Routerek malê (di vê rewşê de FritzBox) dikare gelek tomar bike: kengê çiqas seyrûsefer diçe, kî bi çi lezê ve girêdayî ye, hwd. Pêşkêşkarek navê domainê (DNS) li ser tora herêmî alîkariya min kir ku ez bibînim ka çi li pişt wergirên nenas veşartî ye.
Bi tevayî, DNS bandorek erênî li ser tora malê kiriye: wê bilez, aramî û rêvebirinê zêde kiriye.
Li jêr diagramek heye ku pirs û hewcedariya fêmkirina çi diqewime derxist holê. Encam jixwe daxwazên naskirî û xebatkar ji serverên navên domainê re fîlter dikin.
Çima dema ku her kes hîn di xew de ye, her roj 60 domainên nezelal têne lêkolîn kirin?
Her roj, 440 domên nenas di demjimêrên çalak de anket têne kirin. Ew kî ne û çi dikin?
Hejmara navînî ya daxwazên her roj bi demjimêr
Pirsa rapora SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))Bi şev, gihîştina bêtêlê tê asteng kirin û çalakiya cîhazê tê payîn, ango. ji bo domên nenas rapirsîn tune. Ev tê vê wateyê ku çalakiya herî mezin ji cîhazên bi pergalên xebitandinê yên wekî Android, iOS û Blackberry OS tê.
Ka em domainên ku bi tundî têne anket kirin navnîş bikin. Zêdebûn dê ji hêla pîvanên wekî hejmara daxwaznameyên rojane, hejmara rojên çalakiyê û di çend demjimêrên rojê de ku ew hatine dîtin ve were destnîşankirin.
Hemû gumanbarên çaverêkirî di lîsteyê de bûn.
Domênên ku bi tundî hatine lêkolîn kirin
Pirsa rapora SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20Em isс.blackberry.com û iceberg.blackberry.com asteng dikin, ku çêker dê ji ber sedemên ewlehiyê rastdar bike. Encam: dema ku hewl dide ku bi WLAN-ê ve girêdayî be, ew rûpela têketinê nîşan dide û careke din bi cîhekî ve nayê girêdan. Werin em blokê vekin.
detectportal.firefox.com heman mekanîzmayê ye, tenê di geroka Firefox-ê de tête bicîh kirin. Heke hûn hewce ne ku têkevin tora WLAN, ew ê pêşî rûpela têketinê nîşan bide. Ne bi tevahî ne diyar e ku çima navnîşan divê ew qas pir caran were ping kirin, lê mekanîzma ji hêla çêker ve bi zelalî tête diyar kirin.
skype. Kiryarên vê bernameyê dişibin kurmê: ew vedişêre û bi tenê rê nade ku xwe di tabloya peywirê de were kuştin, li ser torê gelek seyrûsefer çêdike, her 10 hûrdem 4 domainan ping dike. Dema ku hûn bangek vîdyoyê dikin, pêwendiya Înternetê bi domdarî têk diçe, dema ku ew çêtir nabe. Ji bo niha ew hewce ye, lewma dimîne.
upload.fp.measure.office.com - behsa Office 365 dike, min nekarî ravekirinek maqûl bibînim.
browser.pipe.aria.microsoft.com - Min nekarî danasînek maqûl bibînim.
Em herduyan asteng dikin.
connect.facebook.net - Serlêdana chatê ya Facebookê. Jibermayî.
mediator.mail.ru Analîzek hemî daxwazên ji bo domain.ru hebûna hejmareke mezin ji çavkaniyên reklamê û berhevkarên statîstîkan destnîşan kir, ku dibe sedema bêbaweriyê. Domaina mail.ru bi tevahî ji navnîşa reş re tê şandin.
google-analytics.com - bandorê li fonksiyona cîhazan nake, ji ber vê yekê em wê asteng dikin.
doubleclick.net - klîkên reklamê dihejmêre. Em asteng dikin.
Gelek daxwaz diçin googleapis.com. Astengkirin bûye sedema girtina dilxweşiya peyamên kurt ên li ser tabletê, ku ji min re bêaqil xuya dikin. Lê dikana lîstikê dev ji xebata xwe berda, ji ber vê yekê werin em wê bloke bikin.
cloudflare.com - ew dinivîsin ku ew ji çavkaniya vekirî hez dikin û, bi gelemperî, li ser xwe pir dinivîsin. Zêdebûna anketa domainê bi tevahî ne diyar e, ku bi gelemperî ji çalakiya rastîn a li ser Înternetê pir zêde ye. Em ji bo niha bihêlin.
Bi vî rengî, tundiya daxwazan bi gelemperî bi fonksiyona pêdivî ya cîhazan ve girêdayî ye. Lê yên ku bi çalakiya xwe zêde kirin jî hatin kifşkirin.
Ya yekem
Dema ku Înterneta bêtêl vebe, her kes hîn di xew de ye û gengaz e ku meriv bibîne ka kîjan daxwaz pêşî ji torê re têne şandin. Ji ber vê yekê, di demjimêr 6:50 de Înternet vedibe û di heyama deh deqîqên pêşîn de rojane 60 domain têne lêkolîn kirin:
Pirsa rapora SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCFirefox ji bo hebûna rûpelek têketinê girêdana WLAN kontrol dike.
Citrix servera xwe ping dike her çend serîlêdan bi rengek çalak nayê xebitandin.
Symantec sertîfîkayan verast dike.
Mozilla nûvekirinan kontrol dike, her çend di mîhengan de min xwest ku ez vê yekê nekim.
mmo.de karûbarek lîstikê ye. Bi îhtîmaleke mezin daxwaz ji chat facebookê hatiye destpêkirin. Em asteng dikin.
Apple dê hemî karûbarên xwe çalak bike. api-glb-fra.smoot.apple.com - Li gorî ravekirinê dadbar kirin, her klîk bişkojk ji bo mebestên xweşbînkirina motora lêgerînê li vir tê şandin. Pir gumanbar, lê bi fonksiyonê ve girêdayî ye. Em dev jê berdidin.
Ya jêrîn navnîşek dirêj a daxwazên microsoft.com e. Em hemî domên ku ji asta sêyemîn dest pê dikin asteng dikin.
Hejmara jêrdomayên pir yekem
Ji ber vê yekê, 10 hûrdemên pêşîn ên vekirina înterneta wireless.
iOS herî zêde subdomainan di anketan de - 32. Li pey Android - 24, paşê Windows - 15 û herî dawî Blackberry - 9.
Sepana facebookê tenê 10 domanan, skype anketê 9 domanan dike.
Çavkaniyek agahdariyê
Çavkaniya analîzê pelê têketina servera herêmî ya bind9 bû, ku tê de forma jêrîn heye:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
Pelê di nav databasek sqlite de hate şandin û bi karanîna pirsên SQL ve hatî analîz kirin.
Pêşkêşkar wekî cache tevdigere; daxwaz ji routerê têne, ji ber vê yekê her gav xerîdarek daxwazek heye. Avahiyek tabloya hêsankirî bes e, ango. Rapor ji bo komkirinê dema daxwazê, daxwaz bixwe, û qada asta duyemîn hewce dike.
maseyên DDL
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);encamê
Bi vî rengî, di encama analîza têketina servera navên domainê de, zêdetirî 50 tomar hatin sansûrkirin û di navnîşa blokê de cih girtin.
Pêdiviya hin pirsan ji hêla hilberînerên nermalavê ve baş tête diyar kirin û pêbaweriyê vedigire. Lêbelê, piraniya çalakiyê bêbingeh û gumanbar e.
Source: www.habr.com