โปรโฮสต์ > บล็อก > การบริหาร > อินเทอร์เน็ตในบ้านใช้งานได้จริงและสถิติเซิร์ฟเวอร์ชื่อโดเมนเป็นอย่างไร

อินเทอร์เน็ตในบ้านใช้งานได้จริงและสถิติเซิร์ฟเวอร์ชื่อโดเมนเป็นอย่างไร

เราเตอร์ที่บ้าน (ในกรณีนี้คือ FritzBox) สามารถบันทึกได้มาก เช่น ปริมาณการรับส่งข้อมูลที่เกิดขึ้นเมื่อใด ใครเชื่อมต่อด้วยความเร็วเท่าใด เป็นต้น เซิร์ฟเวอร์ชื่อโดเมน (DNS) บนเครือข่ายท้องถิ่นช่วยให้ฉันค้นหาสิ่งที่ซ่อนอยู่เบื้องหลังผู้รับที่ไม่รู้จัก

โดยรวมแล้ว DNS มีผลกระทบเชิงบวกต่อเครือข่ายในบ้าน: ได้เพิ่มความเร็ว ความเสถียร และความสามารถในการจัดการ

ด้านล่างนี้เป็นแผนภาพที่ทำให้เกิดคำถามและความจำเป็นในการทำความเข้าใจว่าเกิดอะไรขึ้น ผลลัพธ์ได้กรองคำขอที่รู้จักและคำขอทำงานไปยังเนมเซิร์ฟเวอร์โดเมนออกแล้ว

เหตุใดจึงมีการสำรวจโดเมนที่ไม่ชัดเจน 60 โดเมนทุกวันในขณะที่ทุกคนยังคงหลับอยู่

ทุกวัน มีการสำรวจโดเมนที่ไม่รู้จัก 440 โดเมนในช่วงเวลาทำงาน พวกเขาเป็นใครและพวกเขาทำอะไร?

จำนวนคำขอโดยเฉลี่ยต่อวันต่อชั่วโมง

อินเทอร์เน็ตในบ้านใช้งานได้จริงและสถิติเซิร์ฟเวอร์ชื่อโดเมนเป็นอย่างไร

แบบสอบถามรายงาน SQL

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Line: DNS Requests per Day for Hours',
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))

ในเวลากลางคืน การเข้าถึงแบบไร้สายจะถูกปิดใช้งานและคาดว่าจะมีกิจกรรมของอุปกรณ์ เช่น ไม่มีการโพลสำหรับโดเมนที่ไม่รู้จัก ซึ่งหมายความว่ากิจกรรมที่ยิ่งใหญ่ที่สุดมาจากอุปกรณ์ที่มีระบบปฏิบัติการ เช่น Android, iOS และ Blackberry OS

เรามาแสดงรายการโดเมนที่ถูกสำรวจอย่างเข้มข้นกัน ระดับความเข้มข้นจะถูกกำหนดโดยพารามิเตอร์ เช่น จำนวนคำขอต่อวัน จำนวนวันของกิจกรรม และจำนวนชั่วโมงในแต่ละวันที่สังเกตเห็น

ผู้ต้องสงสัยที่คาดหวังทั้งหมดอยู่ในรายชื่อ

โดเมนที่สำรวจอย่างเข้มข้น

อินเทอร์เน็ตในบ้านใช้งานได้จริงและสถิติเซิร์ฟเวอร์ชื่อโดเมนเป็นอย่างไร

แบบสอบถามรายงาน SQL

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT 
  1 as 'Table: Havy DNS Requests',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests per Day',
  DH AS 'Hours per Day',
  DAYS AS 'Active Days'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  COUNT(DISTINCT REQUEST_NK) AS SUBD,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
  ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20

เราบล็อกisс.blackberry.comและiceberg.blackberry.com ซึ่งผู้ผลิตจะชี้แจงเหตุผลด้านความปลอดภัย ผลลัพธ์: เมื่อพยายามเชื่อมต่อกับ WLAN มันจะแสดงหน้าเข้าสู่ระบบและไม่ต้องเชื่อมต่อที่ไหนอีกเลย มาปลดล็อคกันเถอะ

detectorportal.firefox.com เป็นกลไกเดียวกัน ใช้งานเฉพาะในเบราว์เซอร์ Firefox เท่านั้น หากคุณต้องการเข้าสู่ระบบเครือข่าย WLAN เครือข่ายจะแสดงหน้าเข้าสู่ระบบก่อน ยังไม่ชัดเจนว่าเหตุใดที่อยู่จึงควรส่ง Ping บ่อยครั้ง แต่ผู้ผลิตอธิบายกลไกไว้อย่างชัดเจน

สไกป์ การทำงานของโปรแกรมนี้คล้ายกับเวิร์ม: มันซ่อนและไม่ยอมให้ตัวเองถูกฆ่าในทาสก์บาร์ สร้างการรับส่งข้อมูลจำนวนมากบนเครือข่าย ส่ง Ping 10 โดเมนทุกๆ 4 นาที เมื่อทำการสนทนาทางวิดีโอ การเชื่อมต่ออินเทอร์เน็ตจะขัดข้องอยู่ตลอดเวลา ซึ่งไม่สามารถดีขึ้นได้ ตอนนี้จำเป็นจึงยังคงอยู่

upload.fp.measure.office.com - อ้างถึง Office 365 ฉันไม่พบคำอธิบายที่เหมาะสม
browser.pipe.aria.microsoft.com - ฉันไม่พบคำอธิบายที่เหมาะสม
เราบล็อกทั้งคู่

Connect.facebook.net - แอปพลิเคชั่นแชท Facebook ยังคงอยู่

mediator.mail.ru การวิเคราะห์คำขอทั้งหมดสำหรับโดเมน mail.ru แสดงให้เห็นว่ามีแหล่งข้อมูลการโฆษณาและนักสะสมสถิติจำนวนมาก ซึ่งทำให้เกิดความไม่ไว้วางใจ โดเมน mail.ru ถูกส่งไปยังบัญชีดำทั้งหมด

google-analytics.com - ไม่ส่งผลกระทบต่อการทำงานของอุปกรณ์ดังนั้นเราจึงบล็อกมัน
doubleclick.net - นับการคลิกโฆษณา เราบล็อก.

คำขอจำนวนมากไปที่ googleapis.com การบล็อกนำไปสู่การปิดข้อความสั้น ๆ บนแท็บเล็ตอย่างสนุกสนาน ซึ่งดูเหมือนโง่สำหรับฉัน แต่ playstore หยุดทำงาน ดังนั้นมาปลดบล็อกกันดีกว่า

cloudflare.com - พวกเขาเขียนว่าพวกเขาชอบโอเพ่นซอร์สและโดยทั่วไปแล้วเขียนเกี่ยวกับตัวเองมากมาย ความเข้มข้นของการสำรวจโดเมนยังไม่ชัดเจนนัก ซึ่งมักจะสูงกว่ากิจกรรมจริงบนอินเทอร์เน็ตมาก ปล่อยไว้ตอนนี้ก่อน

ดังนั้นความเข้มข้นของคำขอจึงมักเกี่ยวข้องกับฟังก์ชันการทำงานที่จำเป็นของอุปกรณ์ แต่ผู้ที่ทำกิจกรรมมากเกินไปก็ถูกค้นพบเช่นกัน

ครั้งแรกเลย

เมื่อเปิดอินเทอร์เน็ตไร้สาย ทุกคนยังคงหลับอยู่และสามารถดูได้ว่าคำขอใดถูกส่งไปยังเครือข่ายก่อน ดังนั้น เมื่อเวลา 6 น. อินเทอร์เน็ตจะเปิดขึ้น และในช่วงสิบนาทีแรกจะมีการสำรวจโดเมน 50 โดเมนทุกวัน:

อินเทอร์เน็ตในบ้านใช้งานได้จริงและสถิติเซิร์ฟเวอร์ชื่อโดเมนเป็นอย่างไร

แบบสอบถามรายงาน SQL

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Table: First DNS Requests at 06:00',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests',
  DAYS AS 'Active Days',
  strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
  strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  MIN(EVENT_DT) AS MIN_DT,
  MAX(EVENT_DT) AS MAX_DT,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
  AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
 )
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESC

Firefox ตรวจสอบการเชื่อมต่อ WLAN ว่ามีหน้าเข้าสู่ระบบหรือไม่
Citrix กำลังส่ง Ping ไปที่เซิร์ฟเวอร์แม้ว่าแอปพลิเคชันจะไม่ได้ทำงานอยู่ก็ตาม
ไซแมนเทคตรวจสอบใบรับรอง
Mozilla ตรวจสอบการอัปเดตแม้ว่าในการตั้งค่าฉันขอให้ไม่ทำเช่นนี้

mmo.de เป็นบริการเกม เป็นไปได้มากว่าคำขอเริ่มต้นจากการแชทบน Facebook เราบล็อก.

Apple จะเปิดใช้งานบริการทั้งหมด api-glb-fra.smoot.apple.com - เมื่อพิจารณาจากคำอธิบายแล้ว ทุกปุ่มที่คลิกจะถูกส่งมาที่นี่เพื่อวัตถุประสงค์ในการเพิ่มประสิทธิภาพกลไกค้นหา น่าสงสัยอย่างมาก แต่เกี่ยวข้องกับฟังก์ชันการทำงาน เราทิ้งมันไว้

ต่อไปนี้เป็นรายการคำขอแบบยาวไปยัง microsoft.com เราบล็อกโดเมนทั้งหมดโดยเริ่มจากระดับที่สาม

จำนวนโดเมนย่อยแรกสุด
อินเทอร์เน็ตในบ้านใช้งานได้จริงและสถิติเซิร์ฟเวอร์ชื่อโดเมนเป็นอย่างไร

ดังนั้น 10 นาทีแรกของการเปิดอินเทอร์เน็ตไร้สาย
iOS สำรวจโดเมนย่อยมากที่สุด - 32 ตามมาด้วย Android - 24 จากนั้น Windows - 15 และสุดท้าย Blackberry - 9
แอปพลิเคชั่น Facebook เพียงอย่างเดียวสำรวจ 10 โดเมน Skype สำรวจ 9 โดเมน

ที่มาของข้อมูล

แหล่งที่มาสำหรับการวิเคราะห์คือไฟล์บันทึกของเซิร์ฟเวอร์ภายในเครื่อง bind9 ซึ่งมีรูปแบบต่อไปนี้:

01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)

ไฟล์ถูกนำเข้าสู่ฐานข้อมูล sqlite และวิเคราะห์โดยใช้คำสั่ง SQL
เซิร์ฟเวอร์ทำหน้าที่เป็นแคช คำขอมาจากเราเตอร์ ดังนั้นจึงมีไคลเอ็นต์คำขอเดียวเสมอ โครงสร้างตารางแบบง่ายก็เพียงพอแล้ว เช่น รายงานต้องใช้เวลาของคำขอ ตัวคำขอ และโดเมนระดับที่สองสำหรับการจัดกลุ่ม

ตาราง DDL

CREATE TABLE STG_BIND9_LOG (
  LINE_NK       INTEGER NOT NULL DEFAULT 1,
  DATE_NK       TEXT NOT NULL DEFAULT 'n.a.',
  TIME_NK       TEXT NOT NULL DEFAULT 'n.a.',
  CLI           TEXT, -- client
  IP            TEXT,
  REQUEST_NK    TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
  DOMAIN        TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
  QUERY         TEXT,
  UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);

เอาท์พุต

ดังนั้น จากการวิเคราะห์บันทึกเซิร์ฟเวอร์ชื่อโดเมน มีการตรวจสอบบันทึกมากกว่า 50 รายการและจัดอยู่ในรายการบล็อก

ผู้ผลิตซอฟต์แวร์อธิบายความจำเป็นของการสืบค้นบางอย่างไว้อย่างดีและสร้างแรงบันดาลใจให้เกิดความมั่นใจ อย่างไรก็ตาม กิจกรรมส่วนใหญ่ไม่มีมูลความจริงและเป็นที่น่าสงสัย

ที่มา: will.com

เพิ่มความคิดเห็น