Տնային երթուղիչը (այս դեպքում՝ FritzBox-ը) կարող է շատ բան արձանագրել՝ որքան երթևեկություն է գնում, ով ինչ արագությամբ է միացված և այլն։ Դոմենի անվան սերվերը (DNS) տեղական ցանցում օգնեց ինձ պարզել, թե ինչ է թաքնված անհայտ հասցեատերերի հետևում:
Ընդհանուր առմամբ, DNS-ը դրական ազդեցություն է ունեցել տնային ցանցի վրա՝ ավելացրել է արագություն, կայունություն և կառավարելիություն:
Ստորև ներկայացված է դիագրամ, որը հարցեր է առաջացրել և հասկանալու անհրաժեշտություն, թե ինչ է տեղի ունենում: Արդյունքներն արդեն զտում են հայտնի և աշխատանքային հարցումները դոմեյն անունների սերվերներին:
Ինչու՞ են ամեն օր 60 անհասկանալի տիրույթների հարցումներ, երբ բոլորը դեռ քնած են:
Ամեն օր ակտիվ ժամերին 440 անհայտ դոմենների հարցում է անցկացվում։ Ովքե՞ր են նրանք և ինչով են զբաղվում:
Միջին թվով հարցումներ օրական ժամում
SQL հաշվետվության հարցում
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))Գիշերը անլար հասանելիությունն անջատված է և սպասվում է սարքի ակտիվություն, այսինքն. Անհայտ տիրույթների հարցում հարցում չկա: Սա նշանակում է, որ ամենամեծ ակտիվությունը գալիս է օպերացիոն համակարգեր ունեցող սարքերից, ինչպիսիք են Android, iOS և Blackberry OS:
Թվարկենք ինտենսիվ հարցումների տիրույթները։ Ինտենսիվությունը որոշվելու է այնպիսի պարամետրերով, ինչպիսիք են օրական հարցումների քանակը, գործունեության օրերի քանակը և օրվա քանի ժամում դրանք նկատվել:
Բոլոր սպասվող կասկածյալները եղել են ցուցակում։
Ինտենսիվ հարցումներով տիրույթներ
SQL հաշվետվության հարցում
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20Մենք արգելափակում ենք isс.blackberry.com-ը և iceberg.blackberry.com-ը, որոնք արտադրողը կհիմնավորի անվտանգության նկատառումներից ելնելով: Արդյունք. երբ փորձում եք միանալ WLAN-ին, այն ցույց է տալիս մուտքի էջը և այլևս ոչ մի տեղ չի միանում: Եկեք ապաշրջափակենք այն։
detectportal.firefox.com-ը նույն մեխանիզմն է, որը ներդրված է միայն Firefox բրաուզերում: Եթե Ձեզ անհրաժեշտ է մուտք գործել WLAN ցանց, այն նախ ցույց կտա մուտքի էջը: Ամբողջովին պարզ չէ, թե ինչու է հասցեն այդքան հաճախ pinged, բայց մեխանիզմը հստակ նկարագրված է արտադրողի կողմից:
skype. Այս ծրագրի գործողությունները նման են ճիճու. այն թաքնվում է և պարզապես թույլ չի տալիս իրեն սպանել առաջադրանքների տողում, ցանցում մեծ թրաֆիկ է առաջացնում, յուրաքանչյուր 10 րոպեն մեկ 4 տիրույթի պինգ է անում: Տեսազանգ կատարելիս ինտերնետ կապն անընդհատ խափանում է, երբ ավելի լավ չի կարող լինել։ Առայժմ դա անհրաժեշտ է, ուստի մնում է։
upload.fp.measure.office.com - վերաբերում է Office 365-ին, ես չկարողացա պատշաճ նկարագրություն գտնել:
browser.pipe.aria.microsoft.com - Ես չկարողացա պատշաճ նկարագրություն գտնել:
Երկուսն էլ արգելափակում ենք։
connect.facebook.net - Facebook chat հավելված: Մնում է.
mediator.mail.ru mail.ru տիրույթի բոլոր հարցումների վերլուծությունը ցույց է տվել հսկայական քանակությամբ գովազդային ռեսուրսների և վիճակագրության հավաքագրողների առկայությունը, ինչը անվստահություն է առաջացնում: mail.ru տիրույթն ամբողջությամբ ուղարկվում է սև ցուցակ:
google-analytics.com - չի ազդում սարքերի ֆունկցիոնալության վրա, ուստի մենք արգելափակում ենք այն:
doubleclick.net - հաշվում է գովազդային սեղմումները: Մենք արգելափակում ենք.
Շատ հարցումներ գնում են googleapis.com: Արգելափակումը հանգեցրել է պլանշետի կարճ հաղորդագրությունների ուրախ անջատմանը, որոնք ինձ հիմար են թվում: Բայց playstore-ը դադարեց աշխատել, այնպես որ եկեք ապաարգելափակենք այն:
cloudflare.com - գրում են, որ սիրում են բաց կոդերը և, առհասարակ, շատ են գրում իրենց մասին։ Դոմենի հարցման ինտենսիվությունը լիովին պարզ չէ, որը հաճախ շատ ավելի բարձր է, քան իրական ակտիվությունը ինտերնետում: Առայժմ թողնենք։
Այսպիսով, հարցումների ինտենսիվությունը հաճախ կապված է սարքերի պահանջվող ֆունկցիոնալության հետ: Բայց բացահայտվեցին նաև նրանք, ովքեր չափն անցան ակտիվությամբ։
Հենց առաջինը
Երբ անլար ինտերնետը միացված է, բոլորը դեռ քնած են, և հնարավոր է տեսնել, թե որ հարցումներն են առաջինը ուղարկվում ցանց: Այսպիսով, ժամը 6:50-ին ինտերնետը միանում է և առաջին տասը րոպեների ընթացքում օրական 60 դոմենների հարցում է կատարվում.
SQL հաշվետվության հարցում
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCFirefox-ը ստուգում է WLAN կապը մուտքի էջի առկայության համար:
Citrix-ը պինգ է կատարում իր սերվերին, չնայած որ հավելվածն ակտիվորեն չի աշխատում:
Symantec-ը ստուգում է վկայականները:
Mozilla-ն ստուգում է թարմացումները, չնայած կարգավորումներում ես խնդրել եմ դա չանել:
mmo.de-ն խաղային ծառայություն է: Ամենայն հավանականությամբ հարցումը նախաձեռնվել է ֆեյսբուքյան չաթի միջոցով։ Մենք արգելափակում ենք.
Apple-ը կակտիվացնի իր բոլոր ծառայությունները։ api-glb-fra.smoot.apple.com - դատելով նկարագրությունից, կոճակի յուրաքանչյուր սեղմում ուղարկվում է այստեղ որոնման համակարգի օպտիմալացման նպատակներով: Խիստ կասկածելի, բայց կապված ֆունկցիոնալության հետ: Մենք թողնում ենք այն:
Ստորև ներկայացված է microsoft.com-ին ուղղված հարցումների երկար ցուցակը: Մենք արգելափակում ենք բոլոր տիրույթները՝ սկսած երրորդ մակարդակից։
Հենց առաջին ենթադոմեյնների քանակը
Այսպիսով, անլար ինտերնետը միացնելու առաջին 10 րոպեները:
iOS-ն ամենաշատ ենթադոմեններն է՝ 32: Հետևում է Android-ը՝ 24, այնուհետև Windows-ը՝ 15 և վերջում՝ Blackberry-ը՝ 9:
Միայն ֆեյսբուքի հավելվածը հարցում է անում 10 տիրույթում, skype-ը՝ 9 տիրույթ։
Տեղեկատվության աղբյուր
Վերլուծության աղբյուրը bind9 տեղական սերվերի մատյան ֆայլն էր, որը պարունակում է հետևյալ ձևաչափը.
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
Ֆայլը ներմուծվել է sqlite տվյալների բազա և վերլուծվել SQL հարցումների միջոցով:
Սերվերը գործում է որպես քեշ, հարցումները գալիս են երթուղիչից, այնպես որ միշտ կա մեկ հարցման հաճախորդ: Բավական է պարզեցված աղյուսակի կառուցվածքը, այսինքն. Զեկույցում պահանջվում է հարցման ժամանակը, ինքնին հարցումը և խմբավորման երկրորդ մակարդակի տիրույթը:
DDL սեղաններ
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);Արտադրողականություն
Այսպիսով, դոմեյն անունների սերվերի գրանցամատյանի վերլուծության արդյունքում գրաքննության են ենթարկվել ավելի քան 50 գրառումներ և տեղադրվել բլոկ ցուցակում։
Որոշ հարցումների անհրաժեշտությունը լավ նկարագրված է ծրագրային ապահովման արտադրողների կողմից և վստահություն է ներշնչում: Այնուամենայնիվ, գործունեության մեծ մասն անհիմն է և կասկածելի:
Source: www.habr.com