ProHoster > وبلاگ > اداره > اینترنت خانگی و آمار سرور نام دامنه چگونه است؟

اینترنت خانگی و آمار سرور نام دامنه چگونه است؟

یک روتر خانگی (در این مورد FritzBox) می تواند موارد زیادی را ضبط کند: چه مقدار ترافیک در چه زمانی انجام می شود، چه کسی با چه سرعتی وصل شده است و غیره. یک سرور نام دامنه (DNS) در شبکه محلی به من کمک کرد تا بفهمم چه چیزی در پشت گیرندگان ناشناس پنهان شده است.

به طور کلی، DNS تأثیر مثبتی بر شبکه خانگی داشته است: سرعت، ثبات و مدیریت را اضافه کرده است.

در زیر نموداری وجود دارد که سؤالات و نیاز به درک آنچه در حال رخ دادن است را ایجاد می کند. نتایج قبلاً درخواست های شناخته شده و فعال را به سرورهای نام دامنه فیلتر می کند.

چرا هر روز 60 دامنه مبهم نظرسنجی می شود در حالی که همه هنوز در خواب هستند؟

هر روز 440 دامنه ناشناس در ساعات فعال نظرسنجی می شود. آنها چه کسانی هستند و چه می کنند؟

میانگین تعداد درخواست ها در روز به ساعت

اینترنت خانگی و آمار سرور نام دامنه چگونه است؟

درخواست گزارش SQL

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Line: DNS Requests per Day for Hours',
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))

در شب، دسترسی بی سیم غیرفعال است و فعالیت دستگاه انتظار می رود، یعنی. هیچ نظرسنجی برای دامنه های ناشناخته وجود ندارد. این به این معنی است که بیشترین فعالیت از دستگاه‌هایی با سیستم‌عامل‌هایی مانند Android، iOS و Blackberry OS انجام می‌شود.

بیایید دامنه هایی را که به طور فشرده مورد نظرسنجی قرار می گیرند فهرست کنیم. شدت با پارامترهایی مانند تعداد درخواست ها در روز، تعداد روزهای فعالیت و در چند ساعت از روز که مورد توجه قرار گرفته اند تعیین می شود.

همه مظنونین مورد انتظار در لیست بودند.

دامنه های مورد نظرسنجی شدید

اینترنت خانگی و آمار سرور نام دامنه چگونه است؟

درخواست گزارش SQL

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT 
  1 as 'Table: Havy DNS Requests',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests per Day',
  DH AS 'Hours per Day',
  DAYS AS 'Active Days'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  COUNT(DISTINCT REQUEST_NK) AS SUBD,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
  ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20

ما isс.blackberry.com و iceberg.blackberry.com را مسدود می کنیم که سازنده آن را به دلایل امنیتی توجیه می کند. نتیجه: هنگام تلاش برای اتصال به WLAN، صفحه ورود به سیستم را نشان می دهد و دیگر هرگز به جایی متصل نمی شود. بیایید آن را رفع انسداد کنیم.

detectportal.firefox.com همان مکانیزم است که فقط در مرورگر فایرفاکس پیاده سازی شده است. اگر نیاز به ورود به شبکه WLAN دارید، ابتدا صفحه ورود به سیستم را نشان می دهد. کاملاً مشخص نیست که چرا آدرس باید اغلب پینگ شود، اما مکانیسم آن به وضوح توسط سازنده توضیح داده شده است.

اسکایپ اقدامات این برنامه شبیه یک کرم است: پنهان می شود و به سادگی اجازه نمی دهد در نوار وظیفه کشته شود، ترافیک زیادی در شبکه ایجاد می کند، هر 10 دقیقه 4 دامنه را پینگ می کند. هنگام برقراری تماس ویدیویی، اتصال اینترنت دائماً خراب می شود، در حالی که بهتر نیست. در حال حاضر لازم است، بنابراین باقی می ماند.

upload.fp.measure.office.com - به Office 365 اشاره دارد، من نتوانستم توضیح مناسبی پیدا کنم.
browser.pipe.aria.microsoft.com - نتوانستم توصیف مناسبی پیدا کنم.
ما هر دو را مسدود می کنیم.

connect.facebook.net - برنامه چت فیس بوک. باقی.

mediator.mail.ru تجزیه و تحلیل تمام درخواست ها برای دامنه mail.ru وجود تعداد زیادی از منابع تبلیغاتی و جمع آوری آمار را نشان داد که باعث بی اعتمادی می شود. دامنه mail.ru به طور کامل به لیست سیاه ارسال می شود.

google-analytics.com - بر عملکرد دستگاه ها تأثیر نمی گذارد، بنابراین ما آن را مسدود می کنیم.
doubleclick.net - کلیک های تبلیغاتی را می شمارد. ما مسدود می کنیم.

بسیاری از درخواست ها به googleapis.com مراجعه می کنند. مسدود شدن منجر به خاموش شدن لذت بخش پیام های کوتاه در رایانه لوحی شده است که به نظر من احمقانه است. اما پلی استور از کار افتاد، پس بیایید آن را رفع انسداد کنیم.

cloudflare.com - آنها می نویسند که متن باز را دوست دارند و به طور کلی درباره خودشان چیزهای زیادی می نویسند. شدت نظرسنجی دامنه کاملاً مشخص نیست، که اغلب بسیار بیشتر از فعالیت واقعی در اینترنت است. فعلا بذاریمش

بنابراین، شدت درخواست ها اغلب به عملکرد مورد نیاز دستگاه ها مربوط می شود. اما کسانی که با فعالیت زیاده روی کردند نیز کشف شدند.

اولین

وقتی اینترنت بی سیم روشن می شود، همه هنوز در خواب هستند و می توان دید ابتدا کدام درخواست ها به شبکه ارسال می شود. بنابراین در ساعت 6:50 اینترنت روشن می شود و در ده دقیقه اول روزانه 60 دامنه نظرسنجی می شود:

اینترنت خانگی و آمار سرور نام دامنه چگونه است؟

درخواست گزارش SQL

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Table: First DNS Requests at 06:00',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests',
  DAYS AS 'Active Days',
  strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
  strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  MIN(EVENT_DT) AS MIN_DT,
  MAX(EVENT_DT) AS MAX_DT,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
  AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
 )
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESC

فایرفاکس اتصال WLAN را برای وجود صفحه ورود بررسی می کند.
Citrix سرور خود را پینگ می کند حتی اگر برنامه به طور فعال اجرا نشود.
سیمانتک گواهی ها را تأیید می کند.
موزیلا به‌روزرسانی‌ها را بررسی می‌کند، اگرچه در تنظیمات درخواست کردم این کار را انجام ندهم.

mmo.de یک سرویس بازی است. به احتمال زیاد درخواست توسط چت فیس بوک آغاز شده است. ما مسدود می کنیم.

اپل تمام خدمات خود را فعال خواهد کرد. api-glb-fra.smoot.apple.com - با قضاوت در توضیحات، هر کلیک روی دکمه برای اهداف بهینه سازی موتور جستجو به اینجا ارسال می شود. بسیار مشکوک، اما مربوط به عملکرد. ما آن را ترک می کنیم.

در زیر لیست طولانی از درخواست ها به microsoft.com آمده است. ما همه دامنه ها را از سطح سوم مسدود می کنیم.

تعداد اولین زیر دامنه ها
اینترنت خانگی و آمار سرور نام دامنه چگونه است؟

بنابراین، 10 دقیقه اول روشن کردن اینترنت بی سیم.
در نظرسنجی iOS بیشترین زیردامنه ها - 32. به دنبال آن اندروید - 24، سپس ویندوز - 15 و در آخر Blackberry - 9.
برنامه فیس بوک به تنهایی از 10 دامنه نظرسنجی می کند، نظرسنجی اسکایپ از 9 دامنه.

منبع اطلاعات

منبع تجزیه و تحلیل فایل لاگ سرور محلی bind9 بود که حاوی فرمت زیر است:

01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)

فایل به پایگاه داده sqlite وارد شد و با استفاده از پرس و جوهای SQL تجزیه و تحلیل شد.
سرور به عنوان یک کش عمل می کند؛ درخواست ها از روتر می آیند، بنابراین همیشه یک مشتری درخواست وجود دارد. یک ساختار جدول ساده کافی است، به عنوان مثال. گزارش به زمان درخواست، خود درخواست و دامنه سطح دوم برای گروه بندی نیاز دارد.

جداول DDL

CREATE TABLE STG_BIND9_LOG (
  LINE_NK       INTEGER NOT NULL DEFAULT 1,
  DATE_NK       TEXT NOT NULL DEFAULT 'n.a.',
  TIME_NK       TEXT NOT NULL DEFAULT 'n.a.',
  CLI           TEXT, -- client
  IP            TEXT,
  REQUEST_NK    TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
  DOMAIN        TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
  QUERY         TEXT,
  UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);

نتیجه

بنابراین، در نتیجه تجزیه و تحلیل لاگ سرور نام دامنه، بیش از 50 رکورد سانسور و در لیست بلوک قرار گرفت.

ضرورت برخی پرس و جوها به خوبی توسط سازندگان نرم افزار توضیح داده شده است و باعث ایجاد اطمینان می شود. با این حال، بسیاری از فعالیت ها بی اساس و مشکوک است.

منبع: www.habr.com

اضافه کردن نظر