ΠΠΎΠΌΠ°ΡΠ½ΠΈΡΡ ΡΡΡΠ΅Ρ (Π² ΡΠΎΠ·ΠΈ ΡΠ»ΡΡΠ°ΠΉ FritzBox) ΠΌΠΎΠΆΠ΅ Π΄Π° Π·Π°ΠΏΠΈΡΠ²Π° ΠΌΠ½ΠΎΠ³ΠΎ: ΠΊΠΎΠ»ΠΊΠΎ ΡΡΠ°ΡΠΈΠΊ ΠΊΠΎΠ³Π° ΠΌΠΈΠ½Π°Π²Π°, ΠΊΠΎΠΉ Ρ ΠΊΠ°ΠΊΠ²Π° ΡΠΊΠΎΡΠΎΡΡ Π΅ ΡΠ²ΡΡΠ·Π°Π½ ΠΈ Ρ.Π½. Π‘ΡΡΠ²ΡΡ Π·Π° ΠΈΠΌΠ΅Π½Π° Π½Π° Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈ (DNS) Π² Π»ΠΎΠΊΠ°Π»Π½Π°ΡΠ° ΠΌΡΠ΅ΠΆΠ° ΠΌΠΈ ΠΏΠΎΠΌΠΎΠ³Π½Π° Π΄Π° ΡΠ°Π·Π±Π΅ΡΠ° ΠΊΠ°ΠΊΠ²ΠΎ ΡΠ΅ ΠΊΡΠΈΠ΅ Π·Π°Π΄ Π½Π΅ΠΈΠ·Π²Π΅ΡΡΠ½ΠΈΡΠ΅ ΠΏΠΎΠ»ΡΡΠ°ΡΠ΅Π»ΠΈ.
ΠΠ°ΡΠΎ ΡΡΠ»ΠΎ DNS ΠΈΠΌΠ° ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»Π½ΠΎ Π²ΡΠ·Π΄Π΅ΠΉΡΡΠ²ΠΈΠ΅ Π²ΡΡΡ Ρ Π΄ΠΎΠΌΠ°ΡΠ½Π°ΡΠ° ΠΌΡΠ΅ΠΆΠ°: Π΄ΠΎΠ±Π°Π²Ρ ΡΠΊΠΎΡΠΎΡΡ, ΡΡΠ°Π±ΠΈΠ»Π½ΠΎΡΡ ΠΈ ΡΠΏΡΠ°Π²Π»ΡΠ΅ΠΌΠΎΡΡ.
ΠΠΎ-Π΄ΠΎΠ»Ρ ΠΈΠΌΠ° Π΄ΠΈΠ°Π³ΡΠ°ΠΌΠ°, ΠΊΠΎΡΡΠΎ ΠΏΠΎΠ²Π΄ΠΈΠ³Π° Π²ΡΠΏΡΠΎΡΠΈ ΠΈ Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΠΎΡΡΡΠ° Π΄Π° ΡΠ΅ ΡΠ°Π·Π±Π΅ΡΠ΅ ΠΊΠ°ΠΊΠ²ΠΎ ΡΠ΅ ΡΠ»ΡΡΠ²Π°. Π Π΅Π·ΡΠ»ΡΠ°ΡΠΈΡΠ΅ Π²Π΅ΡΠ΅ ΡΠΈΠ»ΡΡΠΈΡΠ°Ρ ΠΈΠ·Π²Π΅ΡΡΠ½ΠΈ ΠΈ ΡΠ°Π±ΠΎΡΠ΅ΡΠΈ Π·Π°ΡΠ²ΠΊΠΈ ΠΊΡΠΌ ΡΡΡΠ²ΡΡΠΈ Π·Π° ΠΈΠΌΠ΅Π½Π° Π½Π° Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈ.
ΠΠ°ΡΠΎ Π²ΡΠ΅ΠΊΠΈ Π΄Π΅Π½ ΡΠ΅ Π°Π½ΠΊΠ΅ΡΠΈΡΠ°Ρ 60 Π½Π΅ΡΡΠ½ΠΈ Π΄ΠΎΠΌΠ΅ΠΉΠ½Π°, Π΄ΠΎΠΊΠ°ΡΠΎ Π²ΡΠΈΡΠΊΠΈ ΠΎΡΠ΅ ΡΠΏΡΡ?
ΠΡΠ΅ΠΊΠΈ Π΄Π΅Π½ ΡΠ΅ Π°Π½ΠΊΠ΅ΡΠΈΡΠ°Ρ 440 Π½Π΅ΠΈΠ·Π²Π΅ΡΡΠ½ΠΈ Π΄ΠΎΠΌΠ΅ΠΉΠ½Π° ΠΏΠΎ Π²ΡΠ΅ΠΌΠ΅ Π½Π° Π°ΠΊΡΠΈΠ²Π½ΠΈ ΡΠ°ΡΠΎΠ²Π΅. ΠΠΎΠΈ ΡΠ° ΡΠ΅ ΠΈ ΠΊΠ°ΠΊΠ²ΠΎ ΠΏΡΠ°Π²ΡΡ?
Π‘ΡΠ΅Π΄Π΅Π½ Π±ΡΠΎΠΉ Π·Π°ΡΠ²ΠΊΠΈ Π½Π° Π΄Π΅Π½ ΠΏΠΎ ΡΠ°Ρ
SQL Π·Π°ΡΠ²ΠΊΠ° Π·Π° ΠΎΡΡΠ΅Ρ
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ΠΡΠ΅Π· Π½ΠΎΡΡΠ° Π±Π΅Π·ΠΆΠΈΡΠ½ΠΈΡΡ Π΄ΠΎΡΡΡΠΏ Π΅ Π΄Π΅Π°ΠΊΡΠΈΠ²ΠΈΡΠ°Π½ ΠΈ ΡΠ΅ ΠΎΡΠ°ΠΊΠ²Π° Π°ΠΊΡΠΈΠ²Π½ΠΎΡΡ Π½Π° ΡΡΡΡΠΎΠΉΡΡΠ²ΠΎΡΠΎ, Ρ.Π΅. Π½ΡΠΌΠ° Π³Π»Π°ΡΡΠ²Π°Π½Π΅ Π·Π° Π½Π΅ΠΈΠ·Π²Π΅ΡΡΠ½ΠΈ Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈ. Π’ΠΎΠ²Π° ΠΎΠ·Π½Π°ΡΠ°Π²Π°, ΡΠ΅ Π½Π°ΠΉ-Π³ΠΎΠ»ΡΠΌΠ°ΡΠ° Π°ΠΊΡΠΈΠ²Π½ΠΎΡΡ ΠΈΠ΄Π²Π° ΠΎΡ ΡΡΡΡΠΎΠΉΡΡΠ²Π° Ρ ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΎΠ½Π½ΠΈ ΡΠΈΡΡΠ΅ΠΌΠΈ ΠΊΠ°ΡΠΎ Android, iOS ΠΈ Blackberry OS.
ΠΠ΅ΠΊΠ° ΠΈΠ·Π±ΡΠΎΠΈΠΌ Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈΡΠ΅, ΠΊΠΎΠΈΡΠΎ ΡΠ΅ Π°Π½ΠΊΠ΅ΡΠΈΡΠ°Ρ ΠΈΠ½ΡΠ΅Π½Π·ΠΈΠ²Π½ΠΎ. ΠΠ½ΡΠ΅Π½Π·ΠΈΡΠ΅ΡΡΡ ΡΠ΅ ΡΠ΅ ΠΎΠΏΡΠ΅Π΄Π΅Π»Ρ ΠΎΡ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΈ ΠΊΠ°ΡΠΎ Π±ΡΠΎΠΉ Π·Π°ΡΠ²ΠΊΠΈ Π½Π° Π΄Π΅Π½, Π±ΡΠΎΠΉ Π΄Π½ΠΈ Π½Π° Π°ΠΊΡΠΈΠ²Π½ΠΎΡΡ ΠΈ Π² ΠΊΠΎΠ»ΠΊΠΎ ΡΠ°ΡΠ° ΠΎΡ Π΄Π΅Π½Ρ ΡΠ° Π±ΠΈΠ»ΠΈ Π·Π°Π±Π΅Π»ΡΠ·Π°Π½ΠΈ.
ΠΡΠΈΡΠΊΠΈ ΠΎΡΠ°ΠΊΠ²Π°Π½ΠΈ Π·Π°ΠΏΠΎΠ΄ΠΎΠ·ΡΠ΅Π½ΠΈ Π±ΡΡ Π° Π² ΡΠΏΠΈΡΡΠΊΠ°.
ΠΠ½ΡΠ΅Π½Π·ΠΈΠ²Π½ΠΎ Π°Π½ΠΊΠ΅ΡΠΈΡΠ°Π½ΠΈ Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈ
SQL Π·Π°ΡΠ²ΠΊΠ° Π·Π° ΠΎΡΡΠ΅Ρ
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20
ΠΠ»ΠΎΠΊΠΈΡΠ°ΠΌΠ΅ isΡ.blackberry.com ΠΈ iceberg.blackberry.com, ΠΊΠΎΠ΅ΡΠΎ ΠΏΡΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡΠ΅Π»ΡΡ ΡΠ΅ ΠΎΠΏΡΠ°Π²Π΄Π°Π΅ ΠΎΡ ΡΡΠΎΠ±ΡΠ°ΠΆΠ΅Π½ΠΈΡ Π·Π° ΡΠΈΠ³ΡΡΠ½ΠΎΡΡ. Π Π΅Π·ΡΠ»ΡΠ°Ρ: ΠΊΠΎΠ³Π°ΡΠΎ ΡΠ΅ ΠΎΠΏΠΈΡΠ²Π°ΡΠ΅ Π΄Π° ΡΠ΅ ΡΠ²ΡΡΠΆΠ΅ΡΠ΅ Ρ WLAN, ΠΏΠΎΠΊΠ°Π·Π²Π° ΡΡΡΠ°Π½ΠΈΡΠ°ΡΠ° Π·Π° Π²Ρ ΠΎΠ΄ ΠΈ Π½ΠΈΠΊΠΎΠ³Π° ΠΏΠΎΠ²Π΅ΡΠ΅ Π½Π΅ ΡΠ΅ ΡΠ²ΡΡΠ·Π²Π° Π½ΠΈΠΊΡΠ΄Π΅. ΠΠ΅ΠΊΠ° Π³ΠΎ ΠΎΡΠ±Π»ΠΎΠΊΠΈΡΠ°ΠΌΠ΅.
detectportal.firefox.com Π΅ ΡΡΡΠΈΡΡ ΠΌΠ΅Ρ Π°Π½ΠΈΠ·ΡΠΌ, ΡΠ°ΠΌΠΎ Π²Π½Π΅Π΄ΡΠ΅Π½ Π² Π±ΡΠ°ΡΠ·ΡΡΠ° Firefox. ΠΠΊΠΎ ΡΡΡΠ±Π²Π° Π΄Π° Π²Π»Π΅Π·Π΅ΡΠ΅ Π² WLAN ΠΌΡΠ΅ΠΆΠ°ΡΠ°, ΡΡ ΠΏΡΡΠ²ΠΎ ΡΠ΅ ΠΏΠΎΠΊΠ°ΠΆΠ΅ ΡΡΡΠ°Π½ΠΈΡΠ°ΡΠ° Π·Π° Π²Ρ ΠΎΠ΄. ΠΠ΅ Π΅ ΡΡΠ²ΡΠ΅ΠΌ ΡΡΠ½ΠΎ Π·Π°ΡΠΎ Π°Π΄ΡΠ΅ΡΡΡ ΡΡΡΠ±Π²Π° Π΄Π° ΡΠ΅ ΠΏΠΈΠ½Π³ΡΠ²Π° ΡΠΎΠ»ΠΊΠΎΠ²Π° ΡΠ΅ΡΡΠΎ, Π½ΠΎ ΠΌΠ΅Ρ Π°Π½ΠΈΠ·ΠΌΡΡ Π΅ ΡΡΠ½ΠΎ ΠΎΠΏΠΈΡΠ°Π½ ΠΎΡ ΠΏΡΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡΠ΅Π»Ρ.
ΡΠΊΠ°ΠΉΠΏ. ΠΠ΅ΠΉΡΡΠ²ΠΈΡΡΠ° Π½Π° ΡΠ°Π·ΠΈ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠ° ΡΠ° ΠΏΠΎΠ΄ΠΎΠ±Π½ΠΈ Π½Π° ΡΠ΅ΡΠ²Π΅ΠΉ: ΡΡ ΡΠ΅ ΠΊΡΠΈΠ΅ ΠΈ Π½Π΅ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° ΠΏΡΠΎΡΡΠΎ Π΄Π° Π±ΡΠ΄Π΅ ΡΠ±ΠΈΡΠ° Π² Π»Π΅Π½ΡΠ°ΡΠ° Π½Π° Π·Π°Π΄Π°ΡΠΈΡΠ΅, Π³Π΅Π½Π΅ΡΠΈΡΠ° ΠΌΠ½ΠΎΠ³ΠΎ ΡΡΠ°ΡΠΈΠΊ Π² ΠΌΡΠ΅ΠΆΠ°ΡΠ°, ΠΏΠΈΠ½Π³Π²Π° 10 Π΄ΠΎΠΌΠ΅ΠΉΠ½Π° Π½Π° Π²ΡΠ΅ΠΊΠΈ 4 ΠΌΠΈΠ½ΡΡΠΈ. ΠΠΎΠ³Π°ΡΠΎ ΠΏΡΠ°Π²ΠΈΡΠ΅ Π²ΠΈΠ΄Π΅ΠΎ ΡΠ°Π·Π³ΠΎΠ²ΠΎΡ, ΠΈΠ½ΡΠ΅ΡΠ½Π΅Ρ Π²ΡΡΠ·ΠΊΠ°ΡΠ° ΠΏΠΎΡΡΠΎΡΠ½Π½ΠΎ ΠΏΡΠ΅ΠΊΡΡΠ²Π°, ΠΊΠΎΠ³Π°ΡΠΎ Π½Π΅ ΠΌΠΎΠΆΠ΅ Π΄Π° Π±ΡΠ΄Π΅ ΠΏΠΎ-Π΄ΠΎΠ±ΡΠ°. ΠΠ°ΡΠ΅Π³Π° Π΅ Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΠΎ, ΡΠ°ΠΊΠ° ΡΠ΅ ΠΎΡΡΠ°Π²Π°.
upload.fp.measure.office.com - ΠΎΡΠ½Π°ΡΡ ΡΠ΅ Π·Π° Office 365, Π½Π΅ ΠΌΠΎΠΆΠ°Ρ
Π΄Π° Π½Π°ΠΌΠ΅ΡΡ ΠΏΡΠΈΠ»ΠΈΡΠ½ΠΎ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅.
browser.pipe.aria.microsoft.com - Π½Π΅ ΠΌΠΎΠΆΠ°Ρ
Π΄Π° Π½Π°ΠΌΠ΅ΡΡ ΠΏΡΠΈΠ»ΠΈΡΠ½ΠΎ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅.
ΠΠ»ΠΎΠΊΠΈΡΠ°ΠΌΠ΅ ΠΈ Π΄Π²Π΅ΡΠ΅.
connect.facebook.net - Facebook ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Π·Π° ΡΠ°Ρ. ΠΎΡΡΠ°Π½ΠΊΠΈ.
mediator.mail.ru ΠΠ½Π°Π»ΠΈΠ·ΡΡ Π½Π° Π²ΡΠΈΡΠΊΠΈ Π·Π°ΡΠ²ΠΊΠΈ Π·Π° Π΄ΠΎΠΌΠ΅ΠΉΠ½Π° mail.ru ΠΏΠΎΠΊΠ°Π·Π° Π½Π°Π»ΠΈΡΠΈΠ΅ΡΠΎ Π½Π° ΠΎΠ³ΡΠΎΠΌΠ΅Π½ Π±ΡΠΎΠΉ ΡΠ΅ΠΊΠ»Π°ΠΌΠ½ΠΈ ΡΠ΅ΡΡΡΡΠΈ ΠΈ ΠΊΠΎΠ»Π΅ΠΊΡΠΎΡΠΈ Π½Π° ΡΡΠ°ΡΠΈΡΡΠΈΡΠ΅ΡΠΊΠΈ Π΄Π°Π½Π½ΠΈ, ΠΊΠΎΠ΅ΡΠΎ ΠΏΡΠ΅Π΄ΠΈΠ·Π²ΠΈΠΊΠ²Π° Π½Π΅Π΄ΠΎΠ²Π΅ΡΠΈΠ΅. ΠΠΎΠΌΠ΅ΠΉΠ½ΡΡ mail.ru ΡΠ΅ ΠΈΠ·ΠΏΡΠ°ΡΠ° ΠΈΠ·ΡΡΠ»ΠΎ Π² ΡΠ΅ΡΠ½ΠΈΡ ΡΠΏΠΈΡΡΠΊ.
google-analytics.com - Π½Π΅ Π·Π°ΡΡΠ³Π° ΡΡΠ½ΠΊΡΠΈΠΎΠ½Π°Π»Π½ΠΎΡΡΡΠ° Π½Π° ΡΡΡΡΠΎΠΉΡΡΠ²Π°ΡΠ°, Π·Π°ΡΠΎΠ²Π° Π³ΠΎ Π±Π»ΠΎΠΊΠΈΡΠ°ΠΌΠ΅.
doubleclick.net - ΠΎΡΡΠΈΡΠ° ΡΠ΅ΠΊΠ»Π°ΠΌΠ½ΠΈΡΠ΅ ΠΊΠ»ΠΈΠΊΠΎΠ²Π΅. ΠΠΈΠ΅ Π±Π»ΠΎΠΊΠΈΡΠ°ΠΌΠ΅.
ΠΠ½ΠΎΠ³ΠΎ Π·Π°ΡΠ²ΠΊΠΈ ΠΎΡΠΈΠ²Π°Ρ ΠΊΡΠΌ googleapis.com. ΠΠ»ΠΎΠΊΠΈΡΠ°Π½Π΅ΡΠΎ Π΄ΠΎΠ²Π΅Π΄Π΅ Π΄ΠΎ ΡΠ°Π΄ΠΎΡΡΠ½ΠΎ ΠΈΠ·ΠΊΠ»ΡΡΠ²Π°Π½Π΅ Π½Π° ΠΊΡΠ°ΡΠΊΠΈ ΡΡΠΎΠ±ΡΠ΅Π½ΠΈΡ Π½Π° ΡΠ°Π±Π»Π΅ΡΠ°, ΠΊΠΎΠ΅ΡΠΎ ΠΌΠΈ ΡΠ΅ ΡΡΡΡΠ²Π° Π³Π»ΡΠΏΠ°Π²ΠΎ. ΠΠΎ playstore ΡΠΏΡΡ Π΄Π° ΡΠ°Π±ΠΎΡΠΈ, ΡΠ°ΠΊΠ° ΡΠ΅ Π½Π΅ΠΊΠ° Π³ΠΎ Π΄Π΅Π±Π»ΠΎΠΊΠΈΡΠ°ΠΌΠ΅.
cloudflare.com - ΡΠ΅ ΠΏΠΈΡΠ°Ρ, ΡΠ΅ ΠΎΠ±ΠΈΡΠ°Ρ ΠΎΡΠ²ΠΎΡΠ΅Π½ ΠΊΠΎΠ΄ ΠΈ ΠΊΠ°ΡΠΎ ΡΡΠ»ΠΎ ΠΏΠΈΡΠ°Ρ ΠΌΠ½ΠΎΠ³ΠΎ Π·Π° ΡΠ΅Π±Π΅ ΡΠΈ. ΠΠ΅ Π΅ ΡΡΠ²ΡΠ΅ΠΌ ΡΡΠ½Π° ΠΈΠ½ΡΠ΅Π½Π·ΠΈΠ²Π½ΠΎΡΡΡΠ° Π½Π° ΠΏΡΠΎΡΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° Π΄ΠΎΠΌΠ΅ΠΉΠ½Π°, ΠΊΠΎΡΡΠΎ ΡΠ΅ΡΡΠΎ Π΅ ΠΌΠ½ΠΎΠ³ΠΎ ΠΏΠΎ-Π²ΠΈΡΠΎΠΊΠ° ΠΎΡ ΡΠ΅Π°Π»Π½Π°ΡΠ° Π°ΠΊΡΠΈΠ²Π½ΠΎΡΡ Π² ΠΠ½ΡΠ΅ΡΠ½Π΅Ρ. ΠΠ΅ΠΊΠ° Π³ΠΎ ΠΎΡΡΠ°Π²ΠΈΠΌ Π·Π° ΡΠ΅Π³Π°.
ΠΠΎ ΡΠΎΠ·ΠΈ Π½Π°ΡΠΈΠ½ ΠΈΠ½ΡΠ΅Π½Π·ΠΈΠ²Π½ΠΎΡΡΡΠ° Π½Π° Π·Π°ΡΠ²ΠΊΠΈΡΠ΅ ΡΠ΅ΡΡΠΎ Π΅ ΡΠ²ΡΡΠ·Π°Π½Π° Ρ Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΠ°ΡΠ° ΡΡΠ½ΠΊΡΠΈΠΎΠ½Π°Π»Π½ΠΎΡΡ Π½Π° ΡΡΡΡΠΎΠΉΡΡΠ²Π°ΡΠ°. ΠΠΎ ΡΠ΅ ΡΠ°Π·ΠΊΡΠΈΡ Π° ΠΈ ΠΏΡΠ΅ΠΊΠ°Π»ΠΈΠ»ΠΈ Ρ Π°ΠΊΡΠΈΠ²Π½ΠΎΡΡΡΠ°.
ΠΠ°ΠΉ-ΠΏΡΡΠ²ΠΈΡΡ
ΠΠΎΠ³Π°ΡΠΎ Π±Π΅Π·ΠΆΠΈΡΠ½ΠΈΡΡ ΠΈΠ½ΡΠ΅ΡΠ½Π΅Ρ Π΅ Π²ΠΊΠ»ΡΡΠ΅Π½, Π²ΡΠΈΡΠΊΠΈ ΠΎΡΠ΅ ΡΠΏΡΡ ΠΈ Π΅ Π²ΡΠ·ΠΌΠΎΠΆΠ½ΠΎ Π΄Π° ΡΠ΅ Π²ΠΈΠ΄ΠΈ ΠΊΠΎΠΈ Π·Π°ΡΠ²ΠΊΠΈ ΡΠ΅ ΠΈΠ·ΠΏΡΠ°ΡΠ°Ρ ΠΏΡΡΠ²ΠΈ ΠΊΡΠΌ ΠΌΡΠ΅ΠΆΠ°ΡΠ°. Π ΡΠ°ΠΊΠ°, Π² 6:50 ΠΈΠ½ΡΠ΅ΡΠ½Π΅Ρ ΡΠ΅ Π²ΠΊΠ»ΡΡΠ²Π° ΠΈ ΠΏΡΠ΅Π· ΠΏΡΡΠ²ΠΈΡΠ΅ Π΄Π΅ΡΠ΅Ρ ΠΌΠΈΠ½ΡΡΠΈ ΡΠ΅ Π°Π½ΠΊΠ΅ΡΠΈΡΠ°Ρ 60 Π΄ΠΎΠΌΠ΅ΠΉΠ½Π° Π΄Π½Π΅Π²Π½ΠΎ:
SQL Π·Π°ΡΠ²ΠΊΠ° Π·Π° ΠΎΡΡΠ΅Ρ
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESC
Firefox ΠΏΡΠΎΠ²Π΅ΡΡΠ²Π° WLAN Π²ΡΡΠ·ΠΊΠ°ΡΠ° Π·Π° Π½Π°Π»ΠΈΡΠΈΠ΅ Π½Π° ΡΡΡΠ°Π½ΠΈΡΠ° Π·Π° Π²Ρ
ΠΎΠ΄.
Citrix ΠΏΠΈΠ½Π³Π²Π° ΡΠ²ΠΎΡ ΡΡΡΠ²ΡΡ, Π²ΡΠΏΡΠ΅ΠΊΠΈ ΡΠ΅ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ΡΠΎ Π½Π΅ ΡΠ°Π±ΠΎΡΠΈ Π°ΠΊΡΠΈΠ²Π½ΠΎ.
Symantec ΠΏΡΠΎΠ²Π΅ΡΡΠ²Π° ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠΈΡΠ΅.
Mozilla ΠΏΡΠΎΠ²Π΅ΡΡΠ²Π° Π·Π° Π°ΠΊΡΡΠ°Π»ΠΈΠ·Π°ΡΠΈΠΈ, Π²ΡΠΏΡΠ΅ΠΊΠΈ ΡΠ΅ Π² Π½Π°ΡΡΡΠΎΠΉΠΊΠΈΡΠ΅ ΠΏΠΎΠΈΡΠΊΠ°Ρ
Π΄Π° Π½Π΅ ΠΏΡΠ°Π²Ρ ΡΠΎΠ²Π°.
mmo.de Π΅ ΡΡΠ»ΡΠ³Π° Π·Π° ΠΈΠ³ΡΠΈ. ΠΠ°ΠΉ-Π²Π΅ΡΠΎΡΡΠ½ΠΎ Π·Π°ΡΠ²ΠΊΠ°ΡΠ° Π΅ ΠΈΠ½ΠΈΡΠΈΠΈΡΠ°Π½Π° ΠΎΡ ΡΠ΅ΠΉΡΠ±ΡΠΊ ΡΠ°Ρ. ΠΠΈΠ΅ Π±Π»ΠΎΠΊΠΈΡΠ°ΠΌΠ΅.
Apple ΡΠ΅ Π°ΠΊΡΠΈΠ²ΠΈΡΠ° Π²ΡΠΈΡΠΊΠΈ ΡΠ²ΠΎΠΈ ΡΡΠ»ΡΠ³ΠΈ. api-glb-fra.smoot.apple.com - ΡΡΠ΄Π΅ΠΉΠΊΠΈ ΠΏΠΎ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ΡΠΎ, Π²ΡΡΠΊΠΎ ΡΡΠ°ΠΊΠ²Π°Π½Π΅ Π²ΡΡΡ Ρ Π±ΡΡΠΎΠ½ ΡΠ΅ ΠΈΠ·ΠΏΡΠ°ΡΠ° ΡΡΠΊ Ρ ΡΠ΅Π» ΠΎΠΏΡΠΈΠΌΠΈΠ·ΠΈΡΠ°Π½Π΅ Π½Π° ΡΡΡΡΠ°ΡΠΊΠΈΡΠ΅. Π‘ΠΈΠ»Π½ΠΎ ΡΡΠΌΠ½ΠΈΡΠ΅Π»Π½ΠΎ, Π½ΠΎ ΡΠ²ΡΡΠ·Π°Π½ΠΎ Ρ ΡΡΠ½ΠΊΡΠΈΠΎΠ½Π°Π»Π½ΠΎΡΡΡΠ°. ΠΡΡΠ°Π²ΡΠΌΠ΅ Π³ΠΎ.
Π‘Π»Π΅Π΄Π²Π° Π΄ΡΠ»ΡΠ³ ΡΠΏΠΈΡΡΠΊ ΠΎΡ Π·Π°ΡΠ²ΠΊΠΈ ΠΊΡΠΌ microsoft.com. ΠΠΈΠ΅ Π±Π»ΠΎΠΊΠΈΡΠ°ΠΌΠ΅ Π²ΡΠΈΡΠΊΠΈ Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈ, Π·Π°ΠΏΠΎΡΠ²Π°ΠΉΠΊΠΈ ΠΎΡ ΡΡΠ΅ΡΠΎ Π½ΠΈΠ²ΠΎ.
ΠΡΠΎΠΉ Π½Π° ΠΏΡΡΠ²ΠΈΡΠ΅ ΠΏΠΎΠ΄Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈ
Π ΡΠ°ΠΊΠ°, ΠΏΡΡΠ²ΠΈΡΠ΅ 10 ΠΌΠΈΠ½ΡΡΠΈ ΠΎΡ Π²ΠΊΠ»ΡΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° Π±Π΅Π·ΠΆΠΈΡΠ½ΠΈΡ ΠΈΠ½ΡΠ΅ΡΠ½Π΅Ρ.
iOS Π°Π½ΠΊΠ΅ΡΠΈΡΠ° Π½Π°ΠΉ-ΠΌΠ½ΠΎΠ³ΠΎ ΠΏΠΎΠ΄Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈ - 32. Π‘Π»Π΅Π΄Π²Π°Ρ Android - 24, ΡΠ»Π΅Π΄ ΡΠΎΠ²Π° Windows - 15 ΠΈ Π½Π°ΠΊΡΠ°Ρ Blackberry - 9.
Π‘Π°ΠΌΠΎ ΡΠ΅ΠΉΡΠ±ΡΠΊ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ΡΠΎ Π°Π½ΠΊΠ΅ΡΠΈΡΠ° 10 Π΄ΠΎΠΌΠ΅ΠΉΠ½Π°, ΡΠΊΠ°ΠΉΠΏ Π°Π½ΠΊΠ΅ΡΠΈ 9 Π΄ΠΎΠΌΠ΅ΠΉΠ½Π°.
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ Π½Π° ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊΡΡ Π·Π° Π°Π½Π°Π»ΠΈΠ·Π° Π±Π΅ΡΠ΅ ΡΠ΅Π³ΠΈΡΡΡΠ°ΡΠΈΠΎΠ½Π½ΠΈΡΡ ΡΠ°ΠΉΠ» Π½Π° Π»ΠΎΠΊΠ°Π»Π½ΠΈΡ ΡΡΡΠ²ΡΡ bind9, ΠΊΠΎΠΉΡΠΎ ΡΡΠ΄ΡΡΠΆΠ° ΡΠ»Π΅Π΄Π½ΠΈΡ ΡΠΎΡΠΌΠ°Ρ:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
Π€Π°ΠΉΠ»ΡΡ Π±Π΅ΡΠ΅ ΠΈΠΌΠΏΠΎΡΡΠΈΡΠ°Π½ Π² Π±Π°Π·Π° Π΄Π°Π½Π½ΠΈ Π½Π° sqlite ΠΈ Π°Π½Π°Π»ΠΈΠ·ΠΈΡΠ°Π½ Ρ ΠΏΠΎΠΌΠΎΡΡΠ° Π½Π° SQL Π·Π°ΡΠ²ΠΊΠΈ.
Π‘ΡΡΠ²ΡΡΡΡ Π΄Π΅ΠΉΡΡΠ²Π° ΠΊΠ°ΡΠΎ ΠΊΠ΅Ρ; Π·Π°ΡΠ²ΠΊΠΈΡΠ΅ ΠΈΠ΄Π²Π°Ρ ΠΎΡ ΡΡΡΠ΅ΡΠ°, ΡΠ°ΠΊΠ° ΡΠ΅ Π²ΠΈΠ½Π°Π³ΠΈ ΠΈΠΌΠ° Π΅Π΄ΠΈΠ½ ΠΊΠ»ΠΈΠ΅Π½Ρ Π·Π° Π·Π°ΡΠ²ΠΊΠΈ. ΠΠΎΡΡΠ°ΡΡΡΠ½Π° Π΅ ΠΎΠΏΡΠΎΡΡΠ΅Π½Π° ΡΡΡΡΠΊΡΡΡΠ° Π½Π° ΡΠ°Π±Π»ΠΈΡΠ°ΡΠ°, Ρ.Π΅. ΠΡΡΠ΅ΡΡΡ ΠΈΠ·ΠΈΡΠΊΠ²Π° Π²ΡΠ΅ΠΌΠ΅ΡΠΎ Π½Π° Π·Π°ΡΠ²ΠΊΠ°ΡΠ°, ΡΠ°ΠΌΠ°ΡΠ° Π·Π°ΡΠ²ΠΊΠ° ΠΈ Π΄ΠΎΠΌΠ΅ΠΉΠ½Π° ΠΎΡ Π²ΡΠΎΡΠΎ Π½ΠΈΠ²ΠΎ Π·Π° Π³ΡΡΠΏΠΈΡΠ°Π½Π΅.
DDL ΡΠ°Π±Π»ΠΈΡΠΈ
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);
ΠΡΠΎΠ΄ΡΠΊΡΠΈΡ
ΠΠΎ ΡΠΎΠ·ΠΈ Π½Π°ΡΠΈΠ½, Π² ΡΠ΅Π·ΡΠ»ΡΠ°Ρ Π½Π° Π°Π½Π°Π»ΠΈΠ·Π° Π½Π° Π΄Π½Π΅Π²Π½ΠΈΠΊΠ° Π½Π° ΡΡΡΠ²ΡΡΠ° Π·Π° ΠΈΠΌΠ΅Π½Π° Π½Π° Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈ, ΠΏΠΎΠ²Π΅ΡΠ΅ ΠΎΡ 50 Π·Π°ΠΏΠΈΡΠ° Π±ΡΡ Π° ΡΠ΅Π½Π·ΡΡΠΈΡΠ°Π½ΠΈ ΠΈ ΠΏΠΎΡΡΠ°Π²Π΅Π½ΠΈ Π² ΡΠΏΠΈΡΡΠΊΠ° Π·Π° Π±Π»ΠΎΠΊΠΈΡΠ°Π½Π΅.
ΠΠ΅ΠΎΠ±Ρ
ΠΎΠ΄ΠΈΠΌΠΎΡΡΡΠ° ΠΎΡ Π½ΡΠΊΠΎΠΈ Π·Π°ΠΏΠΈΡΠ²Π°Π½ΠΈΡ Π΅ Π΄ΠΎΠ±ΡΠ΅ ΠΎΠΏΠΈΡΠ°Π½Π° ΠΎΡ ΠΏΡΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡΠ΅Π»ΠΈΡΠ΅ Π½Π° ΡΠΎΡΡΡΠ΅Ρ ΠΈ Π²Π΄ΡΡ
Π²Π° Π΄ΠΎΠ²Π΅ΡΠΈΠ΅. ΠΠΎΠ»ΡΠΌΠ° ΡΠ°ΡΡ ΠΎΡ Π΄Π΅ΠΉΠ½ΠΎΡΡΡΠ° ΠΎΠ±Π°ΡΠ΅ Π΅ Π½Π΅ΠΎΡΠ½ΠΎΠ²Π°ΡΠ΅Π»Π½Π° ΠΈ ΡΡΠΌΠ½ΠΈΡΠ΅Π»Π½Π°.
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: www.habr.com