рдПрдХ рд╣реЛрдо рд░рд╛рдЙрдЯрд░ (рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ рдлреНрд░рд┐рдЯреНрдЬрд╝рдмреЙрдХреНрд╕) рдмрд╣реБрдд рдХреБрдЫ рд░рд┐рдХреЙрд░реНрдб рдХрд░ рд╕рдХрддрд╛ рд╣реИ: рдХрдм рдХрд┐рддрдирд╛ рдЯреНрд░реИрдлрд╝рд┐рдХ рдЬрд╛ рд░рд╣рд╛ рд╣реИ, рдХреМрди рдХрд┐рд╕ рдЧрддрд┐ рд╕реЗ рдЬреБрдбрд╝рд╛ рд╣реИ, рдЖрджрд┐ред рд╕реНрдерд╛рдиреАрдп рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдПрдХ рдбреЛрдореЗрди рдирд╛рдо рд╕рд░реНрд╡рд░ (рдбреАрдПрдирдПрд╕) рдиреЗ рдореБрдЭреЗ рдпрд╣ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдореЗрдВ рдорджрдж рдХреА рдХрд┐ рдЕрдЬреНрдЮрд╛рдд рдкреНрд░рд╛рдкреНрддрдХрд░реНрддрд╛рдУрдВ рдХреЗ рдкреАрдЫреЗ рдХреНрдпрд╛ рдЫрд┐рдкрд╛ рдерд╛ред
рдХреБрд▓ рдорд┐рд▓рд╛рдХрд░, DNS рдХрд╛ рдШрд░реЗрд▓реВ рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рд╕рдХрд╛рд░рд╛рддреНрдордХ рдкреНрд░рднрд╛рд╡ рдкрдбрд╝рд╛ рд╣реИ: рдЗрд╕рдиреЗ рдЧрддрд┐, рд╕реНрдерд┐рд░рддрд╛ рдФрд░ рдкреНрд░рдмрдВрдзрдиреАрдпрддрд╛ рдХреЛ рдЬреЛрдбрд╝рд╛ рд╣реИред
рдиреАрдЪреЗ рдПрдХ рдЖрд░реЗрдЦ рд╣реИ рдЬреЛ рдкреНрд░рд╢реНрди рдЙрдард╛рддрд╛ рд╣реИ рдФрд░ рдпрд╣ рд╕рдордЭрдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ рдХрд┐ рдХреНрдпрд╛ рд╣реЛ рд░рд╣рд╛ рдерд╛ред рдкрд░рд┐рдгрд╛рдо рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдбреЛрдореЗрди рдирд╛рдо рд╕рд░реНрд╡рд░ рдХреЗ рд▓рд┐рдП рдЬреНрдЮрд╛рдд рдФрд░ рдХрд╛рд░реНрдпрд╢реАрд▓ рдЕрдиреБрд░реЛрдзреЛрдВ рдХреЛ рдлрд╝рд┐рд▓реНрдЯрд░ рдХрд░ рджреЗрддреЗ рд╣реИрдВред
рд╣рд░ рджрд┐рди 60 рдЕрд╕реНрдкрд╖реНрдЯ рдбреЛрдореЗрди рдХрд╛ рд╕рд░реНрд╡реЗрдХреНрд╖рдг рдХреНрдпреЛрдВ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдЬрдмрдХрд┐ рд╣рд░ рдХреЛрдИ рдЕрднреА рднреА рд╕реЛ рд░рд╣рд╛ рд╣реИ?
рд╣рд░ рджрд┐рди, рд╕рдХреНрд░рд┐рдп рдШрдВрдЯреЛрдВ рдХреЗ рджреМрд░рд╛рди 440 рдЕрдЬреНрдЮрд╛рдд рдбреЛрдореЗрди рдкрд░ рдорддрджрд╛рди рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рд╡реЗ рдХреМрди рд╣реИрдВ рдФрд░ рдХреНрдпрд╛ рдХрд░рддреЗ рд╣реИрдВ?
рдкреНрд░рддрд┐ рджрд┐рди рдШрдВрдЯреЗ рдХреЗ рд╣рд┐рд╕рд╛рдм рд╕реЗ рдЕрдиреБрд░реЛрдзреЛрдВ рдХреА рдФрд╕рдд рд╕рдВрдЦреНрдпрд╛
SQL рд░рд┐рдкреЛрд░реНрдЯ рдХреНрд╡реЗрд░реА
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))рд░рд╛рдд рдореЗрдВ, рд╡рд╛рдпрд░рд▓реЗрд╕ рдПрдХреНрд╕реЗрд╕ рдЕрдХреНрд╖рдо рдХрд░ рджрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рдбрд┐рд╡рд╛рдЗрд╕ рдЧрддрд┐рд╡рд┐рдзрд┐ рдЕрдкреЗрдХреНрд╖рд┐рдд рд╣реЛрддреА рд╣реИ, рдЕрд░реНрдерд╛рддред рдЕрдЬреНрдЮрд╛рдд рдбреЛрдореЗрди рдХреЗ рд▓рд┐рдП рдХреЛрдИ рдорддрджрд╛рди рдирд╣реАрдВ рд╣реИред рдЗрд╕рдХрд╛ рдорддрд▓рдм рдпрд╣ рд╣реИ рдХрд┐ рд╕рдмрд╕реЗ рдмрдбрд╝реА рдЧрддрд┐рд╡рд┐рдзрд┐ рдПрдВрдбреНрд░реЙрдЗрдб, рдЖрдИрдУрдПрд╕ рдФрд░ рдмреНрд▓реИрдХрдмреЗрд░реА рдУрдПрд╕ рдЬреИрд╕реЗ рдСрдкрд░реЗрдЯрд┐рдВрдЧ рд╕рд┐рд╕реНрдЯрдо рд╡рд╛рд▓реЗ рдЙрдкрдХрд░рдгреЛрдВ рд╕реЗ рдЖрддреА рд╣реИред
рдЖрдЗрдП рдЙрди рдбреЛрдореЗрди рдХреЛ рд╕реВрдЪреАрдмрджреНрдз рдХрд░реЗрдВ рдЬрд┐рди рдкрд░ рдЧрд╣рдирддрд╛ рд╕реЗ рд╕рд░реНрд╡реЗрдХреНрд╖рдг рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рддреАрд╡реНрд░рддрд╛ рдкреНрд░рддрд┐ рджрд┐рди рдЕрдиреБрд░реЛрдзреЛрдВ рдХреА рд╕рдВрдЦреНрдпрд╛, рдЧрддрд┐рд╡рд┐рдзрд┐ рдХреЗ рджрд┐рдиреЛрдВ рдХреА рд╕рдВрдЦреНрдпрд╛ рдФрд░ рджрд┐рди рдХреЗ рдХрд┐рддрдиреЗ рдШрдВрдЯреЛрдВ рдореЗрдВ рдЙрди рдкрд░ рдзреНрдпрд╛рди рджрд┐рдпрд╛ рдЧрдпрд╛ рдЬреИрд╕реЗ рдорд╛рдкрджрдВрдбреЛрдВ рджреНрд╡рд╛рд░рд╛ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХреА рдЬрд╛рдПрдЧреАред
рд╕рднреА рдЕрдкреЗрдХреНрд╖рд┐рдд рд╕рдВрджрд┐рдЧреНрдз рд╕реВрдЪреА рдореЗрдВ рдереЗред
рдЧрд╣рдирддрд╛ рд╕реЗ рдорддрджрд╛рди рдХрд┐рдП рдЧрдП рдбреЛрдореЗрди
SQL рд░рд┐рдкреЛрд░реНрдЯ рдХреНрд╡реЗрд░реА
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20рд╣рдо is╤Б.blackberry.com рдФрд░iceberg.blackberry.com рдХреЛ рдмреНрд▓реЙрдХ рдХрд░рддреЗ рд╣реИрдВ, рдЬрд┐рд╕реЗ рдирд┐рд░реНрдорд╛рддрд╛ рд╕реБрд░рдХреНрд╖рд╛ рдХрд╛рд░рдгреЛрдВ рд╕реЗ рдЙрдЪрд┐рдд рдард╣рд░рд╛рдПрдЧрд╛ред рдкрд░рд┐рдгрд╛рдо: WLAN рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░рддреЗ рд╕рдордп, рдпрд╣ рд▓реЙрдЧрд┐рди рдкреЗрдЬ рджрд┐рдЦрд╛рддрд╛ рд╣реИ рдФрд░ рдлрд┐рд░ рдХрднреА рдХрд╣реАрдВ рдХрдиреЗрдХреНрдЯ рдирд╣реАрдВ рд╣реЛрддрд╛ рд╣реИред рдЖрдЗрдП рдЗрд╕реЗ рдЕрдирдмреНрд▓реЙрдХ рдХрд░реЗрдВ.
рдбрд┐рдЯреЗрдХреНрдЯрдкреЛрд░реНрдЯрд▓.рдлрд╝рд╛рдпрд░рдлрд╝реЙрдХреНрд╕.рдХреЙрдо рд╡рд╣реА рддрдВрддреНрд░ рд╣реИ, рдЬреЛ рдХреЗрд╡рд▓ рдлрд╝рд╛рдпрд░рдлрд╝реЙрдХреНрд╕ рдмреНрд░рд╛рдЙрдЬрд╝рд░ рдореЗрдВ рд▓рд╛рдЧреВ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рдпрджрд┐ рдЖрдкрдХреЛ WLAN рдиреЗрдЯрд╡рд░реНрдХ рдореЗрдВ рд▓реЙрдЧ рдЗрди рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рддреЛ рдпрд╣ рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ рд▓реЙрдЧрд┐рди рдкреЗрдЬ рджрд┐рдЦрд╛рдПрдЧрд╛ред рдпрд╣ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рд╕реНрдкрд╖реНрдЯ рдирд╣реАрдВ рд╣реИ рдХрд┐ рдкрддреЗ рдХреЛ рдЗрддрдиреА рдмрд╛рд░ рдкрд┐рдВрдЧ рдХреНрдпреЛрдВ рдХрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдП, рд▓реЗрдХрд┐рди рдирд┐рд░реНрдорд╛рддрд╛ рджреНрд╡рд╛рд░рд╛ рддрдВрддреНрд░ рдХрд╛ рд╕реНрдкрд╖реНрдЯ рд░реВрдк рд╕реЗ рд╡рд░реНрдгрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред
рд╕реНрдХрд╛рдЗрдк. рдЗрд╕ рдкреНрд░реЛрдЧреНрд░рд╛рдо рдХреА рдХреНрд░рд┐рдпрд╛рдПрдВ рдПрдХ рд╡рд░реНрдо рдХреЗ рд╕рдорд╛рди рд╣реИрдВ: рдпрд╣ рдЫрд┐рдк рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рдЯрд╛рд╕реНрдХрдмрд╛рд░ рдореЗрдВ рдЦреБрдж рдХреЛ рдЦрд╝рддреНрдо рдирд╣реАрдВ рд╣реЛрдиреЗ рджреЗрддрд╛, рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдмрд╣реБрдд рдЕрдзрд┐рдХ рдЯреНрд░реИрдлрд╝рд┐рдХ рдЙрддреНрдкрдиреНрди рдХрд░рддрд╛ рд╣реИ, рд╣рд░ 10 рдорд┐рдирдЯ рдореЗрдВ 4 рдбреЛрдореЗрди рдкрд┐рдВрдЧ рдХрд░рддрд╛ рд╣реИред рд╡реАрдбрд┐рдпреЛ рдХреЙрд▓ рдХрд░рддреЗ рд╕рдордп рдЗрдВрдЯрд░рдиреЗрдЯ рдХрдиреЗрдХреНрд╢рди рд▓рдЧрд╛рддрд╛рд░ рдЦрд░рд╛рдм рд╣реЛ рдЬрд╛рддрд╛ рд╣реИ, рдЗрд╕рд╕реЗ рдмреЗрд╣рддрд░ рдХреБрдЫ рдирд╣реАрдВ рд╣реЛ рд╕рдХрддрд╛ред рдлрд┐рд▓рд╣рд╛рд▓ рдпреЗ рдЬрд░реВрд░реА рд╣реИ рддреЛ рдмрдирд╛ рд╣реБрдЖ рд╣реИ.
upload.fp.measure.office.com - Office 365 рдХреЛ рд╕рдВрджрд░реНрднрд┐рдд рдХрд░рддрд╛ рд╣реИ, рдореБрдЭреЗ рдХреЛрдИ рдЕрдЪреНрдЫрд╛ рд╡рд┐рд╡рд░рдг рдирд╣реАрдВ рдорд┐рд▓ рд╕рдХрд╛ред
рдмреНрд░рд╛рдЙрдЬрд╝рд░.рдкрд╛рдЗрдк.рдПрд░рд┐рдпрд╛.рдорд╛рдЗрдХреНрд░реЛрд╕реЙрдлреНрдЯ.рдХреЙрдо - рдореБрдЭреЗ рдХреЛрдИ рдЕрдЪреНрдЫрд╛ рд╡рд┐рд╡рд░рдг рдирд╣реАрдВ рдорд┐рд▓ рд╕рдХрд╛ред
рд╣рдо рджреЛрдиреЛрдВ рдХреЛ рдмреНрд▓реЙрдХ рдХрд░рддреЗ рд╣реИрдВ.
рдХрдиреЗрдХреНрдЯ.рдлреЗрд╕рдмреБрдХ.рдиреЗрдЯ - рдлреЗрд╕рдмреБрдХ рдЪреИрдЯ рдПрдкреНрд▓рд┐рдХреЗрд╢рдиред рдЕрд╡рд╢реЗрд╖ред
mediator.mail.ru mail.ru рдбреЛрдореЗрди рдХреЗ рд▓рд┐рдП рд╕рднреА рдЕрдиреБрд░реЛрдзреЛрдВ рдХреЗ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рд╕реЗ рдкрддрд╛ рдЪрд▓рд╛ рдХрд┐ рдмрдбрд╝реА рд╕рдВрдЦреНрдпрд╛ рдореЗрдВ рд╡рд┐рдЬреНрдЮрд╛рдкрди рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдФрд░ рд╕рд╛рдВрдЦреНрдпрд┐рдХреА рд╕рдВрдЧреНрд░рд╛рд╣рдХреЛрдВ рдХреА рдЙрдкрд╕реНрдерд┐рддрд┐ рдЕрд╡рд┐рд╢реНрд╡рд╛рд╕ рдХрд╛ рдХрд╛рд░рдг рдмрдирддреА рд╣реИред Mail.ru рдбреЛрдореЗрди рдХреЛ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдмреНрд▓реИрдХрд▓рд┐рд╕реНрдЯ рдореЗрдВ рднреЗрдЬ рджрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред
google-analytics.com - рдЙрдкрдХрд░рдгреЛрдВ рдХреА рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рдХреЛ рдкреНрд░рднрд╛рд╡рд┐рдд рдирд╣реАрдВ рдХрд░рддрд╛ рд╣реИ, рдЗрд╕рд▓рд┐рдП рд╣рдо рдЗрд╕реЗ рдмреНрд▓реЙрдХ рдХрд░рддреЗ рд╣реИрдВред
Doubleclick.net - рд╡рд┐рдЬреНрдЮрд╛рдкрди рдХреНрд▓рд┐рдХреЛрдВ рдХреА рдЧрдгрдирд╛ рдХрд░рддрд╛ рд╣реИред рд╣рдо рд░реЛрдХрддреЗ рд╣реИрдВ.
рдХрдИ рдЕрдиреБрд░реЛрдз googleapis.com рдкрд░ рдЬрд╛рддреЗ рд╣реИрдВред рдЕрд╡рд░реЛрдзрди рдХреЗ рдХрд╛рд░рдг рдЯреЗрдмрд▓реЗрдЯ рдкрд░ рдЫреЛрдЯреЗ рд╕рдВрджреЗрд╢ рдЦреБрд╢реА-рдЦреБрд╢реА рдмрдВрдж рд╣реЛ рдЧрдП, рдЬреЛ рдореБрдЭреЗ рдореВрд░реНрдЦрддрд╛рдкреВрд░реНрдг рд▓рдЧрддреЗ рд╣реИрдВред рд▓реЗрдХрд┐рди рдкреНрд▓реЗрд╕реНрдЯреЛрд░ рдиреЗ рдХрд╛рдо рдХрд░рдирд╛ рдмрдВрдж рдХрд░ рджрд┐рдпрд╛ рд╣реИ, рддреЛ рдЪрд▓рд┐рдП рдЗрд╕реЗ рдЕрдирдмреНрд▓реЙрдХ рдХрд░рддреЗ рд╣реИрдВред
Cloudflare.com - рд╡реЗ рд▓рд┐рдЦрддреЗ рд╣реИрдВ рдХрд┐ рдЙрдиреНрд╣реЗрдВ рдУрдкрди рд╕реЛрд░реНрд╕ рдкрд╕рдВрдж рд╣реИ рдФрд░ рд╕рд╛рдорд╛рдиреНрдп рддреМрд░ рдкрд░, рд╡реЗ рдЕрдкрдиреЗ рдмрд╛рд░реЗ рдореЗрдВ рдмрд╣реБрдд рдХреБрдЫ рд▓рд┐рдЦрддреЗ рд╣реИрдВред рдбреЛрдореЗрди рд╕рд░реНрд╡реЗрдХреНрд╖рдг рдХреА рддреАрд╡реНрд░рддрд╛ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рд╕реНрдкрд╖реНрдЯ рдирд╣реАрдВ рд╣реИ, рдЬреЛ рдЕрдХреНрд╕рд░ рдЗрдВрдЯрд░рдиреЗрдЯ рдкрд░ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рдЧрддрд┐рд╡рд┐рдзрд┐ рд╕реЗ рдХрд╣реАрдВ рдЕрдзрд┐рдХ рд╣реЛрддреА рд╣реИред рдЪрд▓рд┐рдП рдЗрд╕реЗ рдЕрднреА рдХреЗ рд▓рд┐рдП рдЫреЛрдбрд╝ рджреЗрддреЗ рд╣реИрдВред
рдЗрд╕ рдкреНрд░рдХрд╛рд░, рдЕрдиреБрд░реЛрдзреЛрдВ рдХреА рддреАрд╡реНрд░рддрд╛ рдЕрдХреНрд╕рд░ рдЙрдкрдХрд░рдгреЛрдВ рдХреА рдЖрд╡рд╢реНрдпрдХ рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рд╣реЛрддреА рд╣реИред рд▓реЗрдХрд┐рди рдЬрд┐рди рд▓реЛрдЧреЛрдВ рдиреЗ рдЕрддрд┐ рд╕рдХреНрд░рд┐рдпрддрд╛ рджрд┐рдЦрд╛рдпреА, рдЙрдиреНрд╣реЗрдВ рднреА рдЦреЛрдЬ рд▓рд┐рдпрд╛ рдЧрдпрд╛ред
рдмрд╣реБрдд рдкрд╣рд▓реЗ
рдЬрдм рд╡рд╛рдпрд░рд▓реЗрд╕ рдЗрдВрдЯрд░рдиреЗрдЯ рдЪрд╛рд▓реВ рд╣реЛрддрд╛ рд╣реИ, рддрдм рднреА рд╣рд░ рдХреЛрдИ рд╕реЛ рд░рд╣рд╛ рд╣реЛрддрд╛ рд╣реИ рдФрд░ рдпрд╣ рджреЗрдЦрдирд╛ рд╕рдВрднрд╡ рд╣реИ рдХрд┐ рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдкрд╣рд▓реЗ рдХреМрди рд╕реЗ рдЕрдиреБрд░реЛрдз рднреЗрдЬреЗ рдЧрдП рд╣реИрдВред рддреЛ, 6:50 рдкрд░ рдЗрдВрдЯрд░рдиреЗрдЯ рдЪрд╛рд▓реВ рд╣реЛ рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рдкрд╣рд▓реЗ рджрд╕ рдорд┐рдирдЯ рдХреА рдЕрд╡рдзрд┐ рдореЗрдВ рдкреНрд░рддрд┐рджрд┐рди 60 рдбреЛрдореЗрди рдкрд░ рдорддрджрд╛рди рд╣реЛрддрд╛ рд╣реИ:
SQL рд░рд┐рдкреЛрд░реНрдЯ рдХреНрд╡реЗрд░реА
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCрдлрд╝рд╛рдпрд░рдлрд╝реЙрдХреНрд╕ рд▓реЙрдЧрд┐рди рдкреЗрдЬ рдХреА рдЙрдкрд╕реНрдерд┐рддрд┐ рдХреЗ рд▓рд┐рдП WLAN рдХрдиреЗрдХреНрд╢рди рдХреА рдЬрд╛рдБрдЪ рдХрд░рддрд╛ рд╣реИред
рдПрдкреНрд▓рд┐рдХреЗрд╢рди рд╕рдХреНрд░рд┐рдп рд░реВрдк рд╕реЗ рдирд╣реАрдВ рдЪрд▓рдиреЗ рдХреЗ рдмрд╛рд╡рдЬреВрдж Citrix рдЕрдкрдиреЗ рд╕рд░реНрд╡рд░ рдХреЛ рдкрд┐рдВрдЧ рдХрд░ рд░рд╣рд╛ рд╣реИред
рд╕рд┐рдореЗрдВрдЯреЗрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░реЛрдВ рдХрд╛ рд╕рддреНрдпрд╛рдкрди рдХрд░рддрд╛ рд╣реИ.
рдореЛрдЬрд╝рд┐рд▓рд╛ рдЕрдкрдбреЗрдЯ рдХреА рдЬрд╛рдБрдЪ рдХрд░рддрд╛ рд╣реИ, рд╣рд╛рд▓рд╛рдБрдХрд┐ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдореЗрдВ рдореИрдВрдиреЗ рдРрд╕рд╛ рди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд╣рд╛ рдерд╛ред
mmo.de рдПрдХ рдЧреЗрдорд┐рдВрдЧ рд╕реЗрд╡рд╛ рд╣реИ. рд╕рдмрд╕реЗ рдЕрдзрд┐рдХ рд╕рдВрднрд╛рд╡рдирд╛ рдпрд╣ рд╣реИ рдХрд┐ рдЕрдиреБрд░реЛрдз рдлреЗрд╕рдмреБрдХ рдЪреИрдЯ рджреНрд╡рд╛рд░рд╛ рд╢реБрд░реВ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рд╣рдо рд░реЛрдХрддреЗ рд╣реИрдВ.
Apple рдЕрдкрдиреА рд╕рднреА рд╕реЗрд╡рд╛рдПрдБ рд╕рдХреНрд░рд┐рдп рдХрд░ рджреЗрдЧрд╛ред api-glb-fra.smoot.apple.com - рд╡рд┐рд╡рд░рдг рдХреЗ рдЖрдзрд╛рд░ рдкрд░, рдкреНрд░рддреНрдпреЗрдХ рдмрдЯрди рдХреНрд▓рд┐рдХ рдЦреЛрдЬ рдЗрдВрдЬрди рдЕрдиреБрдХреВрд▓рди рдЙрджреНрджреЗрд╢реНрдпреЛрдВ рдХреЗ рд▓рд┐рдП рдпрд╣рд╛рдВ рднреЗрдЬрд╛ рдЬрд╛рддрд╛ рд╣реИред рдЕрддреНрдпрдзрд┐рдХ рд╕рдВрджрд┐рдЧреНрдз, рд▓реЗрдХрд┐рди рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рддред рд╣рдо рдЗрд╕реЗ рдЫреЛрдбрд╝ рджреЗрддреЗ рд╣реИрдВ.
рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд Microsoft.com рдХреЗ рдЕрдиреБрд░реЛрдзреЛрдВ рдХреА рдПрдХ рд▓рдВрдмреА рд╕реВрдЪреА рд╣реИред рд╣рдо рддреАрд╕рд░реЗ рд╕реНрддрд░ рд╕реЗ рд╢реБрд░реВ рдХрд░рдХреЗ рд╕рднреА рдбреЛрдореЗрди рдХреЛ рдмреНрд▓реЙрдХ рдХрд░ рджреЗрддреЗ рд╣реИрдВред
рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ рдЙрдкрдбреЛрдореЗрди рдХреА рд╕рдВрдЦреНрдпрд╛
рддреЛ, рд╡рд╛рдпрд░рд▓реЗрд╕ рдЗрдВрдЯрд░рдиреЗрдЯ рдЪрд╛рд▓реВ рдХрд░рдиреЗ рдХреЗ рдкрд╣рд▓реЗ 10 рдорд┐рдирдЯред
iOS рд╕рдмрд╕реЗ рдЕрдзрд┐рдХ рдЙрдкрдбреЛрдореЗрди рдХрд╛ рд╕рд░реНрд╡реЗрдХреНрд╖рдг рдХрд░рддрд╛ рд╣реИ - 32. рдЗрд╕рдХреЗ рдмрд╛рдж Android - 24, рдлрд┐рд░ Windows - 15 рдФрд░ рдЕрдВрдд рдореЗрдВ рдмреНрд▓реИрдХрдмреЗрд░реА - 9 рд╣реИред
рдлреЗрд╕рдмреБрдХ рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдЕрдХреЗрд▓реЗ 10 рдбреЛрдореЗрди рдХрд╛ рд╕рд░реНрд╡реЗрдХреНрд╖рдг рдХрд░рддрд╛ рд╣реИ, рд╕реНрдХрд╛рдЗрдк 9 рдбреЛрдореЗрди рдХрд╛ рд╕рд░реНрд╡реЗрдХреНрд╖рдг рдХрд░рддрд╛ рд╣реИред
рдЬрд╛рдирдХрд╛рд░реА рдХрд╛ рд╕реНрд░реЛрдд
рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд╛ рд╕реНрд░реЛрдд рдмрд╛рдЗрдВрдб9 рд╕реНрдерд╛рдиреАрдп рд╕рд░реНрд╡рд░ рд▓реЙрдЧ рдлрд╝рд╛рдЗрд▓ рдереА, рдЬрд┐рд╕рдореЗрдВ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдкреНрд░рд╛рд░реВрдк рд╣реИ:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
рдлрд╝рд╛рдЗрд▓ рдХреЛ рдПрдХ рдПрд╕рдХреНрд▓рд╛рдЗрдЯ рдбреЗрдЯрд╛рдмреЗрд╕ рдореЗрдВ рдЖрдпрд╛рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ рдФрд░ рдПрд╕рдХреНрдпреВрдПрд▓ рдХреНрд╡реЗрд░реАрдЬрд╝ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред
рд╕рд░реНрд╡рд░ рдХреИрд╢ рдХреЗ рд░реВрдк рдореЗрдВ рдХрд╛рд░реНрдп рдХрд░рддрд╛ рд╣реИ; рдЕрдиреБрд░реЛрдз рд░рд╛рдЙрдЯрд░ рд╕реЗ рдЖрддреЗ рд╣реИрдВ, рдЗрд╕рд▓рд┐рдП рд╣рдореЗрд╢рд╛ рдПрдХ рдЕрдиреБрд░реЛрдз рдХреНрд▓рд╛рдЗрдВрдЯ рд╣реЛрддрд╛ рд╣реИред рдПрдХ рд╕рд░рд▓реАрдХреГрдд рддрд╛рд▓рд┐рдХрд╛ рд╕рдВрд░рдЪрдирд╛ рдкрд░реНрдпрд╛рдкреНрдд рд╣реИ, рдЕрд░реНрдерд╛рдд рд░рд┐рдкреЛрд░реНрдЯ рдХреЗ рд▓рд┐рдП рдЕрдиреБрд░реЛрдз рдХрд╛ рд╕рдордп, рд╕реНрд╡рдпрдВ рдЕрдиреБрд░реЛрдз рдФрд░ рд╕рдореВрд╣реАрдХрд░рдг рдХреЗ рд▓рд┐рдП рджреВрд╕рд░реЗ рд╕реНрддрд░ рдХреЗ рдбреЛрдореЗрди рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИред
рдбреАрдбреАрдПрд▓ рдЯреЗрдмрд▓
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);рдЙрддреНрдкрд╛рджрди
рдЗрд╕ рдкреНрд░рдХрд╛рд░, рдбреЛрдореЗрди рдирд╛рдо рд╕рд░реНрд╡рд░ рд▓реЙрдЧ рдХреЗ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХреЗ рдкрд░рд┐рдгрд╛рдорд╕реНрд╡рд░реВрдк, 50 рд╕реЗ рдЕрдзрд┐рдХ рд░рд┐рдХреЙрд░реНрдб рд╕реЗрдВрд╕рд░ рдХрд░ рджрд┐рдП рдЧрдП рдФрд░ рдмреНрд▓реЙрдХ рд╕реВрдЪреА рдореЗрдВ рдбрд╛рд▓ рджрд┐рдП рдЧрдПред
рдХреБрдЫ рдкреНрд░рд╢реНрдиреЛрдВ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рдирд┐рд░реНрдорд╛рддрд╛рдУрдВ рджреНрд╡рд╛рд░рд╛ рдЕрдЪреНрдЫреА рддрд░рд╣ рд╕реЗ рд╡рд░реНрдгрд┐рдд рд╣реИ рдФрд░ рдЖрддреНрдорд╡рд┐рд╢реНрд╡рд╛рд╕ рдХреЛ рдкреНрд░реЗрд░рд┐рдд рдХрд░рддреА рд╣реИред рд╣рд╛рд▓рд╛рдБрдХрд┐, рдЕрдзрд┐рдХрд╛рдВрд╢ рдЧрддрд┐рд╡рд┐рдзрд┐рдпрд╛рдБ рдирд┐рд░рд╛рдзрд╛рд░ рдФрд░ рд╕рдВрджрд┐рдЧреНрдз рд╣реИрдВред
рд╕реНрд░реЛрдд: www.habr.com