Роутери хонагӣ (дар ин ҳолат FritzBox) метавонад бисёр чизҳоро сабт кунад: чӣ қадар трафик кай меравад, кӣ бо кадом суръат пайваст мешавад ва ғайра. Сервери номи домейн (DNS) дар шабакаи маҳаллӣ ба ман кӯмак кард, ки дар паси гирандагони номаълум чӣ пинҳон аст.
Дар маҷмӯъ, DNS ба шабакаи хонагӣ таъсири мусбӣ расонд: он суръат, субот ва идоракуниро илова кард.
Дар зер диаграммае оварда шудааст, ки саволҳо ва зарурати фаҳмидани ҳодисаро ба миён овард. Натиҷаҳо аллакай дархостҳои маълум ва корӣ ба серверҳои номи домениро филтр мекунанд.
Чаро ҳамарӯза дар ҳоле ки ҳама дар хоб ҳастанд, 60 домени норавшан пурсиш мешаванд?
Ҳар рӯз, 440 доменҳои номаълум дар соатҳои фаъол пурсиш карда мешаванд. Онҳо кистанд ва чӣ кор мекунанд?
Шумораи миёнаи дархостҳо дар як рӯз ба соат
Дархости гузориши SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))Шабона, дастрасии бесим хомӯш карда мешавад ва фаъолияти дастгоҳ дар назар аст, яъне. барои доменҳои номаълум ягон овоздиҳӣ вуҷуд надорад. Ин маънои онро дорад, ки бузургтарин фаъолият аз дастгоҳҳои дорои системаҳои оператсионӣ ба монанди Android, iOS ва Blackberry OS мебошад.
Биёед доменҳоеро номбар кунем, ки пурсиш карда мешаванд. Шиддат аз рӯи параметрҳо, аз қабили шумораи дархостҳо дар як рӯз, шумораи рӯзҳои фаъолият ва дар чанд соати рӯз мушоҳида шудани онҳо муайян карда мешавад.
Ҳама гумонбарони интизоршуда дар рӯйхат буданд.
Доменҳои пурсиш пуршиддат
Дархости гузориши SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20Мо isс.blackberry.com ва iceberg.blackberry.com-ро, ки истеҳсолкунанда бо сабабҳои амниятӣ асоснок мекунад, масдуд мекунем. Натиҷа: ҳангоми кӯшиши пайваст шудан ба WLAN, он саҳифаи воридшавиро нишон медиҳад ва дигар ҳеҷ гоҳ ба ягон ҷо пайваст намешавад. Биёед онро боз кунем.
detectportal.firefox.com ҳамон механизм аст, ки танҳо дар браузери Firefox амалӣ карда мешавад. Агар шумо бояд ба шабакаи WLAN ворид шавед, он аввал саҳифаи воридшавиро нишон медиҳад. Ин комилан равшан нест, ки чаро суроға бояд ин қадар зуд-зуд пахш карда шавад, аммо механизмро истеҳсолкунанда ба таври возеҳ тавсиф мекунад.
скайп. Амалҳои ин барнома ба кирм шабоҳат доранд: вай пинҳон мешавад ва танҳо имкон намедиҳад, ки худро дар панели вазифаҳо кушанд, трафики зиёдро дар шабака тавлид мекунад, дар ҳар 10 дақиқа 4 доменро пинг мекунад. Ҳангоми задани занги видеоӣ, пайвастагии интернет пайваста қатъ мешавад, вақте ки беҳтар нест. Ҳоло ин зарур аст, бинобар ин боқӣ мемонад.
upload.fp.measure.office.com - ба Office 365 дахл дорад, ман тавсифи муносиб пайдо карда натавонистам.
browser.pipe.aria.microsoft.com - Ман тавсифи муносиб пайдо карда натавонистам.
Мо ҳардуро маҳкам мекунем.
connect.facebook.net - замимаи чати Facebook. боқӣ мемонад.
mediator.mail.ru Таҳлили ҳама дархостҳо барои домени mail.ru мавҷудияти шумораи зиёди захираҳои таблиғотӣ ва коллекторҳои оморро нишон дод, ки боиси нобоварӣ мегардад. Домени mail.ru пурра ба рӯйхати сиёҳ фиристода мешавад.
google-analytics.com - ба фаъолияти дастгоҳҳо таъсир намерасонад, аз ин рӯ мо онро маҳкам мекунем.
doubleclick.net - кликҳои таблиғро ҳисоб мекунад. Мо блок мекунем.
Бисёр дархостҳо ба googleapis.com мераванд. Бастан боиси хушҳолӣ қатъ шудани паёмҳои кӯтоҳ дар планшет гардид, ки ба назари ман аблаҳӣ менамояд. Аммо мағозаи бозӣ аз кор монд, пас биёед онро боз кунем.
cloudflare.com - онҳо менависанд, ки манбаи кушодаро дӯст медоранд ва дар маҷмӯъ, дар бораи худ бисёр менависанд. Шиддати тадқиқи домен комилан равшан нест, ки аксар вақт аз фаъолияти воқеии Интернет хеле баландтар аст. Биёед ҳоло онро тарк кунем.
Ҳамин тариқ, шиддатнокии дархостҳо аксар вақт ба функсияҳои зарурии дастгоҳҳо вобаста аст. Аммо онхое, ки фаъолияти худро барзиёд ичро кардаанд, низ ошкор гардиданд.
Аввалин
Вақте ки Интернети бесим фаъол аст, ҳама ҳанӯз дар хобанд ва дидан мумкин аст, ки кадом дархостҳо ба шабака аввал фиристода мешаванд. Ҳамин тариқ, соати 6:50 интернет фаъол мешавад ва дар даҳ дақиқаи аввали вақт ҳамарӯза 60 домен пурсиш мешавад:
Дархости гузориши SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCFirefox пайвасти WLAN-ро барои мавҷудияти саҳифаи воридшавӣ тафтиш мекунад.
Citrix сервери худро пинг мекунад, гарчанде ки барнома фаъол нест.
Symantec сертификатҳоро тафтиш мекунад.
Mozilla навсозиро тафтиш мекунад, гарчанде ки дар танзимот ман хоҳиш кардам, ки ин корро накунам.
mmo.de як хидмати бозӣ аст. Эҳтимол, дархост тавассути чати Facebook оғоз шудааст. Мо блок мекунем.
Apple ҳама хидматҳои худро фаъол мекунад. api-glb-fra.smoot.apple.com - аз рӯи тавсиф, ҳар як клики тугма барои беҳсозии системаи ҷустуҷӯӣ ба ин ҷо фиристода мешавад. Хеле шубҳанок, вале бо функсия алоқаманд аст. Мо онро тарк мекунем.
Дар зер рӯйхати дарози дархостҳо ба microsoft.com оварда шудааст. Мо ҳама доменҳоро аз сатҳи сеюм сар карда маҳкам мекунем.
Шумораи зердоменҳои аввалин
Ҳамин тавр, 10 дақиқаи аввали фаъол кардани Интернети бесим.
Аз ҳама зердоменҳои iOS пурсиш мекунанд - 32. Дар паи Android - 24, баъд Windows - 15 ва дар ниҳоят Blackberry - 9.
Танҳо як барномаи Facebook 10 доменро, skype 9 доменро пурсиш мекунад.
Манбаи маълумот
Манбаи таҳлил файли сабти сервери маҳаллӣ bind9 буд, ки формати зеринро дар бар мегирад:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
Файл ба пойгоҳи додаҳои sqlite ворид карда шуд ва бо истифода аз дархостҳои SQL таҳлил карда шуд.
Сервер ҳамчун кэш амал мекунад; дархостҳо аз роутер меоянд, аз ин рӯ ҳамеша як муштарии дархост вуҷуд дорад. Сохтори ҷадвали соддакардашуда кифоя аст, яъне. Ҳисобот вақти дархост, худи дархост ва домени сатҳи дуюмро барои гурӯҳбандӣ талаб мекунад.
Ҷадвалҳои DDL
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);хулоса
Ҳамин тариқ, дар натиҷаи таҳлили гузориши сервери номи доменҳо, беш аз 50 сабт сензура ва дар рӯйхати блок ҷойгир карда шуданд.
Зарурати баъзе дархостҳо аз ҷониби истеҳсолкунандагони нармафзор хуб тавсиф карда шудааст ва эътимодро ба вуҷуд меорад. Бо вуҷуди ин, аксари фаъолиятҳо беасос ва шубҳаоваранд.
Манбаъ: will.com