Un router di casa (in questu casu FritzBox) pò registrà assai: quantu trafficu passa quandu, quale hè cunnessu à quale velocità, etc. Un servitore di nome di duminiu (DNS) nantu à a reta lucale m'hà aiutatu à sapè ciò chì era oculatu daretu à i destinatari scunnisciuti.
In generale, DNS hà avutu un impattu pusitivu nantu à a reta di casa: hà aghjustatu rapidità, stabilità è gestione.
Quì sottu hè un diagramma chì hà suscitatu dumande è a necessità di capisce ciò chì succede. I risultati filtranu digià e dumande cunnisciute è di travagliu à i servitori di nomi di duminiu.
Perchè 60 duminii oscuri sò indagati ogni ghjornu mentre tutti dorme?
Ogni ghjornu, 440 duminii scunnisciuti sò sondati durante l'ore attivu. Quale sò è chì facenu ?
U numeru mediu di richieste per ghjornu per ora
Query di rapportu SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))A notte, l'accessu wireless hè disattivatu è l'attività di u dispositivu hè prevista, i.e. ùn ci hè micca un sondaghju per i duminii scunnisciuti. Questu significa chì a più grande attività vene da i dispositi cù sistemi operativi cum'è Android, iOS è Blackberry OS.
Elenchemu i duminii chì sò scrutati intensivamente. L'intensità serà determinata da paràmetri cum'è u nùmeru di dumande per ghjornu, u nùmeru di ghjorni d'attività è in quantu ore di u ghjornu sò stati nutati.
Tutti i suspettati previsti eranu nantu à a lista.
Duminii scrutati intensivamente
Query di rapportu SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20Bloquemu isс.blackberry.com è iceberg.blackberry.com, chì u fabricatore ghjustificà per ragioni di sicurezza. Risultatu: quandu pruvate à cunnette à a WLAN, mostra a pagina di login è ùn si cunnetta mai più in ogni locu. Sbloccamu.
detectportal.firefox.com hè u stessu mecanismu, implementatu solu in u navigatore Firefox. Sè avete bisognu di login in a reta WLAN, prima mostrarà a pagina di login. Ùn hè micca sanu chjaru perchè l'indirizzu hè pinged cusì spessu, ma u mecanismu hè chjaramente descrittu da u fabricatore.
skype. L'azzioni di stu prugramma sò simili à un vermu: piatta è ùn si permette micca solu di esse uccisu in a taskbar, genera assai trafficu in a reta, ping 10 duminii ogni 4 minuti. Quandu fate una videochjama, a cunnessione Internet si rompe constantemente, quandu ùn pò esse megliu. Per avà hè necessariu, cusì ferma.
upload.fp.measure.office.com - si riferisce à Office 365, ùn aghju micca pussutu truvà una descrizzione decente.
browser.pipe.aria.microsoft.com - Ùn pudia truvà una descrizzione decente.
Bloquemu i dui.
connect.facebook.net - Applicazione di chat Facebook. Resta.
mediator.mail.ru Un analisi di tutte e dumande per u duminiu mail.ru hà dimustratu a prisenza di un gran numaru di risorse publicitarii è cullizzioni di statistiche, chì provoca sfiducia. U duminiu mail.ru hè mandatu interamente à a lista negra.
google-analytics.com - ùn affetta micca a funziunalità di i dispositi, cusì u bluccamu.
doubleclick.net - conta i clicchi di publicità. Bloquemu.
Parechje dumande vanu à googleapis.com. U bluccatu hà purtatu à a disattivazione alegre di missaghji brevi nantu à a tavuletta, chì mi parenu stupidu. Ma u playstore hà cessatu di travaglià, allora sblocchemu.
cloudflare.com - scrivenu chì amanu a fonte aperta è, in generale, scrivenu assai di elli. L'intensità di l'inchiesta di u duminiu ùn hè micca sanu chjaru, chì hè spessu assai più altu ch'è l'attività attuale in Internet. Lasciamu per avà.
Cusì, l'intensità di e dumande hè spessu ligata à a funziunalità necessaria di i dispositi. Ma quelli chì anu superatu cù l'attività sò ancu scuperti.
U primu
Quandu l'Internet wireless hè attivatu, tutti sò sempre dorme è hè pussibule di vede quale dumande sò mandate prima à a reta. Allora, à 6:50 l'Internet si accende è in u primu periodu di dece minuti di tempu 60 domini sò sondati ogni ghjornu:
Query di rapportu SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCFirefox verifica a cunnessione WLAN per a presenza di una pagina di login.
Citrix ping u so servitore ancu s'è l'applicazione ùn hè micca attivamente in esecuzione.
Symantec verifica i certificati.
Mozilla verifica l'aghjurnamenti, anche se in i paràmetri aghju dumandatu di ùn fà micca.
mmo.de hè un serviziu di ghjocu. Probabilmente a dumanda hè iniziata da u chat di Facebook. Bloquemu.
Apple attivà tutti i so servizii. api-glb-fra.smoot.apple.com - à ghjudicà da a descrizzione, ogni clicu di buttone hè mandatu quì per scopi di ottimisazione di u mutore di ricerca. Moltu suspettu, ma ligatu à a funziunalità. Lasciamu.
A seguita hè una longa lista di dumande à microsoft.com. Bloquemu tutti i duminii partendu da u terzu livellu.
Numaru di i primi subdominii
Allora, i primi 10 minuti di accende l'Internet wireless.
iOS sonda i più subdominii - 32. Seguitu da Android - 24, dopu Windows - 15 è infine Blackberry - 9.
L'applicazione Facebook sola sonda 10 domini, Skype sonda 9 domini.
Corsu d'infurmazione
A fonte per l'analisi era u schedariu di log di u servitore locale bind9, chì cuntene u seguente formatu:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
U schedariu hè statu impurtatu in una basa di dati sqlite è analizatu cù e dumande SQL.
U servitore agisce cum'è un cache; e richieste venenu da u router, cusì ci hè sempre un cliente di dumanda. Una struttura di tavula simplificata hè abbastanza, i.e. U rapportu richiede u tempu di a dumanda, a dumanda stessu, è u duminiu di u sicondu livellu per u gruppu.
tabelle DDL
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);cunchiusioni
Cusì, in u risultatu di l'analisi di u logu di u servitore di u nome di duminiu, più di 50 records sò stati censurati è posti nantu à a lista di blocchi.
A necessità di alcune dumande hè ben descritta da i pruduttori di software è inspira fiducia. Tuttavia, a maiò parte di l'attività hè infundata è discutibile.
Source: www.habr.com