Gall llwybrydd cartref (FritzBox yn yr achos hwn) gofnodi llawer: faint o draffig sy'n mynd pryd, pwy sydd wedi'i gysylltu ar ba gyflymder, ac ati. Fe wnaeth gweinydd enw parth (DNS) ar y rhwydwaith lleol fy helpu i ddarganfod beth oedd wedi'i guddio y tu Γ΄l i'r derbynwyr anhysbys.
Ar y cyfan, mae DNS wedi cael effaith gadarnhaol ar y rhwydwaith cartref: mae wedi ychwanegu cyflymder, sefydlogrwydd a hylaw.
Isod mae diagram a gododd gwestiynau aβr angen i ddeall beth oedd yn digwydd. Mae'r canlyniadau eisoes yn hidlo ceisiadau hysbys a gweithredol i weinyddion enwau parth.
Pam mae 60 parth aneglur yn cael eu holi bob dydd tra bod pawb yn dal i gysgu?
Bob dydd, mae 440 o barthau anhysbys yn cael eu holi yn ystod oriau gweithredol. Pwy ydyn nhw a beth maen nhw'n ei wneud?
Nifer cyfartalog y ceisiadau fesul awr
Ymholiad adroddiad SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))Yn y nos, mae mynediad diwifr yn anabl a disgwylir gweithgaredd dyfeisiau, h.y. nid oes pleidleisio ar gyfer parthau anhysbys. Mae hyn yn golygu bod y gweithgaredd mwyaf yn dod o ddyfeisiau gyda systemau gweithredu fel Android, iOS a Blackberry OS.
Gadewch i ni restru'r parthau a holwyd yn ddwys. Bydd y dwyster yn cael ei bennu gan baramedrau megis nifer y ceisiadau y dydd, nifer y diwrnodau o weithgarwch a sawl awr o'r dydd y sylwyd arnynt.
Roedd yr holl ddrwgdybwyr disgwyliedig ar y rhestr.
Parthau a holwyd yn ddwys
Ymholiad adroddiad SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20Rydym yn blocio isΡ.blackberry.com a iceberg.blackberry.com, y bydd y gwneuthurwr yn ei gyfiawnhau am resymau diogelwch. Canlyniad: wrth geisio cysylltu Γ’'r WLAN, mae'n dangos y dudalen mewngofnodi ac nid yw byth yn cysylltu unrhyw le eto. Gadewch i ni ei ddadflocio.
detectportal.firefox.com yw'r un mecanwaith, a weithredir yn y porwr Firefox yn unig. Os oes angen i chi fewngofnodi i rwydwaith WLAN, bydd yn dangos y dudalen mewngofnodi yn gyntaf. Nid yw'n gwbl glir pam y dylid pingio'r cyfeiriad mor aml, ond mae'r gwneuthurwr yn disgrifio'r mecanwaith yn glir.
skype. Mae gweithredoedd y rhaglen hon yn debyg i fwydyn: mae'n cuddio ac nid yw'n caniatΓ‘u ei hun i gael ei ladd yn y bar tasgau, yn cynhyrchu llawer o draffig ar y rhwydwaith, yn pingio 10 parth bob 4 munud. Wrth wneud galwad fideo, mae'r cysylltiad Rhyngrwyd yn torri i lawr yn gyson, pan na all fod yn well. Am y tro mae'n angenrheidiol, felly mae'n parhau.
upload.fp.measure.office.com - yn cyfeirio at Office 365, ni allwn ddod o hyd i ddisgrifiad gweddus.
browser.pipe.aria.microsoft.com - ni allwn ddod o hyd i ddisgrifiad gweddus.
Rydyn ni'n rhwystro'r ddau.
connect.facebook.net - cymhwysiad sgwrsio Facebook. Gweddillion.
mediator.mail.ru Dangosodd dadansoddiad o'r holl geisiadau am y parth mail.ru bresenoldeb nifer enfawr o adnoddau hysbysebu a chasglwyr ystadegau, sy'n achosi diffyg ymddiriedaeth. Anfonir y parth mail.ru yn gyfan gwbl i'r rhestr ddu.
google-analytics.com - nid yw'n effeithio ar ymarferoldeb dyfeisiau, felly rydym yn ei rwystro.
doubleclick.net - yn cyfrif cliciau hysbysebu. Rydym yn rhwystro.
Mae llawer o geisiadau yn mynd i googleapis.com. Mae'r blocio wedi arwain at gau negeseuon byr yn llawen ar y dabled, sy'n ymddangos yn dwp i mi. Ond stopiodd y storfa chwarae, felly gadewch i ni ei ddadflocio.
cloudflare.com - maent yn ysgrifennu eu bod yn caru ffynhonnell agored ac, yn gyffredinol, yn ysgrifennu llawer amdanynt eu hunain. Nid yw dwyster yr arolwg parth yn gwbl glir, sy'n aml yn llawer uwch na'r gweithgaredd gwirioneddol ar y Rhyngrwyd. Gadewch i ni ei adael am y tro.
Felly, mae dwyster y ceisiadau yn aml yn gysylltiedig ag ymarferoldeb gofynnol y dyfeisiau. Ond darganfuwyd hefyd y rhai oedd yn ei orwneud Γ’ gweithgaredd.
Y cyntaf un
Pan fydd y Rhyngrwyd diwifr yn cael ei droi ymlaen, mae pawb yn dal i gysgu ac mae'n bosibl gweld pa geisiadau sy'n cael eu hanfon i'r rhwydwaith yn gyntaf. Felly, am 6:50 mae'r Rhyngrwyd yn troi ymlaen ac yn ystod y deng munud cyntaf o amser mae 60 o barthau'n cael eu holi'n ddyddiol:
Ymholiad adroddiad SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCMae Firefox yn gwirio'r cysylltiad WLAN am bresenoldeb tudalen mewngofnodi.
Mae Citrix yn pingio ei weinydd er nad yw'r rhaglen yn rhedeg yn weithredol.
Mae Symantec yn gwirio tystysgrifau.
Mae Mozilla yn gwirio am ddiweddariadau, er yn y gosodiadau gofynnais i beidio Γ’ gwneud hyn.
Mae mmo.de yn wasanaeth hapchwarae. Yn fwyaf tebygol, sgwrs facebook sy'n cychwyn y cais. Rydym yn rhwystro.
Bydd Apple yn actifadu ei holl wasanaethau. api-glb-fra.smoot.apple.com - a barnu yn Γ΄l y disgrifiad, mae pob clic botwm yn cael ei anfon yma at ddibenion optimeiddio peiriannau chwilio. Hynod amheus, ond yn ymwneud Γ’ ymarferoldeb. Rydyn ni'n ei adael.
Mae'r canlynol yn rhestr hir o geisiadau i microsoft.com. Rydym yn rhwystro pob parth gan ddechrau o'r drydedd lefel.
Nifer yr is-barthau cyntaf un
Felly, y 10 munud cyntaf o droi ar y Rhyngrwyd diwifr.
iOS polau'r mwyaf o is-barthau - 32. Wedi'i ddilyn gan Android - 24, yna Windows - 15 ac yn olaf Blackberry - 9.
Mae'r cymhwysiad facebook yn unig yn pleidleisio 10 parth, mae skype yn pleidleisio 9 parth.
Ffynhonnell o wybodaeth
Y ffynhonnell ar gyfer y dadansoddiad oedd y ffeil log gweinydd lleol bin9, sy'n cynnwys y fformat canlynol:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
Mewnforiwyd y ffeil i gronfa ddata sqlite a'i dadansoddi gan ddefnyddio ymholiadau SQL.
Mae'r gweinydd yn gweithredu fel storfa; daw ceisiadau gan y llwybrydd, felly mae un cleient cais bob amser. Mae strwythur tabl symlach yn ddigon, h.y. Mae'r adroddiad yn gofyn am amser y cais, y cais ei hun, a'r parth ail lefel ar gyfer grwpio.
Byrddau DDL
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);Allbwn
Felly, o ganlyniad i ddadansoddi log gweinydd enw parth, cafodd mwy na 50 o gofnodion eu sensro a'u gosod ar y rhestr blociau.
Disgrifir yr angen am rai ymholiadau yn dda gan wneuthurwyr meddalwedd ac mae'n ennyn hyder. Fodd bynnag, mae llawer o'r gweithgaredd yn ddi-sail ac yn amheus.
Ffynhonnell: hab.com