Një ruter shtëpiak (në këtë rast FritzBox) mund të regjistrojë shumë: sa trafik po shkon kur, kush është i lidhur me çfarë shpejtësie, etj. Një server emri domain (DNS) në rrjetin lokal më ndihmoi të zbuloja se çfarë fshihej pas marrësve të panjohur.
Në përgjithësi, DNS ka pasur një ndikim pozitiv në rrjetin e shtëpisë: ka shtuar shpejtësinë, stabilitetin dhe menaxhueshmërinë.
Më poshtë është një diagram që ngriti pyetje dhe nevojën për të kuptuar se çfarë po ndodhte. Rezultatet tashmë filtrojnë kërkesat e njohura dhe funksionale për serverët e emrave të domenit.
Pse 60 domene të paqarta anketohen çdo ditë ndërsa të gjithë janë ende në gjumë?
Çdo ditë anketohen 440 domene të panjohura gjatë orëve aktive. Kush janë ata dhe çfarë bëjnë?
Numri mesatar i kërkesave në ditë për orë
Kërkesa e raportit SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))Natën, aksesi me valë është i çaktivizuar dhe pritet aktiviteti i pajisjes, d.m.th. nuk ka sondazh për domene të panjohura. Kjo do të thotë se aktiviteti më i madh vjen nga pajisjet me sisteme operative si Android, iOS dhe Blackberry OS.
Le të rendisim domenet që anketohen intensivisht. Intensiteti do të përcaktohet nga parametra të tillë si numri i kërkesave në ditë, numri i ditëve të aktivitetit dhe në sa orë të ditës janë vënë re.
Të gjithë të dyshuarit e pritur ishin në listë.
Domenet e anketuara intensivisht
Kërkesa e raportit SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20Ne bllokojmë isс.blackberry.com dhe iceberg.blackberry.com, të cilat prodhuesi do t'i justifikojë për arsye sigurie. Rezultati: kur përpiqeni të lidheni me WLAN, ai tregon faqen e hyrjes dhe nuk lidhet më askund. Le ta zhbllokojmë.
detectportal.firefox.com është i njëjti mekanizëm, i zbatuar vetëm në shfletuesin Firefox. Nëse keni nevojë të identifikoheni në rrjetin WLAN, ai fillimisht do të shfaqë faqen e hyrjes. Nuk është plotësisht e qartë pse adresa duhet të pingohet kaq shpesh, por mekanizmi përshkruhet qartë nga prodhuesi.
skype. Veprimet e këtij programi janë të ngjashme me një krimb: ai fshihet dhe nuk lejon thjesht të vritet në shiritin e detyrave, gjeneron shumë trafik në rrjet, ping 10 domene çdo 4 minuta. Kur bëni një videotelefonatë, lidhja e internetit prishet vazhdimisht, kur nuk mund të jetë më mirë. Tani për tani është e nevojshme, kështu që mbetet.
upload.fp.measure.office.com - i referohet Office 365, nuk mund të gjeja një përshkrim të mirë.
browser.pipe.aria.microsoft.com - Nuk mund të gjeja një përshkrim të mirë.
Ne i bllokojmë të dyja.
connect.facebook.net - aplikacioni i bisedës në Facebook. Mbetet.
mediator.mail.ru Një analizë e të gjitha kërkesave për domenin mail.ru tregoi praninë e një numri të madh të burimeve reklamuese dhe mbledhësve të statistikave, gjë që shkakton mosbesim. Domeni mail.ru dërgohet tërësisht në listën e zezë.
google-analytics.com - nuk ndikon në funksionalitetin e pajisjeve, kështu që ne e bllokojmë atë.
doubleclick.net - numëron klikimet e reklamave. Ne bllokojmë.
Shumë kërkesa shkojnë në googleapis.com. Bllokimi ka çuar në mbylljen e gëzueshme të mesazheve të shkurtra në tablet, të cilat më duken marrëzi. Por playstore pushoi së punuari, ndaj le ta zhbllokojmë.
cloudflare.com - ata shkruajnë se e duan burimin e hapur dhe, në përgjithësi, shkruajnë shumë për veten e tyre. Intensiteti i anketimit të domenit nuk është plotësisht i qartë, i cili shpesh është shumë më i lartë se aktiviteti aktual në internet. Le ta lëmë për momentin.
Kështu, intensiteti i kërkesave shpesh lidhet me funksionalitetin e kërkuar të pajisjeve. Por u zbuluan edhe ata që e tepruan me aktivitet.
E para
Kur aktivizohet interneti me valë, të gjithë janë ende në gjumë dhe është e mundur të shihet se cilat kërkesa dërgohen në rrjet së pari. Pra, në orën 6:50 ndizet interneti dhe në dhjetëminutëshin e parë 60 domene anketohen çdo ditë:
Kërkesa e raportit SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCFirefox-i kontrollon lidhjen WLAN për praninë e një faqe identifikimi.
Citrix po bën ping serverin e tij edhe pse aplikacioni nuk po funksionon në mënyrë aktive.
Symantec verifikon certifikatat.
Mozilla kontrollon për përditësime, megjithëse në cilësimet kërkova të mos e bëja këtë.
mmo.de është një shërbim lojrash. Me shumë mundësi kërkesa është iniciuar nga facebook chat. Ne bllokojmë.
Apple do të aktivizojë të gjitha shërbimet e saj. api-glb-fra.smoot.apple.com - duke gjykuar nga përshkrimi, çdo klikim i butonit dërgohet këtu për qëllime të optimizimit të motorëve të kërkimit. Shumë e dyshimtë, por e lidhur me funksionalitetin. Ne e lëmë atë.
Më poshtë është një listë e gjatë kërkesash për microsoft.com. Ne bllokojmë të gjitha domenet duke filluar nga niveli i tretë.
Numri i nëndomeneve të para
Pra, 10 minutat e para të ndezjes së internetit me valë.
iOS ka më shumë nëndomene - 32. I ndjekur nga Android - 24, më pas Windows - 15 dhe së fundi Blackberry - 9.
Vetëm aplikacioni facebook anketon 10 domene, skype anketon 9 domene.
Burimi i informacionit
Burimi për analizën ishte skedari i regjistrimit të serverit lokal bind9, i cili përmban formatin e mëposhtëm:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
Skedari u importua në një bazë të dhënash sqlite dhe u analizua duke përdorur pyetje SQL.
Serveri vepron si një cache; kërkesat vijnë nga ruteri, kështu që ka gjithmonë një klient kërkesë. Mjafton një strukturë e thjeshtuar e tabelës, d.m.th. Raporti kërkon kohën e kërkesës, vetë kërkesën dhe domenin e nivelit të dytë për grupim.
Tabelat DDL
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);Prodhim
Kështu, si rezultat i analizës së regjistrit të serverit të emrave të domenit, më shumë se 50 regjistrime u censuruan dhe u vendosën në listën e bllokut.
Domosdoshmëria e disa pyetjeve përshkruhet mirë nga prodhuesit e softuerit dhe frymëzon besim. Megjithatë, pjesa më e madhe e aktivitetit është e pabazuar dhe e diskutueshme.
Burimi: www.habr.com