အိမ်သုံးအင်တာနက်သည် မည်သို့နေထိုင်ပြီး ဒိုမိန်းအမည်ဆာဗာ စာရင်းအင်းများကို မည်သို့လုပ်ဆောင်သနည်း။

အိမ်သုံး router (ဤကိစ္စတွင် FritzBox) သည် အများအပြားကို မှတ်တမ်းတင်နိုင်သည်- ယာဉ်အသွားအလာ မည်မျှသွားနေသည်ကို၊ ဘယ်သူက ဘယ်လောက်အမြန်နှုန်းနဲ့ ချိတ်ဆက်ထားလဲ စသဖြင့်။ ဒေသတွင်းကွန်ရက်ရှိ ဒိုမိန်းအမည်ဆာဗာ (DNS) သည် အမည်မသိလက်ခံသူများ၏နောက်ကွယ်တွင် ဝှက်ထားသည်များကို ရှာဖွေတွေ့ရှိရန် ကူညီပေးခဲ့သည်။

ယေဘုယျအားဖြင့်၊ DNS သည် အိမ်သုံးကွန်ရက်အပေါ် အပြုသဘောဆောင်သော အကျိုးသက်ရောက်မှုရှိသည်- ၎င်းတွင် မြန်နှုန်း၊ တည်ငြိမ်မှုနှင့် စီမံခန့်ခွဲနိုင်မှုတို့ကို ပေါင်းထည့်ထားသည်။

အောက်တွင် ဖြစ်ပျက်နေသည့် မေးခွန်းများနှင့် ဖြစ်ပျက်နေမှုများကို နားလည်ရန် လိုအပ်သည့် မေးခွန်းများကို ဖော်ပြသည့် ပုံဖြစ်သည်။ ရလဒ်များသည် ဒိုမိန်းအမည်ဆာဗာများသို့ သိရှိပြီး လုပ်ဆောင်နေသည့် တောင်းဆိုချက်များကို စစ်ထုတ်ပြီးသားဖြစ်သည်။

လူတိုင်း အိပ်နေတုန်းမှာ မထင်မရှား ဒိုမိန်း 60 ကို ဘာကြောင့် စစ်တမ်းကောက်တာလဲ။

တက်ကြွသောနာရီများအတွင်း နေ့စဉ် အမည်မသိဒိုမိန်း ၄၄၀ ကို စစ်တမ်းကောက်ယူသည်။ သူတို့က ဘယ်သူတွေလဲ၊ ဘာလုပ်ကြတာလဲ။

တစ်နေ့လျှင် ပျမ်းမျှတောင်းဆိုမှုအရေအတွက်သည် နာရီအလိုက်

SQL အစီရင်ခံစာမေးမြန်းမှု

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Line: DNS Requests per Day for Hours',
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))

ညအချိန်တွင် ကြိုးမဲ့အသုံးပြုခွင့်ကို ပိတ်ထားပြီး စက်လုပ်ဆောင်ချက်ကို မျှော်လင့်ထားသည်၊ ဆိုလိုသည်မှာ၊ အမည်မသိဒိုမိန်းများအတွက် စစ်တမ်းကောက်ယူခြင်း မရှိပါ။ ဆိုလိုသည်မှာ Android၊ iOS နှင့် Blackberry OS ကဲ့သို့သော လည်ပတ်မှုစနစ်များပါရှိသော စက်ပစ္စည်းများမှ အကြီးမားဆုံးလုပ်ဆောင်ချက်ကို ဆိုလိုပါသည်။

အပြင်းအထန် စစ်တမ်းကောက်ယူထားသော ဒိုမိန်းများကို စာရင်းပြုစုကြပါစို့။ ပြင်းထန်မှုအား တစ်နေ့လျှင် တောင်းဆိုမှုအရေအတွက်၊ လှုပ်ရှားမှုရက်အရေအတွက်နှင့် ၎င်းတို့ကို သတိပြုမိသည့် တစ်နေ့တာ၏ နာရီပေါင်းများစွာ အစရှိသည့် ကန့်သတ်ချက်များဖြင့် ဆုံးဖြတ်မည်ဖြစ်သည်။

သံသယရှိသူအားလုံး စာရင်းတွင် ပါဝင်ခဲ့သည်။

အပြင်းအထန် စစ်တမ်းကောက်ယူထားသော ဒိုမိန်းများ

SQL အစီရင်ခံစာမေးမြန်းမှု

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT 
  1 as 'Table: Havy DNS Requests',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests per Day',
  DH AS 'Hours per Day',
  DAYS AS 'Active Days'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  COUNT(DISTINCT REQUEST_NK) AS SUBD,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
  ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20

ကျွန်ုပ်တို့သည် isс.blackberry.com နှင့် iceberg.blackberry.com တို့ကို ပိတ်ဆို့ထားပြီး၊ ထုတ်လုပ်သူသည် လုံခြုံရေးအကြောင်းပြချက်ဖြင့် တရားမျှတမှုရှိမည်ဖြစ်သည်။ ရလဒ်- WLAN သို့ ချိတ်ဆက်ရန် ကြိုးစားသောအခါ၊ ၎င်းသည် အကောင့်ဝင်သည့် စာမျက်နှာကို ပြသပြီး မည်သည့်နေရာကိုမျှ ထပ်မချိတ်ဆက်တော့ပါ။ အဲဒါကို ပြန်ဖွင့်လိုက်ရအောင်။

detectportal.firefox.com သည် တူညီသော ယန္တရားဖြစ်ပြီး Firefox ဘရောက်ဆာတွင်သာ လုပ်ဆောင်သည်။ အကယ်၍ သင်သည် WLAN ကွန်ရက်သို့ လော့ဂ်အင်ဝင်ရန် လိုအပ်ပါက၊ ၎င်းသည် လော့ဂ်အင်စာမျက်နှာကို ဦးစွာပြသမည်ဖြစ်သည်။ လိပ်စာကို ဘာကြောင့် မကြာခဏ ping လုပ်သင့်တယ်ဆိုတာ လုံးဝရှင်းရှင်းလင်းလင်းမသိရသေးပေမယ့် ယန္တရားကိုတော့ ထုတ်လုပ်သူမှ ရှင်းလင်းစွာဖော်ပြထားပါတယ်။

Skype ဤပရိုဂရမ်၏လုပ်ဆောင်ချက်များသည် worm နှင့်ဆင်တူသည်- ၎င်းသည် taskbar တွင်မိမိကိုမိမိသတ်ပစ်ရန်နှင့်ရိုးရှင်းစွာမသတ်ဘဲ၊ ကွန်ရက်ပေါ်ရှိအသွားအလာများစွာကိုထုတ်ပေးသည်၊ 10 မိနစ်တိုင်းဒိုမိန်း 4 ခုကို ping လုပ်သည်။ ဗီဒီယိုခေါ်ဆိုမှု ပြုလုပ်သည့်အခါတွင်၊ ၎င်းသည် ပိုကောင်းအောင် မလုပ်နိုင်သည့်အခါတွင် အင်တာနက်ချိတ်ဆက်မှု အဆက်မပြတ် ပျက်သွားပါသည်။ လောလောဆယ်တော့ လိုအပ်နေပြီမို့ ကျန်သေးတယ်။

upload.fp.measure.office.com - Office 365 ကို ရည်ညွှန်းသည်၊ သင့်လျော်သော ဖော်ပြချက်ကို ကျွန်ုပ် ရှာမတွေ့ပါ။
browser.pipe.aria.microsoft.com - သင့်လျော်သောဖော်ပြချက်ကို ကျွန်ုပ် ရှာမတွေ့ပါ။
နှစ်ခုလုံးကို ပိတ်ဆို့တယ်။

connect.facebook.net - Facebook chat အက်ပ်။ ကျန်နေသေးသည်။

mediator.mail.ru သည် mail.ru ဒိုမိန်းအတွက် တောင်းဆိုမှုများအားလုံးကို ခွဲခြမ်းစိတ်ဖြာမှုတစ်ခုတွင် ကြော်ငြာရင်းမြစ်များနှင့် စာရင်းဇယားစုဆောင်းသူများ၏ များပြားလှသော တည်ရှိနေခြင်းကို ပြသခဲ့ပြီး မယုံကြည်မှုကို ဖြစ်စေသည်။ mail.ru ဒိုမိန်းအား အမည်ပျက်စာရင်းသို့ လုံးလုံးလျားလျား ပေးပို့သည်။

google-analytics.com - စက်ပစ္စည်းများ၏ လုပ်ဆောင်နိုင်စွမ်းကို မထိခိုက်စေသောကြောင့် ကျွန်ုပ်တို့ ၎င်းကို ပိတ်ဆို့ထားပါသည်။
doubleclick.net - ကြော်ငြာကလစ်များကိုရေတွက်သည်။ ကျွန်တော်တို့ ပိတ်ဆို့တယ်။

တောင်းဆိုချက်များစွာသည် googleapis.com သို့သွားပါသည်။ ပိတ်ဆို့ခြင်းသည် ကျွန်ုပ်အတွက် မိုက်မဲပုံပေါ်သည့် တက်ဘလက်ပေါ်ရှိ တိုတောင်းသော မက်ဆေ့ချ်များကို ပျော်ရွှင်စွာ ပိတ်သွားစေသည်။ ဒါပေမယ့် playstore က အလုပ်မလုပ်တော့တဲ့အတွက် အဲဒါကို ပြန်ဖွင့်လိုက်ရအောင်။

cloudflare.com - သူတို့က open source ကိုနှစ်သက်ကြောင်း ရေးကြပြီး ယေဘုယျအားဖြင့်တော့ သူတို့အကြောင်း အများကြီးရေးကြတယ်။ ဒိုမိန်းစစ်တမ်း၏ ပြင်းထန်မှုမှာ လုံးဝရှင်းရှင်းလင်းလင်းမရှိပါ၊ ၎င်းသည် အင်တာနက်ပေါ်ရှိ အမှန်တကယ်လုပ်ဆောင်မှုထက် များစွာမြင့်မားလေ့ရှိသည်။ အခုပဲထားခဲ့လိုက်ရအောင်။

ထို့ကြောင့် တောင်းဆိုမှုများ၏ ပြင်းထန်မှုသည် စက်ပစ္စည်းများ၏ လိုအပ်သော လုပ်ဆောင်နိုင်စွမ်းများနှင့် မကြာခဏ ဆက်စပ်နေပါသည်။ ဒါပေမယ့် လှုပ်ရှားမှုနဲ့ လွန်လွန်ကဲကဲ လုပ်သူတွေကိုလည်း ရှာဖွေတွေ့ရှိခဲ့ပါတယ်။

ပထမဆုံးပါ။

ကြိုးမဲ့အင်တာနက်ကို ဖွင့်ထားသောအခါတွင် လူတိုင်းသည် အိပ်ပျော်နေဆဲဖြစ်ပြီး မည်သည့်တောင်းဆိုမှုများကို ကွန်ရက်သို့ ဦးစွာပေးပို့သည်ကို မြင်တွေ့နိုင်သည်။ ထို့ကြောင့်၊ 6:50 တွင်အင်တာနက်ဖွင့်ပြီးပထမဆယ်မိနစ်အချိန်အတွင်းဒိုမိန်း 60 ကိုနေ့စဉ်စစ်တမ်းကောက်ယူသည်-

SQL အစီရင်ခံစာမေးမြန်းမှု

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Table: First DNS Requests at 06:00',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests',
  DAYS AS 'Active Days',
  strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
  strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  MIN(EVENT_DT) AS MIN_DT,
  MAX(EVENT_DT) AS MAX_DT,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
  AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
 )
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESC

Firefox သည် လော့ဂ်အင်စာမျက်နှာတစ်ခု ရှိနေခြင်းအတွက် WLAN ချိတ်ဆက်မှုကို စစ်ဆေးသည်။
အပလီကေးရှင်းသည် တက်ကြွစွာလုပ်ဆောင်ခြင်းမရှိသော်လည်း Citrix သည် ၎င်း၏ဆာဗာကို pinging လုပ်နေသည်။
Symantec သည် လက်မှတ်များကို စစ်ဆေးသည်။
Mozilla သည် အပ်ဒိတ်များအတွက် စစ်ဆေးနေသော်လည်း ဆက်တင်များတွင် ၎င်းကို မလုပ်ရန် တောင်းဆိုထားသည်။

mmo.de သည် ဂိမ်းဝန်ဆောင်မှုတစ်ခုဖြစ်သည်။ အများစုမှာ တောင်းဆိုမှုအား facebook chat မှ အစပြုထားခြင်းဖြစ်သည်။ ကျွန်တော်တို့ ပိတ်ဆို့တယ်။

Apple သည် ၎င်း၏ဝန်ဆောင်မှုအားလုံးကို အသက်သွင်းမည်ဖြစ်သည်။ api-glb-fra.smoot.apple.com - ဖော်ပြချက်ဖြင့် အကဲဖြတ်ကာ ခလုတ်နှိပ်တိုင်းကို ရှာဖွေရေးအင်ဂျင် ပိုမိုကောင်းမွန်အောင် လုပ်ဆောင်ရန် ရည်ရွယ်ချက်များအတွက် ဤနေရာတွင် ပေးပို့ပါသည်။ အလွန်သံသယဖြစ်ဖွယ်ကောင်းသော်လည်း လုပ်ဆောင်နိုင်စွမ်းနှင့် သက်ဆိုင်သည်။ အဲဒါကို ထားခဲ့တာ။

အောက်ဖော်ပြပါသည် microsoft.com သို့ တောင်းဆိုမှုစာရင်းရှည်ဖြစ်သည်။ ကျွန်ုပ်တို့သည် တတိယအဆင့်မှစတင်၍ ဒိုမိန်းအားလုံးကို ပိတ်ဆို့ထားသည်။

ပထမဆုံး ဒိုမိန်းခွဲများ အရေအတွက်


ဒီတော့ ကြိုးမဲ့အင်တာနက်ကိုဖွင့်ပြီး ပထမဆုံး ၁၀ မိနစ်။
iOS သည် ဒိုမိန်းခွဲအများစုကို စစ်တမ်းကောက်ယူသည် - 32. Android - 24, ထို့နောက် Windows - 15 နှင့် နောက်ဆုံးတွင် Blackberry - 9 တို့ဖြစ်သည်။
facebook အပလီကေးရှင်းတစ်ခုတည်းသည် ဒိုမိန်း ၁၀ ခု၊ skype စစ်တမ်း ၉ ဒိုမိန်းများကို ကောက်ယူသည်။

သတင်းအချက်အလက်ရင်းမြစ်

ခွဲခြမ်းစိတ်ဖြာမှုအတွက် အရင်းအမြစ်မှာ အောက်ပါဖော်မတ်ပါရှိသော bind9 ဒေသတွင်း ဆာဗာမှတ်တမ်းဖိုင်ဖြစ်သည်။

01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)

ဖိုင်ကို sqlite ဒေတာဘေ့စ်သို့ တင်သွင်းပြီး SQL queries ကို အသုံးပြု၍ ခွဲခြမ်းစိတ်ဖြာခဲ့သည်။
ဆာဗာသည် ကက်ရှ်တစ်ခုအဖြစ် လုပ်ဆောင်သည်၊ တောင်းဆိုချက်များသည် router မှ လာသောကြောင့် တောင်းဆိုချက်တစ်ခုသည် အမြဲတမ်းရှိနေသည်။ ရိုးရှင်းသောဇယားဖွဲ့စည်းပုံသည် လုံလောက်သည်၊ ဆိုလိုသည်မှာ၊ အစီရင်ခံစာသည် တောင်းဆိုချက်၏အချိန်၊ တောင်းဆိုချက်ကိုယ်တိုင်နှင့် အုပ်စုဖွဲ့ခြင်းအတွက် ဒုတိယအဆင့်ဒိုမိန်း လိုအပ်သည်။

DDL ဇယားများ

CREATE TABLE STG_BIND9_LOG (
  LINE_NK       INTEGER NOT NULL DEFAULT 1,
  DATE_NK       TEXT NOT NULL DEFAULT 'n.a.',
  TIME_NK       TEXT NOT NULL DEFAULT 'n.a.',
  CLI           TEXT, -- client
  IP            TEXT,
  REQUEST_NK    TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
  DOMAIN        TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
  QUERY         TEXT,
  UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);

ကောက်ချက်

ထို့ကြောင့်၊ ဒိုမိန်းအမည်ဆာဗာမှတ်တမ်း၏ခွဲခြမ်းစိတ်ဖြာမှုရလဒ်အနေဖြင့်၊ မှတ်တမ်း 50 ကျော်ကိုဆင်ဆာဖြတ်တောက်ပြီးပိတ်ဆို့စာရင်းတွင်ထည့်သွင်းခဲ့သည်။

အချို့သောမေးခွန်းများ၏ လိုအပ်ချက်များကို ဆော့ဖ်ဝဲထုတ်လုပ်သူများက ကောင်းစွာဖော်ပြပြီး ယုံကြည်မှုကို လှုံ့ဆော်ပေးသည်။ သို့သော်လည်း လှုပ်ရှားမှုအများစုသည် အခြေအမြစ်မရှိ၍ မေးခွန်းထုတ်စရာများ ဖြစ်နေသည်။

source: www.habr.com