Home router (f'dan il-każ FritzBox) jista' jirreġistra ħafna: kemm ikun għaddej traffiku meta, min hu konness b'liema veloċità, eċċ. Server tal-isem tad-dominju (DNS) fuq in-netwerk lokali għenni nsib x'kien moħbi wara r-riċevituri mhux magħrufa.
B'mod ġenerali, id-DNS kellu impatt pożittiv fuq in-netwerk tad-dar: żied il-veloċità, l-istabbiltà u l-ġestjoni.
Hawn taħt hemm dijagramma li qajmet mistoqsijiet u l-ħtieġa li wieħed jifhem dak li kien qed jiġri. Ir-riżultati diġà jiffiltraw it-talbiet magħrufa u tax-xogħol lil servers tal-ismijiet tad-dominju.
Għaliex huma mistħarrġa 60 dominju oskura kuljum waqt li kulħadd ikun għadu rieqed?
Kull jum, 440 qasam mhux magħruf huma mistħarrġa matul il-ħinijiet attivi. Min huma u x'jagħmlu?
Numru medju ta' talbiet kuljum b'siegħa
Mistoqsija ta' rapport SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))Bil-lejl, l-aċċess bla fili huwa diżattivat u l-attività tal-apparat hija mistennija, i.e. m'hemm l-ebda polling għal oqsma mhux magħrufa. Dan ifisser li l-akbar attività tiġi minn apparati b'sistemi operattivi bħal Android, iOS u Blackberry OS.
Ejja elenka l-oqsma li huma mistħarrġa b'mod intensiv. L-intensità se tkun determinata minn parametri bħan-numru ta’ talbiet kuljum, in-numru ta’ ġranet ta’ attività u f’kemm-il siegħa tal-ġurnata ġew innutati.
Is-suspettati kollha mistennija kienu fuq il-lista.
Dominji mistħarrġa b'mod intensiv
Mistoqsija ta' rapport SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20Aħna nibblukkaw isс.blackberry.com u iceberg.blackberry.com, li l-manifattur se jiġġustifika għal raġunijiet ta 'sigurtà. Riżultat: meta tipprova tikkonnettja mal-WLAN, turi l-paġna tal-login u qatt ma terġa 'tqabbad imkien. Ejja niżblokkah.
detectportal.firefox.com huwa l-istess mekkaniżmu, implimentat biss fil-browser Firefox. Jekk għandek bżonn tidħol fin-netwerk WLAN, l-ewwel turi l-paġna tal-login. Mhux ċar għal kollox għaliex l-indirizz għandu jiġi pinged daqshekk spiss, iżda l-mekkaniżmu huwa deskritt b'mod ċar mill-manifattur.
skype. L-azzjonijiet ta 'dan il-programm huma simili għal dudu: jaħbi u ma jħallix lilu nnifsu biss jinqatel fit-taskbar, jiġġenera ħafna traffiku fuq in-netwerk, jagħmel pings 10 dominji kull 4 minuti. Meta tagħmel sejħa bil-vidjo, il-konnessjoni tal-Internet kontinwament tinqasam, meta ma tistax tkun aħjar. Għalissa huwa meħtieġ, għalhekk jibqa '.
upload.fp.measure.office.com - jirreferi għal Office 365, ma stajtx insib deskrizzjoni deċenti.
browser.pipe.aria.microsoft.com - Ma stajtx insib deskrizzjoni deċenti.
Nibblukkaw it-tnejn.
connect.facebook.net - Applikazzjoni ta' chat fuq Facebook. Fdalijiet.
mediator.mail.ru Analiżi tat-talbiet kollha għad-dominju mail.ru wriet il-preżenza ta 'numru kbir ta' riżorsi ta 'reklamar u kolletturi tal-istatistika, li tikkawża nuqqas ta' fiduċja. Id-dominju mail.ru jintbagħat kompletament għal-lista sewda.
google-analytics.com - ma jaffettwax il-funzjonalità tal-apparati, għalhekk aħna nibblukkawha.
doubleclick.net - jgħodd il-klikks tar-reklamar. Aħna blokk.
Ħafna talbiet imorru fuq googleapis.com. L-imblukkar wassal għall-għeluq ferrieħi ta 'messaġġi qosra fuq it-tablet, li jidhru stupidi għalija. Imma l-playstore waqaf jaħdem, allura ejja niżblokkah.
cloudflare.com - jiktbu li jħobbu s-sors miftuħ u, b'mod ġenerali, jiktbu ħafna dwarhom infushom. L-intensità tal-istħarriġ tad-dominju mhix ċara għal kollox, li ħafna drabi hija ħafna ogħla mill-attività attwali fuq l-Internet. Ejja nħalluha għalissa.
Għalhekk, l-intensità tat-talbiet ħafna drabi hija relatata mal-funzjonalità meħtieġa tal-apparati. Iżda dawk li għamlu żżejjed bl-attività ġew skoperti wkoll.
L-ewwel nett
Meta l-Internet mingħajr fili jinxtegħel, kulħadd ikun għadu rieqed u huwa possibbli li tara liema talbiet jintbagħtu lin-netwerk l-ewwel. Allura, fis-6:50 l-Internet jinxtegħel u fl-ewwel perjodu ta 'għaxar minuti ta' żmien 60 dominju huma mistħarrġa kuljum:
Mistoqsija ta' rapport SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCFirefox jiċċekkja l-konnessjoni WLAN għall-preżenza ta 'paġna ta' login.
Citrix qed jagħmel ping tas-server tiegħu minkejja li l-applikazzjoni mhix qed taħdem b'mod attiv.
Symantec jivverifika ċ-ċertifikati.
Mozilla jiċċekkja għal aġġornamenti, għalkemm fis-settings tlabt biex ma nagħmelx dan.
mmo.de huwa servizz tal-logħob. Aktarx li t-talba tinbeda minn facebook chat. Aħna blokk.
Apple se jattiva s-servizzi kollha tiegħu. api-glb-fra.smoot.apple.com - ġġudikati mid-deskrizzjoni, kull klikk fuq buttuna tintbagħat hawn għal skopijiet ta 'ottimizzazzjoni tal-magna tat-tiftix. Suspettuż ħafna, iżda relatat mal-funzjonalità. Aħna nħalluha.
Din li ġejja hija lista twila ta' talbiet lil microsoft.com. Aħna nibblukkaw id-dominji kollha li jibdew mit-tielet livell.
Numru ta' l-ewwel subdominji
Allura, l-ewwel 10 minuti ta 'tixgħel l-Internet mingħajr fili.
iOS jivvota l-aktar sottodominji - 32. Segwit minn Android - 24, imbagħad Windows - 15 u fl-aħħar tut - 9.
L-applikazzjoni ta' facebook waħedha tisvolġi 10 dominji, skype tisvolġi 9 dominji.
Sors ta 'informazzjoni
Is-sors għall-analiżi kien il-log file tas-server lokali bind9, li fih il-format li ġej:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
Il-fajl ġie importat f'database sqlite u analizzat bl-użu ta 'mistoqsijiet SQL.
Is-server jaġixxi bħala cache; it-talbiet jiġu mir-router, għalhekk dejjem ikun hemm klijent tat-talba waħda. Struttura tal-mejda simplifikata hija biżżejjed, i.e. Ir-rapport jeħtieġ il-ħin tat-talba, it-talba nnifisha, u d-dominju tat-tieni livell għall-grupp.
Tabelli DDL
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);Output
Għalhekk, bħala riżultat tal-analiżi tal-log tas-server tal-isem tad-dominju, aktar minn 50 rekord ġew iċċensurati u mqiegħda fil-lista tal-blokk.
Il-ħtieġa ta 'xi mistoqsijiet hija deskritta tajjeb mill-manifatturi tas-softwer u tispira kunfidenza. Madankollu, ħafna mill-attività hija infondata u dubjuża.
Sors: www.habr.com