En Heemrouter (an dësem Fall FritzBox) ka vill ophuelen: wéi vill Traffic geet wéini, wien ass verbonne mat wéi enger Geschwindegkeet, etc. En Domain Numm Server (DNS) am lokalen Netzwierk huet mir gehollef erauszefannen wat hannert den onbekannten Empfänger verstoppt ass.
Insgesamt huet DNS e positiven Impakt op den Heemnetz: et huet Geschwindegkeet, Stabilitéit a Verwalterbarkeet bäigefüügt.
Drënner ass en Diagramm dat Froen opgeworf huet an de Besoin fir ze verstoen wat geschitt ass. D'Resultater filteren scho bekannt a funktionnéierend Ufroe fir Domain Numm Serveren.
Firwat ginn 60 obskur Domainen all Dag gepréift wärend jidderee nach schléift?
All Dag ginn 440 onbekannt Domainen während aktive Stonnen befrot. Wien sinn se a wat maachen se?
Duerchschnëtt Zuel vun Demanden pro Dag fir Stonn
SQL Rapport Ufro
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))Nuets gëtt de Wireless-Zougang behënnert an Apparataktivitéit gëtt erwaart, d.h. et gëtt keng Ëmfro fir onbekannt Domainen. Dëst bedeit datt déi gréissten Aktivitéit vun Apparater mat Betribssystemer wéi Android, iOS a Blackberry OS kënnt.
Loosst eis d'Domänen opzielen déi intensiv gepréift ginn. D'Intensitéit gëtt festgeluegt duerch Parameteren wéi d'Zuel vun den Ufroen pro Dag, d'Zuel vun den Aktivitéitsdeeg a wéivill Stonnen vum Dag se gemierkt goufen.
All déi erwaart Verdächteg waren op der Lëscht.
Intensiv befrot Domainen
SQL Rapport Ufro
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20Mir blockéieren isс.blackberry.com an iceberg.blackberry.com, wat den Hiersteller aus Sécherheetsgrënn berechtegt. Resultat: wann Dir probéiert mat dem WLAN ze verbannen, weist et d'Login Säit a verbënnt ni méi iwwerall. Loosst eis et deblockéieren.
detectportal.firefox.com ass dee selwechte Mechanismus, nëmmen am Firefox Browser implementéiert. Wann Dir Iech an de WLAN-Netzwierk aloggen musst, weist et als éischt d'Login Säit. Et ass net ganz kloer firwat d'Adress sou dacks pingéiert soll ginn, awer de Mechanismus ass kloer vum Hiersteller beschriwwen.
skype. D'Aktiounen vun dësem Programm sinn ähnlech wéi e Wuerm: et verstoppt sech a léisst sech net einfach an der Taskbar ëmbréngen, generéiert vill Traffic am Netz, pingst 10 Domainen all 4 Minutten. Wann Dir e Video Uruff mécht, brécht d'Internetverbindung dauernd, wann et net besser ass. Fir elo ass et néideg, also bleift et.
upload.fp.measure.office.com - bezitt sech op Office 365, ech konnt keng anstänneg Beschreiwung fannen.
browser.pipe.aria.microsoft.com - Ech konnt net eng uerdentlech Beschreiwung fannen.
Mir blockéieren déi zwee.
connect.facebook.net - Facebook Chat Applikatioun. Bleift.
mediator.mail.ru Eng Analyse vun all Ufroe fir d'mail.ru Domain huet d'Präsenz vun enger riesecher Unzuel vu Reklammressourcen a Statistiksammler gewisen, wat Mësstrauen verursaacht. D'mail.ru Domain gëtt ganz op d'Schwaarzlëscht geschéckt.
google-analytics.com - beaflosst net d'Funktionalitéit vun den Apparater, also blockéiere mir et.
doubleclick.net - zielt Reklammklicken. Mir blockéieren.
Vill Ufroe ginn op googleapis.com. D'Blockéierung huet zu der Freed ausgeschalt vu Kuerzmeldungen op der Tablet, déi mir domm schéngen. Awer de Playstore huet opgehalen ze schaffen, also loosst eis et deblockéieren.
cloudflare.com - si schreiwen datt se Open Source gär hunn an allgemeng vill iwwer sech selwer schreiwen. D'Intensitéit vun der Domain Ëmfro ass net ganz kloer, déi dacks vill méi héich ass wéi déi tatsächlech Aktivitéit um Internet. Loosst eis et fir elo.
Also ass d'Intensitéit vun Ufroen dacks mat der erfuerderter Funktionalitéit vun den Apparater verbonnen. Awer déi, déi et mat Aktivitéit iwwerdriwwen hunn, goufen och entdeckt.
Déi alleréischt
Wann de drahtlose Internet ageschalt ass, schléift nach jiddereen an et ass méiglech ze gesinn wéi eng Ufroe fir d'éischt an d'Netz geschéckt ginn. Also, um 6:50 gëtt den Internet op an an der éischter zéng Minutte Zäit ginn 60 Domains all Dag gepréift:
SQL Rapport Ufro
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCFirefox kontrolléiert d'WLAN Verbindung op d'Präsenz vun enger Login Säit.
Citrix pingelt säi Server och wann d'Applikatioun net aktiv leeft.
Symantec verifizéiert Certificaten.
Mozilla kontrolléiert no Updates, obwuel ech an den Astellunge gefrot hunn dëst net ze maachen.
mmo.de ass e Spillservice. Wahrscheinlech gëtt d'Ufro duerch Facebook Chat initiéiert. Mir blockéieren.
Apple wäert all seng Servicer aktivéieren. api-glb-fra.smoot.apple.com - no der Beschreiwung beurteelen, gëtt all Klick op de Knäppchen hei geschéckt fir Sichmotoroptimiséierungszwecker. Héich verdächteg, awer mat der Funktionalitéit verbonnen. Mir loossen et.
Déi folgend ass eng laang Lëscht vun Ufroen un microsoft.com. Mir blockéieren all Domains ab dem drëtten Niveau.
Zuel vun den éischte Subdomains
Also, déi éischt 10 Minutte vum Wireless Internet ausschalten.
iOS Ëmfroen am meeschte Subdomains - 32. Gefollegt vun Android - 24, dann Windows - 15 a leschter Blackberry - 9.
D'Facebook Applikatioun eleng pollt 10 Domainen, Skype pollt 9 Domains.
Eng Quell vun Informatioun
D'Quell fir d'Analyse war d'Bind9 lokal Server Log Datei, déi de folgende Format enthält:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
D'Datei gouf an eng sqlite Datebank importéiert an analyséiert mat SQL Ufroen.
De Server handelt als Cache; Ufroe kommen vum Router, sou datt et ëmmer een Ufro Client ass. Eng vereinfacht Tabellstruktur geet duer, d.h. De Bericht erfuerdert d'Zäit vun der Ufro, d'Ufro selwer an den zweeten Niveau Domain fir ze gruppéieren.
DDL Dëscher
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);Konklusioun
Also, als Resultat vun der Analyse vum Domain Numm Server Log, goufen méi wéi 50 records zensuréiert an op d'Spärlëscht gesat.
D'Noutwennegkeet vun e puer Ufroen ass gutt vu Software Hiersteller beschriwwen an inspiréiert Vertrauen. Wéi och ëmmer, vill vun der Aktivitéit ass ongegrënnt an zweifelhaft.
Source: will.com