ProHoster > Blog > İdarə > Ev İnterneti və domen adı server statistikası necədir?

Ev İnterneti və domen adı server statistikası necədir?

Ev marşrutlaşdırıcısı (bu halda FritzBox) çox şey yaza bilər: nə qədər trafik nə vaxt gedir, kim hansı sürətlə qoşulur və s. Yerli şəbəkədəki domen adı serveri (DNS) mənə naməlum alıcıların arxasında nəyin gizləndiyini öyrənməyə kömək etdi.

Ümumiyyətlə, DNS ev şəbəkəsinə müsbət təsir göstərdi: o, sürəti, sabitliyi və idarəolunanlığı əlavə etdi.

Aşağıda sualları və nə baş verdiyini anlamaq ehtiyacını doğuran bir diaqram var. Nəticələr artıq domen adı serverlərinə məlum və işləyən sorğuları süzür.

Niyə hamı hələ də yatarkən hər gün 60 qaranlıq domen sorğulanır?

Hər gün aktiv saatlarda 440 naməlum domen sorğulanır. Onlar kimlərdir və nə edirlər?

Gündə saata görə sorğuların orta sayı

Ev İnterneti və domen adı server statistikası necədir?

SQL hesabat sorğusu

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Line: DNS Requests per Day for Hours',
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))

Gecə simsiz giriş söndürülür və cihazın fəaliyyəti gözlənilir, yəni. naməlum domenlər üçün sorğu yoxdur. Bu o deməkdir ki, ən böyük fəaliyyət Android, iOS və Blackberry OS kimi əməliyyat sistemləri olan cihazlardan gəlir.

Intensiv şəkildə sorğulanan domenləri sadalayaq. İntensivlik gündə sorğuların sayı, fəaliyyət günlərinin sayı və günün neçə saatında fərq edildiyi kimi parametrlərlə müəyyən ediləcək.

Bütün gözlənilən şübhəlilər siyahıda idi.

İntensiv sorğulanmış domenlər

Ev İnterneti və domen adı server statistikası necədir?

SQL hesabat sorğusu

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT 
  1 as 'Table: Havy DNS Requests',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests per Day',
  DH AS 'Hours per Day',
  DAYS AS 'Active Days'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  COUNT(DISTINCT REQUEST_NK) AS SUBD,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
  ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20

İstehsalçının təhlükəsizlik səbəbləri ilə əsaslandıracağı isс.blackberry.com və iceberg.blackberry.com-u bloklayırıq. Nəticə: WLAN-a qoşulmağa çalışarkən, o, giriş səhifəsini göstərir və bir daha heç yerə qoşulmur. Gəlin onu blokdan çıxaraq.

detectportal.firefox.com eyni mexanizmdir, yalnız Firefox brauzerində tətbiq olunur. Əgər WLAN şəbəkəsinə daxil olmağınız lazımdırsa, o, əvvəlcə giriş səhifəsini göstərəcək. Ünvanın niyə tez-tez ping edilməsi lazım olduğu tam aydın deyil, lakin mexanizm istehsalçı tərəfindən aydın şəkildə təsvir edilmişdir.

skype. Bu proqramın hərəkətləri qurda bənzəyir: o gizlənir və sadəcə tapşırıqlar panelində özünü öldürməyə imkan vermir, şəbəkədə çoxlu trafik yaradır, hər 10 dəqiqədən bir 4 domeni pingləyir. Video zəng edərkən İnternet bağlantısı daha yaxşı ola bilməyəndə daim kəsilir. Hələlik bu lazımdır, ona görə də qalır.

upload.fp.measure.office.com - Office 365-ə istinad edir, layiqli təsvir tapa bilmədim.
browser.pipe.aria.microsoft.com - Mən layiqli təsvir tapa bilmədim.
Hər ikisini bloklayırıq.

connect.facebook.net - Facebook söhbət proqramı. Qalır.

mediator.mail.ru Mail.ru domeni ilə bağlı bütün sorğuların təhlili etimadsızlığa səbəb olan çoxlu sayda reklam resurslarının və statistika kollektorlarının olduğunu göstərdi. Mail.ru domeni tamamilə qara siyahıya göndərilir.

google-analytics.com - cihazların funksionallığına təsir göstərmir, ona görə də onu bloklayırıq.
doubleclick.net - reklam kliklərini hesablayır. Biz blok edirik.

Çoxlu sorğular googleapis.com-a daxil olur. Bloklama planşetdə mənə axmaq görünən qısa mesajların sevinclə bağlanmasına səbəb oldu. Ancaq playstore işləməyi dayandırdı, ona görə də blokdan çıxaraq.

cloudflare.com - açıq mənbəni sevdiklərini və ümumiyyətlə, özləri haqqında çox şey yazdığını yazırlar. Domen sorğusunun intensivliyi tam aydın deyil, bu da çox vaxt İnternetdəki faktiki fəaliyyətdən xeyli yüksəkdir. Hələlik onu buraxaq.

Beləliklə, sorğuların intensivliyi çox vaxt cihazların tələb olunan funksionallığı ilə bağlıdır. Amma bunu aktivliklə aşanlar da aşkarlanıb.

Ən birinci

Simsiz İnternet işə salındıqda, hər kəs hələ də yuxudadır və şəbəkəyə ilk olaraq hansı sorğuların göndərildiyini görmək mümkündür. Beləliklə, saat 6:50-də İnternet açılır və ilk on dəqiqə ərzində hər gün 60 domen sorğulanır:

Ev İnterneti və domen adı server statistikası necədir?

SQL hesabat sorğusu

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Table: First DNS Requests at 06:00',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests',
  DAYS AS 'Active Days',
  strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
  strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  MIN(EVENT_DT) AS MIN_DT,
  MAX(EVENT_DT) AS MAX_DT,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
  AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
 )
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESC

Firefox giriş səhifəsinin mövcudluğu üçün WLAN bağlantısını yoxlayır.
Tətbiq aktiv işləməsə də, Citrix serverinə ping edir.
Symantec sertifikatları yoxlayır.
Mozilla yeniləmələri yoxlayır, baxmayaraq ki, parametrlərdə bunu etməməyi xahiş etdim.

mmo.de bir oyun xidmətidir. Çox güman ki, sorğu facebook chat vasitəsilə başlanıb. Biz blok edirik.

Apple bütün xidmətlərini aktivləşdirəcək. api-glb-fra.smoot.apple.com - təsvirə əsasən, hər düyməyə klik axtarış motorunun optimallaşdırılması məqsədləri üçün buraya göndərilir. Çox şübhəli, lakin funksionallıqla əlaqədardır. Biz onu tərk edirik.

Aşağıda microsoft.com-a edilən sorğuların uzun siyahısı verilmişdir. Üçüncü səviyyədən başlayaraq bütün domenləri bloklayırıq.

İlk subdomenlərin sayı
Ev İnterneti və domen adı server statistikası necədir?

Beləliklə, simsiz İnterneti açmağın ilk 10 dəqiqəsi.
Ən çox subdomenləri iOS sorğulayır - 32. Sonra Android - 24, daha sonra Windows - 15 və sonuncu olaraq Blackberry - 9 gəlir.
Təkcə facebook tətbiqi 10 domen, skype 9 domen sorğusu aparır.

Məlumat mənbəyi

Təhlil üçün mənbə aşağıdakı formatı ehtiva edən bind9 yerli server jurnalı faylı idi:

01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)

Fayl sqlite verilənlər bazasına idxal edilib və SQL sorğuları vasitəsilə təhlil edilib.
Server keş kimi fəaliyyət göstərir; sorğular marşrutlaşdırıcıdan gəlir, ona görə də həmişə bir sorğu müştərisi olur. Sadələşdirilmiş cədvəl strukturu kifayətdir, yəni. Hesabat sorğunun vaxtını, sorğunun özünü və qruplaşdırma üçün ikinci səviyyəli domeni tələb edir.

DDL cədvəlləri

CREATE TABLE STG_BIND9_LOG (
  LINE_NK       INTEGER NOT NULL DEFAULT 1,
  DATE_NK       TEXT NOT NULL DEFAULT 'n.a.',
  TIME_NK       TEXT NOT NULL DEFAULT 'n.a.',
  CLI           TEXT, -- client
  IP            TEXT,
  REQUEST_NK    TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
  DOMAIN        TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
  QUERY         TEXT,
  UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);

Buraxılış

Belə ki, domen adı server jurnalının təhlili nəticəsində 50-dən çox qeyd senzuradan keçərək blok siyahısına salınıb.

Bəzi sorğuların zərurəti proqram istehsalçıları tərəfindən yaxşı təsvir edilir və inamı ilhamlandırır. Lakin fəaliyyətin çoxu əsassız və şübhəlidir.

Mənbə: www.habr.com

Добавить комментарий