ہوم راؤٹر (اس معاملے میں FritzBox) بہت کچھ ریکارڈ کر سکتا ہے: کتنی ٹریفک کب جا رہی ہے، کون کس رفتار سے جڑا ہوا ہے، وغیرہ۔ مقامی نیٹ ورک پر ایک ڈومین نیم سرور (DNS) نے مجھے یہ جاننے میں مدد کی کہ نامعلوم وصول کنندگان کے پیچھے کیا چھپا ہوا ہے۔
مجموعی طور پر، DNS کا گھریلو نیٹ ورک پر مثبت اثر پڑا ہے: اس نے رفتار، استحکام اور انتظامی صلاحیت کو شامل کیا ہے۔
ذیل میں ایک خاکہ ہے جس نے سوالات اٹھائے ہیں اور یہ سمجھنے کی ضرورت ہے کہ کیا ہو رہا ہے۔ نتائج پہلے ہی ڈومین نام سرورز کے لیے معلوم اور کام کرنے والی درخواستوں کو فلٹر کر دیتے ہیں۔
ہر روز 60 غیر واضح ڈومینز کیوں پول کیے جاتے ہیں جب کہ سب ابھی تک سو رہے ہیں؟
ہر روز، 440 نامعلوم ڈومینز کو فعال اوقات کے دوران پول کیا جاتا ہے۔ وہ کون ہیں اور کیا کرتے ہیں؟
فی گھنٹہ فی دن درخواستوں کی اوسط تعداد
ایس کیو ایل رپورٹ کا استفسار
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))رات کے وقت، وائرلیس رسائی غیر فعال ہے اور ڈیوائس کی سرگرمی متوقع ہے، یعنی نامعلوم ڈومینز کے لیے کوئی پولنگ نہیں ہے۔ اس کا مطلب یہ ہے کہ سب سے بڑی سرگرمی آپریٹنگ سسٹمز جیسے کہ Android، iOS اور Blackberry OS والے آلات سے آتی ہے۔
آئیے ان ڈومینز کی فہرست بنائیں جن پر گہری رائے شماری کی گئی ہے۔ شدت کا تعین پیرامیٹرز سے کیا جائے گا جیسے فی دن درخواستوں کی تعداد، سرگرمیوں کے دنوں کی تعداد اور دن کے کتنے گھنٹوں میں ان کو دیکھا گیا۔
تمام متوقع مشتبہ افراد اس فہرست میں شامل تھے۔
گہری رائے شماری شدہ ڈومینز
ایس کیو ایل رپورٹ کا استفسار
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20ہم isс.blackberry.com اور iceberg.blackberry.com کو مسدود کرتے ہیں، جسے مینوفیکچرر سیکیورٹی وجوہات کی بنا پر جواز پیش کرے گا۔ نتیجہ: WLAN سے جڑنے کی کوشش کرتے وقت، یہ لاگ ان کا صفحہ دکھاتا ہے اور دوبارہ کبھی بھی نہیں جڑتا۔ آئیے اسے غیر مسدود کریں۔
detectportal.firefox.com وہی طریقہ کار ہے، جو صرف فائر فاکس براؤزر میں لاگو ہوتا ہے۔ اگر آپ کو WLAN نیٹ ورک میں لاگ ان کرنے کی ضرورت ہے، تو یہ سب سے پہلے لاگ ان صفحہ دکھائے گا۔ یہ مکمل طور پر واضح نہیں ہے کہ ایڈریس کو اتنی کثرت سے کیوں پنگ کیا جانا چاہئے، لیکن میکانزم کو کارخانہ دار نے واضح طور پر بیان کیا ہے۔
اسکائپ اس پروگرام کے اعمال ایک کیڑے کی طرح ہیں: یہ چھپاتا ہے اور ٹاسک بار میں خود کو مارنے کی اجازت نہیں دیتا، نیٹ ورک پر بہت زیادہ ٹریفک پیدا کرتا ہے، ہر 10 منٹ میں 4 ڈومین کو پنگ کرتا ہے۔ ویڈیو کال کرتے وقت، انٹرنیٹ کنکشن مسلسل ٹوٹ جاتا ہے، جب یہ بہتر نہیں ہو سکتا۔ ابھی کے لیے یہ ضروری ہے، اس لیے باقی ہے۔
upload.fp.measure.office.com - آفس 365 سے مراد ہے، مجھے کوئی معقول تفصیل نہیں مل سکی۔
browser.pipe.aria.microsoft.com - مجھے کوئی معقول تفصیل نہیں مل سکی۔
ہم دونوں کو بلاک کرتے ہیں۔
connect.facebook.net - فیس بک چیٹ ایپلی کیشن۔ باقی.
mediator.mail.ru mail.ru ڈومین کے لیے تمام درخواستوں کے تجزیے میں اشتہاری وسائل اور شماریات جمع کرنے والوں کی ایک بڑی تعداد کی موجودگی ظاہر ہوئی، جو بداعتمادی کا باعث بنتی ہے۔ mail.ru ڈومین مکمل طور پر بلیک لسٹ میں بھیج دیا جاتا ہے۔
google-analytics.com - آلات کی فعالیت کو متاثر نہیں کرتا، اس لیے ہم اسے بلاک کر دیتے ہیں۔
doubleclick.net - اشتہاری کلکس کو شمار کرتا ہے۔ ہم بلاک کرتے ہیں۔
بہت سی درخواستیں googleapis.com پر جاتی ہیں۔ بلاک کرنے کی وجہ سے ٹیبلیٹ پر مختصر پیغامات کی خوشی سے بندش ہوئی ہے، جو مجھے احمقانہ لگتے ہیں۔ لیکن پلے اسٹور نے کام کرنا چھوڑ دیا، تو آئیے اسے غیر مسدود کر دیں۔
cloudflare.com - وہ لکھتے ہیں کہ وہ اوپن سورس سے محبت کرتے ہیں اور عام طور پر اپنے بارے میں بہت کچھ لکھتے ہیں۔ ڈومین سروے کی شدت پوری طرح واضح نہیں ہے، جو اکثر انٹرنیٹ پر ہونے والی اصل سرگرمی سے کہیں زیادہ ہوتی ہے۔ چلو اسے ابھی کے لیے چھوڑ دیتے ہیں۔
اس طرح، درخواستوں کی شدت کا تعلق اکثر آلات کی مطلوبہ فعالیت سے ہوتا ہے۔ لیکن وہ لوگ جنہوں نے اسے سرگرمی سے زیادہ کیا وہ بھی دریافت ہوئے۔
سب سے پہلے
جب وائرلیس انٹرنیٹ آن ہوتا ہے، تب بھی ہر کوئی سو رہا ہوتا ہے اور یہ دیکھنا ممکن ہے کہ نیٹ ورک کو پہلے کون سی درخواستیں بھیجی جاتی ہیں۔ لہذا، 6:50 پر انٹرنیٹ آن ہو جاتا ہے اور پہلے دس منٹ کی مدت میں روزانہ 60 ڈومینز پول کیے جاتے ہیں:
ایس کیو ایل رپورٹ کا استفسار
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCفائر فاکس لاگ ان پیج کی موجودگی کے لیے WLAN کنکشن کو چیک کرتا ہے۔
Citrix اپنے سرور کو پنگ کر رہا ہے حالانکہ ایپلیکیشن فعال طور پر نہیں چل رہی ہے۔
Symantec سرٹیفکیٹ کی تصدیق کرتا ہے۔
موزیلا اپ ڈیٹس کی جانچ کرتا ہے، حالانکہ سیٹنگز میں میں نے ایسا نہ کرنے کو کہا تھا۔
mmo.de ایک گیمنگ سروس ہے۔ زیادہ تر امکان ہے کہ درخواست فیس بک چیٹ کے ذریعہ شروع کی گئی ہو۔ ہم بلاک کرتے ہیں۔
ایپل اپنی تمام سروسز کو چالو کر دے گا۔ api-glb-fra.smoot.apple.com - تفصیل کے مطابق، ہر بٹن کلک کو سرچ انجن آپٹیمائزیشن کے مقاصد کے لیے یہاں بھیجا جاتا ہے۔ انتہائی مشکوک، لیکن فعالیت سے متعلق۔ ہم اسے چھوڑ دیتے ہیں۔
microsoft.com پر درخواستوں کی ایک لمبی فہرست درج ذیل ہے۔ ہم تیسرے درجے سے شروع ہونے والے تمام ڈومینز کو بلاک کرتے ہیں۔
بہت پہلے سب ڈومینز کی تعداد
لہذا، وائرلیس انٹرنیٹ کو آن کرنے کے پہلے 10 منٹ۔
iOS سب سے زیادہ ذیلی ڈومینز پول کرتا ہے - 32۔ اس کے بعد اینڈرائیڈ - 24، پھر ونڈوز - 15 اور آخر میں بلیک بیری - 9۔
اکیلے فیس بک ایپلی کیشن 10 ڈومینز، اسکائپ پولز 9 ڈومینز کا انتخاب کرتی ہے۔
معلومات کا ماخذ
تجزیہ کا ذریعہ bind9 لوکل سرور لاگ فائل تھی، جو درج ذیل فارمیٹ پر مشتمل ہے:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
فائل کو sqlite ڈیٹا بیس میں درآمد کیا گیا تھا اور SQL سوالات کا استعمال کرتے ہوئے تجزیہ کیا گیا تھا۔
سرور ایک کیشے کے طور پر کام کرتا ہے؛ درخواستیں روٹر سے آتی ہیں، اس لیے ہمیشہ ایک درخواست کلائنٹ ہوتا ہے۔ ایک آسان ٹیبل کا ڈھانچہ کافی ہے، یعنی رپورٹ میں درخواست کا وقت، درخواست خود، اور گروپ بندی کے لیے دوسرے درجے کے ڈومین کی ضرورت ہوتی ہے۔
ڈی ڈی ایل ٹیبلز
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);آؤٹ پٹ
اس طرح، ڈومین نیم سرور لاگ کے تجزیہ کے نتیجے میں، 50 سے زیادہ ریکارڈز کو سنسر کرکے بلاک لسٹ میں رکھا گیا۔
سافٹ ویئر مینوفیکچررز کے ذریعہ کچھ سوالات کی ضرورت کو اچھی طرح سے بیان کیا گیا ہے اور اعتماد کو متاثر کرتا ہے۔ تاہم، زیادہ تر سرگرمی بے بنیاد اور قابل اعتراض ہے۔
ماخذ: www.habr.com