рдЧреГрд╣ рд░рд╛рдЙрдЯрд░ (рдпрд╕ рдЕрд╡рд╕реНрдерд╛рдорд╛ рдлреНрд░рд┐рдЯреНрдЬрдмрдХреНрд╕) рд▓реЗ рдзреЗрд░реИ рд░реЗрдХрд░реНрдб рдЧрд░реНрди рд╕рдХреНрдЫ: рдХрддрд┐ рдЯреНрд░рд╛рдлрд┐рдХ рдХрд╣рд┐рд▓реЗ рдЬрд╛рдиреНрдЫ, рдХреЛ рдХреБрди рдЧрддрд┐рдорд╛ рдЬрдбрд╛рди рднрдПрдХреЛ рдЫ, рдЖрджрд┐ред рд╕реНрдерд╛рдиреАрдп рдиреЗрдЯрд╡рд░реНрдХрдорд╛ рдбреЛрдореЗрди рдирд╛рдо рд╕рд░реНрднрд░ (DNS) рд▓реЗ рдорд▓рд╛рдИ рдЕрдЬреНрдЮрд╛рдд рдкреНрд░рд╛рдкреНрддрдХрд░реНрддрд╛рд╣рд░реВрдХреЛ рдкрдЫрд╛рдбрд┐ рд▓реБрдХреЗрдХреЛ рдХреБрд░рд╛ рдкрддреНрддрд╛ рд▓рдЧрд╛рдЙрди рдорджреНрджрдд рдЧрд░реНтАНрдпреЛред
рд╕рдордЧреНрд░рдорд╛, DNS рд▓реЗ рдЧреГрд╣ рдиреЗрдЯрд╡рд░реНрдХрдорд╛ рд╕рдХрд╛рд░рд╛рддреНрдордХ рдкреНрд░рднрд╛рд╡ рдкрд╛рд░реЗрдХреЛ рдЫ: рдпрд╕рд▓реЗ рдЧрддрд┐, рд╕реНрдерд┐рд░рддрд╛, рд░ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрди рдпреЛрдЧреНрдпрддрд╛ рдердкреЗрдХреЛ рдЫред
рддрд▓ рдПрдЙрдЯрд╛ рд░реЗрдЦрд╛рдЪрд┐рддреНрд░ рдЫ рдЬрд╕рд▓реЗ рдкреНрд░рд╢реНрдирд╣рд░реВ рдЦрдбрд╛ рдЧрд░реЗрдХреЛ рдЫ рд░ рдХреЗ рднрдЗрд░рд╣реЗрдХреЛ рдерд┐рдпреЛ рднрдиреЗрд░ рдмреБрдЭреНрди рдЖрд╡рд╢реНрдпрдХ рдЫред рдкрд░рд┐рдгрд╛рдорд╣рд░реВрд▓реЗ рдкрд╣рд┐рд▓реЗ рдиреИ рдбреЛрдореЗрди рдирд╛рдо рд╕рд░реНрднрд░рд╣рд░реВрдорд╛ рдЬреНрдЮрд╛рдд рд░ рдХрд╛рдо рдЧрд░реНрдиреЗ рдЕрдиреБрд░реЛрдзрд╣рд░реВ рдлрд┐рд▓реНрдЯрд░ рдЧрд░реНрджрдЫред
рдХрд┐рди рд╣рд░реЗрдХ рджрд┐рди 60 рдЕрд╕реНрдкрд╖реНрдЯ рдбреЛрдореЗрдирд╣рд░реВ рдкреЛрд▓ рдЧрд░рд┐рдиреНрдЫ рдЬрдмрдХрд┐ рд╕рдмреИ рдЕрдЭреИ рд╕реБрддрд┐рд░рд╣реЗрдХрд╛ рдЫрдиреН?
рд╣рд░реЗрдХ рджрд┐рди, 440 рдЕрдЬреНрдЮрд╛рдд рдбреЛрдореЗрди рд╕рдХреНрд░рд┐рдп рдШрдгреНрдЯрд╛рдХреЛ рд╕рдордпрдорд╛ рдкреЛрд▓ рдЧрд░рд┐рдиреНрдЫред рддрд┐рдиреАрд╣рд░реВ рдХреЛ рд╣реБрдиреН рд░ рддрд┐рдиреАрд╣рд░реВрд▓реЗ рдХреЗ рдЧрд░реНрдЫрдиреН?
рдШрдгреНрдЯрд╛ рдкреНрд░рддрд┐ рджрд┐рди рдЕрдиреБрд░реЛрдзрд╣рд░реВрдХреЛ рдФрд╕рдд рд╕рдВрдЦреНрдпрд╛
SQL рд░рд┐рдкреЛрд░реНрдЯ рдХреНрд╡реЗрд░реА
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))рд░рд╛рддрдорд╛, рддрд╛рд░рд░рд╣рд┐рдд рдкрд╣реБрдБрдЪ рдЕрд╕рдХреНрд╖рдо рдЧрд░рд┐рдПрдХреЛ рдЫ рд░ рдЙрдкрдХрд░рдг рдЧрддрд┐рд╡рд┐рдзрд┐ рдЕрдкреЗрдХреНрд╖рд┐рдд рдЫ, рдЕрд░реНрдерд╛рддреНред рдЕрдЬреНрдЮрд╛рдд рдбреЛрдореЗрдирд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рдХреБрдиреИ рдорддрджрд╛рди рдЫреИрдиред рдпрд╕рдХреЛ рдЕрд░реНрде рдПрдиреНрдбреНрд░реЛрдЗрдб, рдЖрдИрдУрдПрд╕ рд░ рдмреНрд▓реНрдпрд╛рдХрдмреЗрд░реА рдУрдПрд╕ рдЬрд╕реНрддрд╛ рдЕрдкрд░реЗрдЯрд┐рдЩ рд╕рд┐рд╕реНрдЯрдо рднрдПрдХрд╛ рдпрдиреНрддреНрд░рд╣рд░реВрдмрд╛рдЯ рд╕рдмреИрднрдиреНрджрд╛ рдареВрд▓реЛ рдЧрддрд┐рд╡рд┐рдзрд┐ рдЖрдЙрдБрдЫред
рдЧрд╣рди рд░реВрдкрдорд╛ рдкреЛрд▓ рдЧрд░рд┐рдПрдХрд╛ рдбреЛрдореЗрдирд╣рд░реВрдХреЛ рд╕реВрдЪреА рдЧрд░реМрдВред рддреАрд╡реНрд░рддрд╛ рдорд╛рдкрджрдгреНрдбрд╣рд░реВ рджреНрд╡рд╛рд░рд╛ рдирд┐рд░реНрдзрд╛рд░рдг рдЧрд░рд┐рдиреЗрдЫ рдЬрд╕реНрддреИ рдкреНрд░рддрд┐ рджрд┐рди рдЕрдиреБрд░реЛрдзрд╣рд░реВрдХреЛ рд╕рдВрдЦреНрдпрд╛, рдЧрддрд┐рд╡рд┐рдзрд┐рдХреЛ рджрд┐рдирд╣рд░реВрдХреЛ рд╕рдВрдЦреНрдпрд╛ рд░ рджрд┐рдирдХреЛ рдХрддрд┐ рдШрдгреНрдЯрд╛рдорд╛ рддрд┐рдиреАрд╣рд░реВ рджреЗрдЦрд┐рдПред
рд╕рдмреИ рдЕрдкреЗрдХреНрд╖рд┐рдд рд╕рдВрджрд┐рдЧреНрдзрд╣рд░реВ рд╕реВрдЪреАрдорд╛ рдерд┐рдПред
рдЧрд╣рди рд░реВрдкрдорд╛ рдорддрджрд╛рди рдЧрд░рд┐рдПрдХрд╛ рдбреЛрдореЗрдирд╣рд░реВ
SQL рд░рд┐рдкреЛрд░реНрдЯ рдХреНрд╡реЗрд░реА
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20рд╣рд╛рдореА is╤Б.blackberry.com рд░ iceberg.blackberry.com рд▓рд╛рдИ рд░реЛрдХреНрдЫреМрдВ, рдЬрд╕рд▓рд╛рдИ рдирд┐рд░реНрдорд╛рддрд╛рд▓реЗ рд╕реБрд░рдХреНрд╖рд╛ рдХрд╛рд░рдгрд╣рд░реВрдХрд╛ рд▓рд╛рдЧрд┐ рдФрдЪрд┐рддреНрдп рджрд┐рдиреЗрдЫред рдирддрд┐рдЬрд╛: WLAN рдорд╛ рдЬрдбрд╛рди рдЧрд░реНрдиреЗ рдкреНрд░рдпрд╛рд╕ рдЧрд░реНрджрд╛, рдпрд╕рд▓реЗ рд▓рдЧрдЗрди рдкреГрд╖реНрда рджреЗрдЦрд╛рдЙрдБрдЫ рд░ рдлреЗрд░рд┐ рдХрд╣рд┐рдБ рдкрдирд┐ рдЬрдбрд╛рди рд╣реБрдБрджреИрдиред рдпрд╕рд▓рд╛рдИ рдЕрдирдмреНрд▓рдХ рдЧрд░реМрдВред
detectportal.firefox.com рдЙрд╣реА рд╕рдВрдпрдиреНрддреНрд░ рд╣реЛ, рдлрд╛рдпрд░рдлрдХреНрд╕ рдмреНрд░рд╛рдЙрдЬрд░рдорд╛ рдорд╛рддреНрд░ рд▓рд╛рдЧреВ рд╣реБрдиреНрдЫред рдпрджрд┐ рддрдкрд╛рдЗрдБ WLAN рдиреЗрдЯрд╡рд░реНрдХрдорд╛ рд▓рдЧ рдЗрди рдЧрд░реНрди рдЖрд╡рд╢реНрдпрдХ рдЫ рднрдиреЗ, рдпрд╕рд▓реЗ рдкрд╣рд┐рд▓реЗ рд▓рдЧрдЗрди рдкреГрд╖реНрда рджреЗрдЦрд╛рдЙрдиреЗрдЫред рдпреЛ рдкреВрд░реНрдг рд░реВрдкрдорд╛ рд╕реНрдкрд╖реНрдЯ рдЫреИрди рдХрд┐рди рдареЗрдЧрд╛рдирд╛ рдзреЗрд░реИ рдкрдЯрдХ рдкрд┐рдВрдЧ рдЧрд░реНрдиреБрдкрд░реНрдЫ, рддрд░ рд╕рдВрдпрдиреНрддреНрд░ рд╕реНрдкрд╖реНрдЯ рд░реВрдкрдорд╛ рдирд┐рд░реНрдорд╛рддрд╛ рджреНрд╡рд╛рд░рд╛ рд╡рд░реНрдгрди рдЧрд░рд┐рдПрдХреЛ рдЫред
рд╕реНрдХрд╛рдЗрдкред рдпрд╕ рдХрд╛рд░реНрдпрдХреНрд░рдордХрд╛ рдХрд╛рд░реНрдпрд╣рд░реВ рдХреАрд░рд╛ рдЬрд╕реНрддреИ рдЫрдиреН: рдпрд╕рд▓реЗ рд▓реБрдХрд╛рдЙрдБрдЫ рд░ рдЯрд╛рд╕реНрдХрдмрд╛рд░рдорд╛ рдЖрдлреИрд▓рд╛рдИ рдорд╛рд░рд┐рди рдЕрдиреБрдорддрд┐ рджрд┐рдБрджреИрди, рдиреЗрдЯрд╡рд░реНрдХрдорд╛ рдзреЗрд░реИ рдЯреНрд░рд╛рдлрд┐рдХ рдЙрддреНрдкрдиреНрди рдЧрд░реНрджрдЫ, рдкреНрд░рддреНрдпреЗрдХ 10 рдорд┐рдиреЗрдЯрдорд╛ 4 рдбреЛрдореЗрдирд╣рд░реВ рдкрд┐рдВрдЧ рдЧрд░реНрджрдЫред рднрд┐рдбрд┐рдпреЛ рдХрд▓ рдЧрд░реНрджрд╛, рдЗрдиреНрдЯрд░рдиреЗрдЯ рдЬрдбрд╛рди рд▓рдЧрд╛рддрд╛рд░ рдмрд┐рдЧреНрд░рдиреНрдЫ, рдЬрдм рдпреЛ рд░рд╛рдореНрд░реЛ рд╣реБрди рд╕рдХреНрджреИрдиред рдЕрд╣рд┐рд▓реЗрдХреЛ рд▓рд╛рдЧрд┐ рдпреЛ рдЖрд╡рд╢реНрдпрдХ рдЫ, рддреНрдпрд╕реИрд▓реЗ рдпреЛ рд░рд╣рдиреНрдЫред
upload.fp.measure.office.com - Office 365 рд▓рд╛рдИ рдмреБрдЭрд╛рдЙрдБрдЫ, рдореИрд▓реЗ рд░рд╛рдореНрд░реЛ рд╡рд┐рд╡рд░рдг рдлреЗрд▓рд╛ рдкрд╛рд░реНрди рд╕рдХрд┐рдиред
browser.pipe.aria.microsoft.com - рдореИрд▓реЗ рд░рд╛рдореНрд░реЛ рд╡рд┐рд╡рд░рдг рдлреЗрд▓рд╛ рдкрд╛рд░реНрди рд╕рдХрд┐рдиред
рд╣рд╛рдореА рджреБрдмреИрд▓рд╛рдИ рд░реЛрдХреНрдЫреМрдВред
connect.facebook.net - рдлреЗрд╕рдмреБрдХ рдЪреНрдпрд╛рдЯ рдЕрдиреБрдкреНрд░рдпреЛрдЧред рд░рд╣рдиреНрдЫред
mediator.mail.ru mail.ru рдбреЛрдореЗрдирдХреЛ рд▓рд╛рдЧрд┐ рд╕рдмреИ рдЕрдиреБрд░реЛрдзрд╣рд░реВрдХреЛ рд╡рд┐рд╢реНрд▓реЗрд╖рдгрд▓реЗ рдареВрд▓реЛ рд╕рдВрдЦреНрдпрд╛рдорд╛ рд╡рд┐рдЬреНрдЮрд╛рдкрди рд╕реНрд░реЛрдд рд░ рддрдереНрдпрд╛рдЩреНрдХ рд╕рдЩреНрдХрд▓рдХрд╣рд░реВрдХреЛ рдЙрдкрд╕реНрдерд┐рддрд┐ рджреЗрдЦрд╛рдПрдХреЛ рдЫ, рдЬрд╕рд▓реЗ рдЕрд╡рд┐рд╢реНрд╡рд╛рд╕рдХреЛ рдХрд╛рд░рдг рдмрдирд╛рдЙрдБрдЫред mail.ru рдбреЛрдореЗрди рдкреВрд░реНрдг рд░реВрдкрдорд╛ рдХрд╛рд▓реЛрд╕реВрдЪреАрдорд╛ рдкрдард╛рдЗрдПрдХреЛ рдЫред
google-analytics.com - рдЙрдкрдХрд░рдгрд╣рд░реВрдХреЛ рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛рд▓рд╛рдИ рдЕрд╕рд░ рдЧрд░реНрджреИрди, рддреНрдпрд╕реИрд▓реЗ рд╣рд╛рдореА рдпрд╕рд▓рд╛рдИ рд░реЛрдХреНрдЫреМрдВред
doubleclick.net - рд╡рд┐рдЬреНрдЮрд╛рдкрди рдХреНрд▓рд┐рдХрд╣рд░реВ рдЧрдгрдирд╛ рдЧрд░реНрджрдЫред рд╣рд╛рдореА рд░реЛрдХреНрдЫреМрдВред
рдзреЗрд░реИ рдЕрдиреБрд░реЛрдзрд╣рд░реВ googleapis.com рдорд╛ рдЬрд╛рдиреНрдЫрдиреНред рдЕрд╡рд░реБрджреНрдзрд▓реЗ рдЯреНрдпрд╛рдмреНрд▓реЗрдЯрдорд╛ рдЫреЛрдЯреЛ рд╕рдиреНрджреЗрд╢рд╣рд░реВрдХреЛ рдЖрдирдиреНрджрд┐рдд рдмрдиреНрджрдХреЛ рдиреЗрддреГрддреНрд╡ рдЧрд░реЗрдХреЛ рдЫ, рдЬреБрди рдорд▓рд╛рдИ рдореВрд░реНрдЦ рд▓рд╛рдЧреНрдЫред рддрд░ рдкреНрд▓реЗрд╕реНрдЯреЛрд░рд▓реЗ рдХрд╛рдо рдЧрд░реНрди рдЫреЛрдбреНрдпреЛ, рддреНрдпрд╕реИрд▓реЗ рдпрд╕рд▓рд╛рдИ рдЕрдирдмреНрд▓рдХ рдЧрд░реМрдВред
cloudflare.com - рддрд┐рдиреАрд╣рд░реВ рд▓реЗрдЦреНрдЫрдиреН рдХрд┐ рдЙрдиреАрд╣рд░реВрд▓рд╛рдИ рдЦреБрд▓рд╛ рд╕реНрд░реЛрдд рдордирдкрд░реНрдЫ рд░, рд╕рд╛рдорд╛рдиреНрдпрддрдпрд╛, рдЖрдлреНрдиреЛ рдмрд╛рд░реЗрдорд╛ рдзреЗрд░реИ рд▓реЗрдЦреНрдиреБрд╣реЛрд╕реНред рдбреЛрдореЗрди рд╕рд░реНрд╡реЗрдХреНрд╖рдгрдХреЛ рддреАрд╡реНрд░рддрд╛ рдкреВрд░реНрдг рд░реВрдкрдорд╛ рд╕реНрдкрд╖реНрдЯ рдЫреИрди, рдЬреБрди рдкреНрд░рд╛рдпрдГ рдЗрдиреНрдЯрд░рдиреЗрдЯрдорд╛ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рдЧрддрд┐рд╡рд┐рдзрд┐ рднрдиреНрджрд╛ рдзреЗрд░реИ рдЙрдЪреНрдЪ рд╣реБрдиреНрдЫред рдЕрд╣рд┐рд▓реЗрдХреЛ рд▓рд╛рдЧрд┐ рдЫреЛрдбреМрдВред
рдпрд╕реИрд▓реЗ, рдЕрдиреБрд░реЛрдзрд╣рд░реВрдХреЛ рддреАрд╡реНрд░рддрд╛ рдкреНрд░рд╛рдпрдГ рдЙрдкрдХрд░рдгрд╣рд░реВрдХреЛ рдЖрд╡рд╢реНрдпрдХ рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛рд╕рдБрдЧ рд╕рдореНрдмрдиреНрдзрд┐рдд рдЫред рддрд░ рддреНрдпрд╕рд▓рд╛рдИ рдЧрддрд┐рд╡рд┐рдзрд┐рд╕рдБрдЧ рдУрднрд░рдб рдЧрд░реНрдиреЗрд╣рд░реВ рдкрдирд┐ рдлреЗрд▓рд╛ рдкрд░реЗрдХрд╛ рдЫрдиреНред
рд╕рдмреИрднрдиреНрджрд╛ рдкрд╣рд┐рд▓реЗ
рдЬрдм рддрд╛рд░рд░рд╣рд┐рдд рдЗрдиреНрдЯрд░рдиреЗрдЯ рдЦреЛрд▓рд┐рдПрдХреЛ рдЫ, рд╕рдмреИрдЬрдирд╛ рдЕрдЭреИ рд╕реБрддрд┐рд░рд╣реЗрдХрд╛ рдЫрдиреН рд░ рдХреБрди рдЕрдиреБрд░реЛрдзрд╣рд░реВ рдкрд╣рд┐рд▓реЗ рдиреЗрдЯрд╡рд░реНрдХрдорд╛ рдкрдард╛рдЗрдиреНрдЫ рднрдиреЗрд░ рд╣реЗрд░реНрди рд╕рдореНрднрд╡ рдЫред рддреНрдпрд╕реЛрднрдП, 6:50 рдорд╛ рдЗрдиреНрдЯрд░рдиреЗрдЯ рд╕рдХреНрд░рд┐рдп рд╣реБрдиреНрдЫ рд░ рд╕рдордпрдХреЛ рдкрд╣рд┐рд▓реЛ рджрд╕ рдорд┐рдиреЗрдЯ рдЕрд╡рдзрд┐рдорд╛ 60 рдбреЛрдореЗрдирд╣рд░реВ рджреИрдирд┐рдХ рдорддрджрд╛рди рдЧрд░рд┐рдиреНрдЫ:
SQL рд░рд┐рдкреЛрд░реНрдЯ рдХреНрд╡реЗрд░реА
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCрдлрд╛рдпрд░рдлрдХреНрд╕рд▓реЗ рд▓рдЧрдЗрди рдкреГрд╖реНрдардХреЛ рдЙрдкрд╕реНрдерд┐рддрд┐рдХреЛ рд▓рд╛рдЧрд┐ WLAN рдЬрдбрд╛рди рдЬрд╛рдБрдЪ рдЧрд░реНрджрдЫред
рд╕рд┐рдЯреНрд░рд┐рдХреНрд╕рд▓реЗ рдЖрдлреНрдиреЛ рд╕рд░реНрднрд░рд▓рд╛рдИ рдкрд┐рдЩ рдЧрд░реНрджреИрдЫ рдпрджреНрдпрдкрд┐ рдПрдк рд╕рдХреНрд░рд┐рдп рд░реВрдкрдорд╛ рдЪрд▓рд┐рд░рд╣реЗрдХреЛ рдЫреИрдиред
Symantec рдкреНрд░рдорд╛рдгрдкрддреНрд░рд╣рд░реВ рдкреНрд░рдорд╛рдгрд┐рдд рдЧрд░реНрджрдЫред
рдореЛрдЬрд┐рд▓рд╛рд▓реЗ рдЕрдкрдбреЗрдЯрд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рдЬрд╛рдБрдЪ рдЧрд░реНрджрдЫ, рдпрджреНрдпрдкрд┐ рд╕реЗрдЯрд┐рдЩрд╣рд░реВрдорд╛ рдореИрд▓реЗ рдпреЛ рдирдЧрд░реНрди рдЖрдЧреНрд░рд╣ рдЧрд░реЗрдВред
mmo.de рдПрдХ рдЧреЗрдорд┐рдЩ рд╕реЗрд╡рд╛ рд╣реЛред рд╕рдореНрднрд╡рддрдГ рдЕрдиреБрд░реЛрдз рдлреЗрд╕рдмреБрдХ рдЪреНрдпрд╛рдЯ рджреНрд╡рд╛рд░рд╛ рд╕реБрд░реБ рдЧрд░рд┐рдПрдХреЛ рд╣реЛред рд╣рд╛рдореА рд░реЛрдХреНрдЫреМрдВред
рдПрдкреНрдкрд▓рд▓реЗ рдЖрдлреНрдирд╛ рд╕рдмреИ рд╕реЗрд╡рд╛рд╣рд░реВ рд╕рдХреНрд░рд┐рдп рдЧрд░реНрдиреЗрдЫред api-glb-fra.smoot.apple.com - рд╡рд┐рд╡рд░рдгрдХреЛ рдЖрдзрд╛рд░рдорд╛, рдкреНрд░рддреНрдпреЗрдХ рдмрдЯрди рдХреНрд▓рд┐рдХ рдпрд╣рд╛рдБ рдЦреЛрдЬ рдЗрдиреНрдЬрд┐рди рдЕрдкреНрдЯрд┐рдорд╛рдЗрдЬреЗрд╕рди рдЙрджреНрджреЗрд╢реНрдпрдХрд╛ рд▓рд╛рдЧрд┐ рдкрдард╛рдЗрдиреНрдЫред рдЕрддреНрдпрдзрд┐рдХ рд╕рдВрджрд┐рдЧреНрдз, рддрд░ рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рд╕рдореНрдмрдиреНрдзрд┐рддред рд╣рд╛рдореА рдпрд╕рд▓рд╛рдИ рдЫреЛрдбреНрдЫреМрдВред
microsoft.com рд▓рд╛рдИ рдЕрдиреБрд░реЛрдзрд╣рд░реВрдХреЛ рд▓рд╛рдореЛ рд╕реВрдЪреА рдирд┐рдореНрди рдЫред рд╣рд╛рдореА рддреЗрд╕реНрд░реЛ рд╕реНрддрд░рдмрд╛рдЯ рд╕реБрд░реБ рд╣реБрдиреЗ рд╕рдмреИ рдбреЛрдореЗрдирд╣рд░реВ рдмреНрд▓рдХ рдЧрд░реНрдЫреМрдВред
рдзреЗрд░реИ рдкрд╣рд┐рд▓реЛ рд╕рдмрдбреЛрдореЗрдирд╣рд░реВрдХреЛ рд╕рдВрдЦреНрдпрд╛
рддреНрдпрд╕реЛрднрдП, рд╡рд╛рдпрд░рд▓реЗрд╕ рдЗрдиреНрдЯрд░рдиреЗрдЯ рдЦреЛрд▓реЗрдХреЛ рдкрд╣рд┐рд▓реЛ 10 рдорд┐рдиреЗрдЯред
рдЖрдИрдУрдПрд╕рд▓реЗ рд╕рдмреИрднрдиреНрджрд╛ рд╕рдмрдбреЛрдореЗрдирд╣рд░реВ рдкреЛрд▓ рдЧрд░реНрдЫ - 32. рдкрдЫрд┐ рдПрдиреНрдбреНрд░реЛрдЗрдб - 24, рддреНрдпрд╕рдкрдЫрд┐ рд╡рд┐рдиреНрдбреЛрдЬ - 15 рд░ рдЕрдиреНрддрд┐рдордорд╛ рдмреНрд▓реНрдпрд╛рдХрдмреЗрд░реА - 9ред
рдлреЗрд╕рдмреБрдХ рдПрдкреНрд▓рд┐рдХреЗрд╕рдирд▓реЗ рдорд╛рддреНрд░ резреж рдбреЛрдореЗрди, рд╕реНрдХрд╛рдЗрдк рдкреЛрд▓ реп рдбреЛрдореЗрдирдорд╛ рдкреЛрд▓ рдЧрд░реНрдЫред
рдЬрд╛рдирдХрд╛рд░реА рд╕реНрд░реЛрдд
рд╡рд┐рд╢реНрд▓реЗрд╖рдгрдХреЛ рд▓рд╛рдЧрд┐ рд╕реНрд░реЛрдд bind9 рд╕реНрдерд╛рдиреАрдп рд╕рд░реНрднрд░ рд▓рдЧ рдлрд╛рдЗрд▓ рдерд┐рдпреЛ, рдЬрд╕рдорд╛ рдирд┐рдореНрди рдврд╛рдБрдЪрд╛ рд╕рдорд╛рд╡реЗрд╢ рдЫ:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
рдлрд╛рдЗрд▓ sqlite рдбрд╛рдЯрд╛рдмреЗрд╕рдорд╛ рдЖрдпрд╛рдд рдЧрд░рд┐рдПрдХреЛ рдерд┐рдпреЛ рд░ SQL рдХреНрд╡реЗрд░реАрд╣рд░реВ рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдЧрд░рд┐рдпреЛред
рд╕рд░реНрднрд░рд▓реЗ рдХреНрдпрд╛рд╕рдХреЛ рд░реВрдкрдорд╛ рдХрд╛рд░реНрдп рдЧрд░реНрджрдЫ; рдЕрдиреБрд░реЛрдзрд╣рд░реВ рд░рд╛рдЙрдЯрд░рдмрд╛рдЯ рдЖрдЙрдБрдЫрдиреН, рддреНрдпрд╕реИрд▓реЗ рддреНрдпрд╣рд╛рдБ рд╕рдзреИрдВ рдПрдЙрдЯрд╛ рдЕрдиреБрд░реЛрдз рдЧреНрд░рд╛рд╣рдХ рд╣реБрдиреНрдЫред рдПрдХ рд╕рд░рд▓реАрдХреГрдд рддрд╛рд▓рд┐рдХрд╛ рд╕рдВрд░рдЪрдирд╛ рдкрд░реНрдпрд╛рдкреНрдд рдЫ, рдЕрд░реНрдерд╛рддреНред рд░рд┐рдкреЛрд░реНрдЯрд▓рд╛рдИ рдЕрдиреБрд░реЛрдзрдХреЛ рд╕рдордп, рдЕрдиреБрд░реЛрдз рдЖрдлреИрдВ, рд░ рд╕рдореВрд╣реАрдХрд░рдгрдХреЛ рд▓рд╛рдЧрд┐ рджреЛрд╕реНрд░реЛ-рд╕реНрддрд░ рдбреЛрдореЗрди рдЪрд╛рд╣рд┐рдиреНрдЫред
DDL рддрд╛рд▓рд┐рдХрд╛рд╣рд░реВ
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);рдирд┐рд╖реНрдХрд░реНрд╖рдорд╛
рдпрд╕рд░реА, рдбреЛрдореЗрди рдирд╛рдо рд╕рд░реНрднрд░ рд▓рдЧ рдХреЛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХреЛ рдкрд░рд┐рдгрд╛рдо рдХреЛ рд░реВрдк рдорд╛, 50 рднрдиреНрджрд╛ рдмрдвреА рд░реЗрдХрд░реНрдб рд╕реЗрдиреНрд╕рд░ рд░ рдмреНрд▓рдХ рд╕реВрдЪреА рдорд╛ рд░рд╛рдЦрд┐рдПрдХреЛ рдерд┐рдпреЛред
рдХреЗрд╣рд┐ рдкреНрд░рд╢реНрдирд╣рд░реВрдХреЛ рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╕рдлреНрдЯрд╡реЗрдпрд░ рдирд┐рд░реНрдорд╛рддрд╛рд╣рд░реВ рджреНрд╡рд╛рд░рд╛ рд░рд╛рдореНрд░реЛрд╕рдБрдЧ рд╡рд░реНрдгрди рдЧрд░рд┐рдПрдХреЛ рдЫ рд░ рдЖрддреНрдорд╡рд┐рд╢реНрд╡рд╛рд╕рд▓рд╛рдИ рдкреНрд░реЗрд░рд┐рдд рдЧрд░реНрджрдЫред рддрд░, рдЕрдзрд┐рдХрд╛рдВрд╢ рдЧрддрд┐рд╡рд┐рдзрд┐ рдирд┐рд░рд╛рдзрд╛рд░ рд░ рд╢рдВрдХрд╛рд╕реНрдкрдж рдЫрдиреНред
рд╕реНрд░реЛрдд: www.habr.com