. 'n Domeinnaambediener (DNS) op die plaaslike netwerk het my gehelp om uit te vind wat agter die onbekende ontvangers versteek is.
In die algemeen het DNS 'n positiewe impak op die tuisnetwerk gehad: dit het spoed, stabiliteit en bestuurbaarheid bygevoeg.
Hieronder is 'n diagram wat vrae laat ontstaan het en die behoefte om te verstaan wat gebeur het. Die resultate filter reeds bekende en werkende versoeke na domeinnaambedieners uit.
Hoekom word 60 obskure domeine elke dag gepeil terwyl almal nog slaap?
Elke dag word 440 onbekende domeine gedurende aktiewe ure gepeil. Wie is hulle en wat doen hulle?
Gemiddelde aantal versoeke per dag vir uur
SQL-verslag navraag
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))Snags is draadlose toegang gedeaktiveer en toestelaktiwiteit word verwag, m.a.w. daar is geen peiling vir onbekende domeine nie. Dit beteken die grootste aktiwiteit kom van toestelle met bedryfstelsels soos Android, iOS en Blackberry OS.
Kom ons lys die domeine wat intensief gepeil word. Die intensiteit sal bepaal word deur parameters soos die aantal versoeke per dag, die aantal dae van aktiwiteit en in hoeveel ure van die dag hulle opgemerk is.
Al die verwagte verdagtes was op die lys.
Intensief ondervra domeine
SQL-verslag navraag
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20Ons blokkeer isс.blackberry.com en iceberg.blackberry.com, wat die vervaardiger om veiligheidsredes sal regverdig. Resultaat: wanneer jy probeer om aan die WLAN te koppel, wys dit die aanmeldbladsy en verbind nooit weer êrens nie. Kom ons deblokkeer dit.
detectportal.firefox.com is dieselfde meganisme, slegs in die Firefox-blaaier geïmplementeer. As jy by die WLAN-netwerk moet aanmeld, sal dit eers die aanmeldbladsy wys. Dit is nie heeltemal duidelik hoekom die adres so gereeld geping moet word nie, maar die meganisme word duidelik deur die vervaardiger beskryf.
skype. Die aksies van hierdie program is soortgelyk aan 'n wurm: dit skuil en laat hom nie bloot in die taakbalk doodmaak nie, genereer baie verkeer op die netwerk, pings 10 domeine elke 4 minute. Wanneer 'n video-oproep gemaak word, breek die internetverbinding voortdurend af, wanneer dit nie beter kan wees nie. Vir nou is dit nodig, so dit bly.
upload.fp.measure.office.com - verwys na Office 365, ek kon nie 'n ordentlike beskrywing kry nie.
browser.pipe.aria.microsoft.com - Ek kon nie 'n ordentlike beskrywing kry nie.
Ons blokkeer albei.
connect.facebook.net - Facebook-kletstoepassing. Oorblyfsels.
mediator.mail.ru 'n Ontleding van alle versoeke vir die mail.ru-domein het die teenwoordigheid van 'n groot aantal advertensiebronne en statistiekversamelaars getoon, wat wantroue veroorsaak. Die mail.ru-domein word heeltemal na die swartlys gestuur.
google-analytics.com - beïnvloed nie die funksionaliteit van toestelle nie, daarom blokkeer ons dit.
doubleclick.net - tel advertensieklikke. Ons blokkeer.
Baie versoeke gaan na googleapis.com. Die blokkering het gelei tot die vreugdevolle sluiting van kort boodskappe op die tablet, wat vir my dom lyk. Maar die speelwinkel het opgehou werk, so kom ons deblokkeer dit.
cloudflare.com - hulle skryf dat hulle lief is vir open source en skryf oor die algemeen baie oor hulself. Die intensiteit van die domeinopname is nie heeltemal duidelik nie, wat dikwels baie hoër is as die werklike aktiwiteit op die internet. Kom ons los dit vir eers.
Die intensiteit van versoeke hou dus dikwels verband met die vereiste funksionaliteit van die toestelle. Maar diegene wat dit met aktiwiteit oordoen het, is ook ontdek.
Die heel eerste
Wanneer die draadlose internet aangeskakel is, slaap almal nog en is dit moontlik om te sien watter versoeke eerste na die netwerk gestuur word. Dus, om 6:50 word die internet aangeskakel en in die eerste tien minute tydperk word 60 domeine daagliks gepeil:
SQL-verslag navraag
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCFirefox kontroleer die WLAN-verbinding vir die teenwoordigheid van 'n aanmeldbladsy.
Citrix ping sy bediener alhoewel die toepassing nie aktief loop nie.
Symantec verifieer sertifikate.
Mozilla kyk vir opdaterings, hoewel ek in die instellings gevra het om dit nie te doen nie.
mmo.de is 'n speletjiediens. Heel waarskynlik word die versoek deur Facebook-klets geïnisieer. Ons blokkeer.
Apple sal al sy dienste aktiveer. api-glb-fra.smoot.apple.com - te oordeel aan die beskrywing, word elke klik op die knoppie hierheen gestuur vir soekenjinoptimaliseringsdoeleindes. Hoogs verdag, maar verwant aan funksionaliteit. Ons los dit.
Die volgende is 'n lang lys versoeke aan microsoft.com. Ons blokkeer alle domeine vanaf die derde vlak.
Aantal heel eerste subdomeine
Dus, die eerste 10 minute om die draadlose internet aan te skakel.
iOS stem die meeste subdomeine uit - 32. Gevolg deur Android - 24, dan Windows - 15 en laastens Blackberry - 9.
Die Facebook-toepassing alleen stem 10 domeine uit, skype peil 9 domeine.
Versameling van inligting
Die bron vir die ontleding was die bind9 plaaslike bediener loglêer, wat die volgende formaat bevat:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
Die lêer is in 'n SQLite-databasis ingevoer en met behulp van SQL-navrae ontleed.
Die bediener dien as 'n kas; versoeke kom van die router af, so daar is altyd een versoekkliënt. 'n Vereenvoudigde tabelstruktuur is voldoende, d.w.s. Die verslag vereis die tyd van die versoek, die versoek self en die tweedevlakdomein vir groepering.
DDL-tabelle
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);Output
Dus, as gevolg van die ontleding van die domeinnaambedienerlogboek, is meer as 50 rekords gesensor en op die bloklys geplaas.
Die noodsaaklikheid van sommige navrae word goed beskryf deur sagtewarevervaardigers en wek vertroue. Baie van die aktiwiteit is egter ongegrond en twyfelagtig.
Bron: will.com