پرو هوسٽر > بلاگ > انتظاميه > ڪيئن ڪندو آھي گھر جي انٽرنيٽ رهن ٿا ۽ ڊومين نالو سرور جي انگ اکر؟

ڪيئن ڪندو آھي گھر جي انٽرنيٽ رهن ٿا ۽ ڊومين نالو سرور جي انگ اکر؟

هڪ گهر روٽر (هن صورت ۾ FritzBox) تمام گهڻو رڪارڊ ڪري سگهي ٿو: ڪيترو ٽريفڪ وڃي رهيو آهي جڏهن، ڪير ڪهڙي رفتار سان ڳنڍيل آهي، وغيره. مقامي نيٽ ورڪ تي هڪ ڊومين نالو سرور (DNS) مون کي اهو معلوم ڪرڻ ۾ مدد ڪئي ته نامعلوم وصول ڪندڙن جي پويان ڇا لڪيل هو.

مجموعي طور تي، DNS گهر نيٽ ورڪ تي مثبت اثر ڇڏيو آهي: ان رفتار، استحڪام، ۽ انتظام شامل ڪيو آهي.

هيٺ ڏنل هڪ خاڪو آهي جيڪو سوال اٿاري ٿو ۽ اهو سمجهڻ جي ضرورت آهي ته ڇا ٿي رهيو آهي. نتيجا پهريان ئي فلٽر ڪري رهيا آهن سڃاتل ۽ ڪم ڪندڙ درخواستن کي ڊومين نالو سرور ڏانهن.

ڇو هر روز 60 غير واضح ڊومينز پول ڪيا ويندا آهن جڏهن ته سڀ اڃا تائين ننڊ ۾ آهن؟

هر روز، 440 نامعلوم ڊومينز فعال ڪلاڪن دوران پول ڪيا ويا آهن. اهي ڪير آهن ۽ ڇا ڪندا؟

درخواستن جو سراسري تعداد في ڏينهن في ڪلاڪ

ڪيئن ڪندو آھي گھر جي انٽرنيٽ رهن ٿا ۽ ڊومين نالو سرور جي انگ اکر؟

SQL رپورٽ سوال

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Line: DNS Requests per Day for Hours',
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))

رات جو، وائرليس رسائي بند ڪئي وئي آهي ۽ ڊوائيس سرگرمي جي توقع ڪئي وئي آهي، يعني. نامعلوم ڊومينز لاءِ پولنگ ناهي. هن جو مطلب آهي ته سڀ کان وڏي سرگرمي ڊوائيسز کان اچي ٿي آپريٽنگ سسٽم جهڙوڪ Android، iOS ۽ Blackberry OS.

اچو ته انهن ڊومينز جي فهرست ڏيون جيڪي شدت سان پول ڪيا ويا آهن. شدت پيٽرول ذريعي طئي ڪئي ويندي جيئن هر ڏينهن جي درخواستن جو تعداد، سرگرمي جي ڏينهن جو تعداد ۽ ڏينهن جي ڪيترا ڪلاڪن ۾ انهن کي نوٽيس ڪيو ويو.

سڀ متوقع مشڪوڪ لسٽ تي هئا.

شدت سان چونڊيل ڊومينز

ڪيئن ڪندو آھي گھر جي انٽرنيٽ رهن ٿا ۽ ڊومين نالو سرور جي انگ اکر؟

SQL رپورٽ سوال

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT 
  1 as 'Table: Havy DNS Requests',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests per Day',
  DH AS 'Hours per Day',
  DAYS AS 'Active Days'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  COUNT(DISTINCT REQUEST_NK) AS SUBD,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
  ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20

اسان بلاڪ ڪريون ٿا isс.blackberry.com ۽ iceberg.blackberry.com، جنهن کي ٺاهيندڙ حفاظتي سببن جي ڪري جواز پيش ڪندو. نتيجو: WLAN سان ڳنڍڻ جي ڪوشش ڪندي، اهو لاگ ان صفحي کي ڏيکاري ٿو ۽ ڪڏهن به ٻيهر ڪٿي به ڳنڍي نه ٿو. اچو ته ان کي بلاڪ ڪريون.

detectportal.firefox.com ساڳيو ميکانيزم آهي، جيڪو صرف فائر فاڪس برائوزر ۾ لاڳو ٿئي ٿو. جيڪڏهن توهان کي WLAN نيٽ ورڪ ۾ لاگ ان ٿيڻ جي ضرورت آهي، اهو پهريون ڀيرو لاگ ان صفحو ڏيکاريندو. اهو مڪمل طور تي واضح ناهي ته ايڊريس کي گهڻو ڪري پنگ ڪيو وڃي، پر ميڪانيزم واضح طور تي ٺاهيندڙ طرفان بيان ڪيل آهي.

اسڪائپ هن پروگرام جا ڪارناما هڪ کير وانگر آهن: اهو لڪائيندو آهي ۽ صرف پاڻ کي ٽاسڪ بار ۾ مارڻ جي اجازت نٿو ڏئي، نيٽ ورڪ تي تمام گهڻو ٽرئفڪ پيدا ڪري ٿو، هر 10 منٽن ۾ 4 ڊومينز پنگ ڪري ٿو. جڏهن هڪ وڊيو ڪال ڪندي، انٽرنيٽ ڪنيڪشن مسلسل خراب ٿي ويندو آهي، جڏهن اهو بهتر نه ٿي سگهي. ھاڻي اھو ضروري آھي، تنھنڪري رھي ٿو.

upload.fp.measure.office.com - Office 365 ڏانهن اشارو ڪري ٿو، مون کي سٺي وضاحت نه ملي سگهي.
browser.pipe.aria.microsoft.com - مون کي سٺي وضاحت نه ملي سگهي.
اسان ٻنهي کي بلاڪ ڪيو.

connect.facebook.net - فيسبوڪ چيٽ ايپليڪيشن. رهي ٿو.

mediator.mail.ru mail.ru ڊومين لاءِ سڀني درخواستن جو تجزيو ڏيکاريو ويو ته وڏي تعداد ۾ اشتهارن جي وسيلن ۽ انگ اکر گڏ ڪرڻ وارن جي موجودگي، جنهن جي ڪري بي اعتمادي پيدا ٿئي ٿي. mail.ru ڊومين مڪمل طور تي بليڪ لسٽ ڏانهن موڪليو ويو آهي.

google-analytics.com - ڊوائيسز جي ڪارڪردگي کي متاثر نٿو ڪري، تنهنڪري اسان ان کي بلاڪ ڪريون ٿا.
doubleclick.net - اشتهارن جي ڪلڪن کي شمار ڪري ٿو. اسان بلاڪ.

ڪيتريون ئي درخواستون googleapis.com ڏانهن وڃو. بلاڪ ٿيڻ سبب ٽيبليٽ تي مختصر پيغامن جي خوشي واري بندش ٿي وئي آهي، جيڪي مون کي بيوقوف لڳي رهيا آهن. پر پلے اسٽور ڪم ڪرڻ بند ڪيو، سو اچو ته ان کي بلاڪ ڪريون.

cloudflare.com - اهي لکن ٿا ته اهي کليل ذريعو پسند ڪن ٿا ۽ عام طور تي، پنهنجي باري ۾ گهڻو ڪجهه لکندا آهن. ڊومين سروي جي شدت مڪمل طور تي واضح نه آهي، جيڪا اڪثر ڪري انٽرنيٽ تي حقيقي سرگرمي کان تمام گهڻو آهي. اچو ته ان کي هاڻي لاء ڇڏي ڏيو.

اهڙيء طرح، درخواستن جي شدت اڪثر ڪري ڊوائيسز جي گهربل ڪارڪردگي سان لاڳاپيل آهي. پر جن ان کي سرگرميءَ سان ختم ڪيو، تن کي به دريافت ڪيو ويو.

سڀ کان پهرين

جڏهن وائرليس انٽرنيٽ چالو آهي، هرڪو اڃا تائين ننڊ ۾ آهي ۽ اهو ڏسڻ ممڪن آهي ته نيٽ ورڪ ڏانهن پهرين درخواستون موڪليا وڃن. تنهن ڪري، 6:50 تي انٽرنيٽ ڦري ٿو ۽ وقت جي پهرين ڏهن منٽن جي عرصي ۾ 60 ڊومينز روزانه پول ڪيا ويندا آهن:

ڪيئن ڪندو آھي گھر جي انٽرنيٽ رهن ٿا ۽ ڊومين نالو سرور جي انگ اکر؟

SQL رپورٽ سوال

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Table: First DNS Requests at 06:00',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests',
  DAYS AS 'Active Days',
  strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
  strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  MIN(EVENT_DT) AS MIN_DT,
  MAX(EVENT_DT) AS MAX_DT,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
  AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
 )
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESC

فائر فاکس لاگ ان پيج جي موجودگي لاءِ WLAN ڪنيڪشن چيڪ ڪري ٿو.
Citrix ان جي سرور کي پنگ ڪري رهيو آهي جيتوڻيڪ ايپليڪيشن فعال طور تي نه هلي رهي آهي.
Symantec سرٽيفڪيٽ جي تصديق ڪري ٿي.
Mozilla اپڊيٽ لاءِ چيڪ ڪري ٿو، جيتوڻيڪ سيٽنگون ۾ مون چيو ته اهو نه ڪرڻ لاءِ.

mmo.de هڪ گيمنگ سروس آهي. گهڻو ڪري اها درخواست فيس بوڪ چيٽ ذريعي شروع ڪئي وئي آهي. اسان بلاڪ.

ايپل پنهنجي سڀني خدمتن کي چالو ڪندو. api-glb-fra.smoot.apple.com - تفصيل سان فيصلو ڪندي، هر بٽڻ تي ڪلڪ ڪيو ويو آهي هتي سرچ انجڻ جي اصلاح جي مقصدن لاءِ. انتهائي مشڪوڪ، پر ڪارڪردگي سان لاڳاپيل. اسان ان کي ڇڏي ڏيو.

هيٺ ڏنل درخواستن جي هڪ ڊگهي فهرست آهي microsoft.com ڏانهن. اسان ٽئين سطح کان شروع ٿيندڙ سڀني ڊومينز کي بلاڪ ڪريون ٿا.

تمام پهرين ذيلي ڊومينز جو تعداد
ڪيئن ڪندو آھي گھر جي انٽرنيٽ رهن ٿا ۽ ڊومين نالو سرور جي انگ اکر؟

تنهن ڪري، وائرليس انٽرنيٽ تي موڙ جي پهرين 10 منٽ.
iOS سڀ کان وڌيڪ ذيلي ڊومينز پول ڪري ٿو - 32. ان کان پوءِ Android - 24، پوءِ ونڊوز - 15 ۽ آخر ۾ بليڪ بيري - 9.
فيسبوڪ ايپليڪيشن اڪيلي پولس 10 ڊومينز، اسڪائپ پولز 9 ڊومينز.

معلومات جو هڪ ذريعو

تجزيو لاء ذريعو bind9 مقامي سرور لاگ فائل هئي، جنهن ۾ هيٺ ڏنل فارميٽ شامل آهي:

01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)

فائل کي sqlite ڊيٽابيس ۾ درآمد ڪيو ويو ۽ SQL سوالن کي استعمال ڪندي تجزيو ڪيو ويو.
سرور هڪ ڪيش طور ڪم ڪري ٿو؛ درخواستون روٽر کان اچن ٿيون، تنهنڪري هميشه هڪ درخواست ڪلائنٽ آهي. هڪ سادي ٽيبل جي جوڙجڪ ڪافي آهي، يعني. رپورٽ کي درخواست جي وقت جي ضرورت آهي, درخواست پاڻ, ۽ ٻئي-سطح ڊومين گروپن لاء.

ڊي ڊي ايل ٽيبل

CREATE TABLE STG_BIND9_LOG (
  LINE_NK       INTEGER NOT NULL DEFAULT 1,
  DATE_NK       TEXT NOT NULL DEFAULT 'n.a.',
  TIME_NK       TEXT NOT NULL DEFAULT 'n.a.',
  CLI           TEXT, -- client
  IP            TEXT,
  REQUEST_NK    TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
  DOMAIN        TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
  QUERY         TEXT,
  UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);

ٿڪل

اهڙيء طرح، ڊومين نالو سرور لاگ جي تجزيو جي نتيجي ۾، 50 کان وڌيڪ رڪارڊ سينسر ڪيا ويا ۽ بلاڪ لسٽ تي رکيا ويا.

ڪجھ سوالن جي ضرورت کي سافٽ ويئر ٺاهيندڙن پاران چڱي طرح بيان ڪيو ويو آھي ۽ اعتماد کي متاثر ڪري ٿو. بهرحال، سرگرمي جو گهڻو حصو بي بنياد ۽ قابل اعتراض آهي.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو