ProHoster > Blog > Stjórnsýsla > Hvernig virkar tölfræði heimanetsins og lénsnafnaþjóna?

Hvernig virkar tölfræði heimanetsins og lénsnafnaþjóna?

Heimabeini (í þessu tilfelli FritzBox) getur tekið upp mikið: hversu mikil umferð fer hvenær, hver er tengdur á hvaða hraða osfrv. Lénsþjónn (DNS) á staðarnetinu hjálpaði mér að komast að því hvað leyndist á bak við óþekkta viðtakendur.

Á heildina litið hefur DNS haft jákvæð áhrif á heimanetið: það hefur bætt við hraða, stöðugleika og viðráðanleika.

Hér að neðan er skýringarmynd sem vakti spurningar og þörfina á að skilja hvað var að gerast. Niðurstöðurnar sía nú þegar út þekktar og virkar beiðnir til lénsþjóna.

Af hverju eru 60 óljós lén rannsökuð á hverjum degi meðan allir eru enn sofandi?

Á hverjum degi eru 440 óþekkt lén könnuð á virkum tímum. Hverjir eru þeir og hvað gera þeir?

Meðalfjöldi beiðna á dag fyrir klukkustund

Hvernig virkar tölfræði heimanetsins og lénsnafnaþjóna?

SQL skýrslufyrirspurn

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Line: DNS Requests per Day for Hours',
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))

Á nóttunni er þráðlaus aðgangur óvirkur og gert ráð fyrir virkni tækja, þ.e. það er engin könnun fyrir óþekkt lén. Þetta þýðir að mesta virknin kemur frá tækjum með stýrikerfi eins og Android, iOS og Blackberry OS.

Við skulum skrá lénin sem eru könnuð ákaft. Styrkurinn verður ákvörðuð af breytum eins og fjölda beiðna á dag, fjölda virknidaga og hversu margar klukkustundir dagsins var tekið eftir þeim.

Allir grunaðir menn, sem búist var við, voru á listanum.

Ríflega könnuð lén

Hvernig virkar tölfræði heimanetsins og lénsnafnaþjóna?

SQL skýrslufyrirspurn

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT 
  1 as 'Table: Havy DNS Requests',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests per Day',
  DH AS 'Hours per Day',
  DAYS AS 'Active Days'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  COUNT(DISTINCT REQUEST_NK) AS SUBD,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
  ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20

Við lokum á isс.blackberry.com og iceberg.blackberry.com, sem framleiðandinn mun réttlæta af öryggisástæðum. Niðurstaða: þegar reynt er að tengjast þráðlausu staðarnetinu sýnir það innskráningarsíðuna og tengist aldrei aftur. Við skulum opna það.

detectportal.firefox.com er sama kerfi, aðeins útfært í Firefox vafranum. Ef þú þarft að skrá þig inn á þráðlausa staðarnetið mun það fyrst sýna innskráningarsíðuna. Það er ekki alveg ljóst hvers vegna ætti að pinga heimilisfangið svo oft, en vélbúnaðurinn er greinilega lýst af framleiðanda.

skype. Aðgerðir þessa forrits eru svipaðar og ormur: hann felur sig og leyfir sér ekki einfaldlega að drepa sig á verkefnastikunni, myndar mikla umferð á netinu, smellir 10 lén á 4 mínútna fresti. Þegar hringt er í myndsímtal rofnar nettengingin stöðugt, þegar hún getur ekki verið betri. Í bili er það nauðsynlegt, svo það er enn.

upload.fp.measure.office.com - vísar til Office 365, ég fann ekki almennilega lýsingu.
browser.pipe.aria.microsoft.com - ég fann ekki almennilega lýsingu.
Við lokum á bæði.

connect.facebook.net - Facebook spjallforrit. Leifar.

mediator.mail.ru Greining á öllum beiðnum um mail.ru lénið sýndi tilvist gríðarstórs fjölda auglýsingaauðlinda og tölfræðisafnara, sem veldur vantrausti. Mail.ru lénið er sent alfarið á svarta listann.

google-analytics.com - hefur ekki áhrif á virkni tækja, svo við lokum á það.
doubleclick.net - telur auglýsingasmelli. Við lokum.

Margar beiðnir fara á googleapis.com. Lokunin hefur leitt til ánægjulegrar lokunar á stuttum skilaboðum á spjaldtölvunni, sem mér finnst heimskulegt. En playstore hætti að virka, svo við skulum opna fyrir það.

cloudflare.com - þeir skrifa að þeir elska opinn hugbúnað og skrifa almennt mikið um sjálfan sig. Styrkur lénskönnunarinnar er ekki alveg ljós, sem er oft mun meiri en raunveruleg virkni á netinu. Látum það vera í bili.

Þannig er styrkleiki beiðna oft tengdur nauðsynlegri virkni tækjanna. En þeir sem ofgnuðust með virkni komust líka í ljós.

Sá allra fyrsti

Þegar kveikt er á þráðlausa internetinu eru allir enn sofandi og hægt er að sjá hvaða beiðnir eru sendar á netið fyrst. Svo, klukkan 6:50 kviknar á internetinu og á fyrsta tíu mínútna tímabilinu eru 60 lén spurð daglega:

Hvernig virkar tölfræði heimanetsins og lénsnafnaþjóna?

SQL skýrslufyrirspurn

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Table: First DNS Requests at 06:00',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests',
  DAYS AS 'Active Days',
  strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
  strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  MIN(EVENT_DT) AS MIN_DT,
  MAX(EVENT_DT) AS MAX_DT,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
  AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
 )
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESC

Firefox athugar þráðlaust staðarnetstengingu fyrir tilvist innskráningarsíðu.
Citrix er að smella á netþjóninn sinn þrátt fyrir að forritið sé ekki í gangi.
Symantec staðfestir vottorð.
Mozilla leitar að uppfærslum, þó að ég hafi beðið um að gera þetta ekki í stillingunum.

mmo.de er leikjaþjónusta. Líklegast er beiðnin hafin af facebook spjalli. Við lokum.

Apple mun virkja alla þjónustu sína. api-glb-fra.smoot.apple.com - af lýsingunni að dæma er hver smellur á hnappinn sendur hingað í leitarvélabestun. Mjög grunsamlegt, en tengist virkni. Við sleppum því.

Eftirfarandi er langur listi af beiðnum til microsoft.com. Við lokum á öll lén frá og með þriðja stigi.

Fjöldi allra fyrstu undirléna
Hvernig virkar tölfræði heimanetsins og lénsnafnaþjóna?

Svo, fyrstu 10 mínúturnar af því að kveikja á þráðlausa internetinu.
iOS skoðar flest undirlén - 32. Næst kemur Android - 24, síðan Windows - 15 og síðast Blackberry - 9.
Facebook forritið eitt og sér skoðar 10 lén, Skype skoðar 9 lén.

Uppruni upplýsinganna

Uppruni greiningarinnar var bind9 staðbundin netþjónsskrá, sem inniheldur eftirfarandi snið:

01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)

Skráin var flutt inn í sqlite gagnagrunn og greind með SQL fyrirspurnum.
Miðlarinn virkar sem skyndiminni; beiðnir koma frá leiðinni, svo það er alltaf einn beiðni viðskiptavinur. Einföld töfluuppbygging er nægjanleg, þ.e. Skýrslan krefst tíma beiðninnar, beiðninnar sjálfrar og annars stigs léns fyrir flokkun.

DDL töflur

CREATE TABLE STG_BIND9_LOG (
  LINE_NK       INTEGER NOT NULL DEFAULT 1,
  DATE_NK       TEXT NOT NULL DEFAULT 'n.a.',
  TIME_NK       TEXT NOT NULL DEFAULT 'n.a.',
  CLI           TEXT, -- client
  IP            TEXT,
  REQUEST_NK    TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
  DOMAIN        TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
  QUERY         TEXT,
  UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);

Output

Þannig, vegna greiningar á lénsheitaskránni, voru meira en 50 færslur ritskoðaðar og settar á bannlista.

Nauðsyn sumra fyrirspurna er vel lýst af hugbúnaðarframleiðendum og vekur traust. Hins vegar er mikið af starfseminni ástæðulaus og vafasöm.

Heimild: www.habr.com

Bæta við athugasemd