ProHoster > بلاګ > اداره > د کور انټرنیټ څنګه ژوند کوي او د ډومین نوم سرور احصایې؟

د کور انټرنیټ څنګه ژوند کوي او د ډومین نوم سرور احصایې؟

د کور روټر (په دې حالت کې FritzBox) کولی شي ډیر څه ثبت کړي: څومره ټرافیک کله تیریږي، څوک په کوم سرعت سره وصل دی، او داسې نور. په محلي شبکه کې د ډومین نوم سرور (DNS) ما سره مرسته وکړه چې معلومه کړم چې د نامعلومو ترلاسه کونکو تر شا پټ څه دي.

په ټولیز ډول، DNS د کور په شبکه کې مثبت اغیزه درلوده: دا سرعت، ثبات، او مدیریت اضافه کړي.

لاندې یو ډیاګرام دی چې پوښتنې یې راپورته کړې او د پوهیدو اړتیا یې څه پیښیږي. پایلې دمخه د ډومین نوم سرورونو ته پیژندل شوي او کاري غوښتنې فلټر کوي.

ولې هره ورځ 60 ناڅرګند ډومینونه رایه ورکول کیږي پداسې حال کې چې هرڅوک لاهم ویده دي؟

هره ورځ، 440 نامعلوم ډومینونه د فعال ساعتونو په جریان کې رایه ورکول کیږي. دوی څوک دي او څه کوي؟

هره ورځ په ساعت کې د غوښتنو اوسط شمیر

د کور انټرنیټ څنګه ژوند کوي او د ډومین نوم سرور احصایې؟

د SQL راپور پوښتنه

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Line: DNS Requests per Day for Hours',
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))

په شپه کې، د بېسیم لاسرسی غیر فعال دی او د وسیلې فعالیت تمه کیږي، د بیلګې په توګه. د نامعلومو ډومینونو لپاره هیڅ رایې نشته. دا پدې مانا ده چې ترټولو لوی فعالیت د عملیاتي سیسټمونو لکه Android، iOS او بلیک بیري OS سره د وسیلو څخه راځي.

راځئ هغه ډومینونه لیست کړو چې په کلکه رایه ورکول کیږي. شدت به د پیرامیټونو لخوا ټاکل کیږي لکه په ورځ کې د غوښتنو شمیر، د فعالیت ورځو شمیر او د ورځې په څو ساعتونو کې دوی لیدل شوي.

ټول متوقع شکمن کسان په لیست کې وو.

په شدت سره رایه اچونه شوې ډومینونه

د کور انټرنیټ څنګه ژوند کوي او د ډومین نوم سرور احصایې؟

د SQL راپور پوښتنه

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT 
  1 as 'Table: Havy DNS Requests',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests per Day',
  DH AS 'Hours per Day',
  DAYS AS 'Active Days'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  COUNT(DISTINCT REQUEST_NK) AS SUBD,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
  ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20

موږ isс.blackberry.com او iceberg.blackberry.com بلاک کوو، کوم چې جوړونکي به د امنیتي دلایلو لپاره توجیه کړي. پایله: کله چې د WLAN سره د نښلولو هڅه وکړئ، دا د ننوتلو پاڼه ښیي او هیڅکله بیا هیڅ ځای نه نښلوي. راځئ چې دا خلاص کړو.

detectportal.firefox.com ورته میکانیزم دی، یوازې د فایرفوکس براوزر کې پلي کیږي. که تاسو د WLAN شبکې ته ننوتلو ته اړتیا لرئ، دا به لومړی د ننوتلو پاڼه وښيي. دا په بشپړ ډول روښانه نده چې ولې پته باید ډیری وختونه پینګ شي ، مګر میکانیزم په روښانه ډول د جوړونکي لخوا تشریح شوی.

سکایپ د دې برنامه کړنې د کیم سره ورته دي: دا پټوي او په ساده ډول ځان ته اجازه نه ورکوي چې په ټاسک بار کې ووژل شي ، په شبکه کې ډیر ترافیک رامینځته کوي ، په هرو 10 دقیقو کې 4 ډومینونه پینګ کوي. کله چې د ویډیو کال کول، د انټرنیټ اتصال په دوامداره توګه ماتیږي، کله چې دا غوره نه وي. د اوس لپاره دا اړینه ده، نو دا پاتې ده.

upload.fp.measure.office.com - د دفتر 365 ته اشاره کوي، زه نشم کولی ښه توضیح ومومم.
browser.pipe.aria.microsoft.com - زه نشم کولی ښه توضیح ومومم.
موږ دواړه بندوو.

connect.facebook.net - د فیسبوک چیټ اپلیکیشن. پاتې کیږي.

mediator.mail.ru د mail.ru ډومین لپاره د ټولو غوښتنو تحلیل د اعلاناتو سرچینو او احصایې راټولونکو لوی شمیر شتون ښودلی چې د بې باورۍ لامل کیږي. د mail.ru ډومین په بشپړ ډول تور لیست ته لیږل کیږي.

google-analytics.com - د وسایطو فعالیت اغیزه نه کوي، نو موږ یې بندوو.
doubleclick.net - د اعلاناتو کلیکونه شمیرل کیږي. موږ بلاک کوو.

ډیری غوښتنې googleapis.com ته ځي. بلاک کول په ټابلیټ کې د لنډ پیغامونو د خوښۍ بندیدو لامل شوی ، کوم چې ما ته احمق ښکاري. مګر د پلی سټور کار کول بند کړل ، نو راځئ چې دا خلاص کړو.

cloudflare.com - دوی لیکي چې دوی د خلاصې سرچینې سره مینه لري او په عموم کې د ځان په اړه ډیر څه لیکي. د ډومین سروې شدت په بشپړه توګه روښانه نده، کوم چې ډیری وختونه په انټرنیټ کې د حقیقي فعالیت په پرتله خورا لوړ وي. راځئ چې دا د اوس لپاره پریږدو.

په دې توګه، د غوښتنو شدت اکثرا د وسایلو اړین فعالیت پورې اړه لري. مګر هغه کسان چې د فعالیت سره یې ډیر کړي هم وموندل شول.

تر ټولو لومړی

کله چې بېسیم انټرنیټ چالان شي، هرڅوک لاهم ویده وي او دا ممکنه ده چې وګورئ چې کومې غوښتنې لومړی شبکې ته لیږل کیږي. نو، په 6:50 کې انټرنیټ بدلیږي او د وخت په لومړیو لسو دقیقو کې هره ورځ 60 ډومینونه رایه ورکول کیږي:

د کور انټرنیټ څنګه ژوند کوي او د ډومین نوم سرور احصایې؟

د SQL راپور پوښتنه

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Table: First DNS Requests at 06:00',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests',
  DAYS AS 'Active Days',
  strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
  strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  MIN(EVENT_DT) AS MIN_DT,
  MAX(EVENT_DT) AS MAX_DT,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
  AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
 )
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESC

فایرفوکس د ننوتلو پاڼې شتون لپاره د WLAN اتصال چک کوي.
Citrix خپل سرور پینګ کوي پداسې حال کې چې غوښتنلیک په فعاله توګه نه روان دی.
Symantec سندونه تاییدوي.
موزیلا د تازه معلوماتو لپاره چک کوي، که څه هم په ترتیباتو کې ما وغوښتل چې دا کار ونه کړي.

mmo.de د لوبو خدمت دی. ډیری احتمال دا غوښتنه د فیسبوک چیٹ لخوا پیل شوې. موږ بلاک کوو.

ایپل به خپل ټول خدمات فعال کړي. api-glb-fra.smoot.apple.com - د توضیحاتو په اساس قضاوت کول، د هر تڼۍ کلیک دلته د لټون انجن د اصلاح کولو موخو لپاره لیږل کیږي. ډیر شکمن، مګر د فعالیت سره تړاو لري. موږ یې پریږدو.

لاندې microsoft.com ته د غوښتنو اوږد لیست دی. موږ ټول ډومینونه بندوو چې د دریمې کچې څخه پیل کیږي.

د لومړي فرعي ډومینونو شمیر
د کور انټرنیټ څنګه ژوند کوي او د ډومین نوم سرور احصایې؟

نو، د بېسیم انټرنیټ د پیلولو لومړۍ 10 دقیقې.
iOS تر ټولو ډیر فرعي ډومینونه رای ورکوي - 32. وروسته د Android - 24، بیا وینډوز - 15 او په پای کې بلیک بیري - 9.
د فیسبوک غوښتنلیک یوازې د 10 ډومینونو رایې اچوي، د سکایپ ټولپوښتنې 9 ډومینونه.

د معلوماتو سرچینه

د تحلیل لپاره سرچینه د bind9 محلي سرور لاګ فایل و، کوم چې لاندې بڼه لري:

01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)

فایل په sqlite ډیټابیس کې وارد شوی او د SQL پوښتنو په کارولو سره تحلیل شوی.
سرور د کیچ په توګه کار کوي؛ غوښتنې د روټر څخه راځي، نو تل د غوښتنې یو مراجع شتون لري. یو ساده میز جوړښت کافي دی، د مثال په توګه. راپور د غوښتنې وخت، غوښتنه پخپله، او د ګروپ کولو لپاره د دویمې کچې ډومین ته اړتیا لري.

د DDL میزونه

CREATE TABLE STG_BIND9_LOG (
  LINE_NK       INTEGER NOT NULL DEFAULT 1,
  DATE_NK       TEXT NOT NULL DEFAULT 'n.a.',
  TIME_NK       TEXT NOT NULL DEFAULT 'n.a.',
  CLI           TEXT, -- client
  IP            TEXT,
  REQUEST_NK    TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
  DOMAIN        TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
  QUERY         TEXT,
  UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);

پایلې

په دې توګه، د ډومین نوم سرور لاګ تحلیل په پایله کې، له 50 څخه ډیر ریکارډونه سانسور شوي او د بلاک لیست کې ځای پرځای شوي.

د ځینو پوښتنو اړتیا د سافټویر جوړونکو لخوا په ښه توګه تشریح شوي او باور هڅوي. په هرصورت، ډیری فعالیتونه بې بنسټه او د پوښتنې وړ دي.

سرچینه: www.habr.com

Add a comment