Bộ định tuyến gia đình (trong trường hợp này là FritzBox) có thể ghi lại rất nhiều thứ: lưu lượng truy cập diễn ra khi nào, ai được kết nối ở tốc độ nào, v.v. Máy chủ tên miền (DNS) trên mạng cục bộ đã giúp tôi tìm ra điều gì ẩn đằng sau những người nhận không xác định.
Nhìn chung, DNS đã có tác động tích cực đến mạng gia đình: nó tăng thêm tốc độ, tính ổn định và khả năng quản lý.
Dưới đây là sơ đồ nêu lên các câu hỏi và nhu cầu hiểu chuyện gì đang xảy ra. Kết quả đã lọc ra các yêu cầu đã biết và đang hoạt động tới máy chủ tên miền.
Tại sao 60 tên miền ít người biết đến được thăm dò mỗi ngày trong khi mọi người vẫn còn ngủ?
Mỗi ngày, 440 tên miền không xác định được thăm dò trong giờ hoạt động. Họ là ai và họ làm gì?
Số lượng yêu cầu trung bình mỗi ngày theo giờ
Truy vấn báo cáo SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Line: DNS Requests per Day for Hours',
strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))Vào ban đêm, truy cập không dây bị vô hiệu hóa và hoạt động của thiết bị được mong đợi, tức là. không có cuộc bỏ phiếu cho các tên miền không xác định. Điều này có nghĩa là hoạt động lớn nhất đến từ các thiết bị có hệ điều hành như Android, iOS và Blackberry OS.
Hãy liệt kê các tên miền được thăm dò ý kiến chuyên sâu. Cường độ sẽ được xác định bởi các thông số như số lượng yêu cầu mỗi ngày, số ngày hoạt động và số giờ chúng được chú ý trong ngày.
Tất cả những kẻ tình nghi dự kiến đều có tên trong danh sách.
Tên miền được thăm dò chuyên sâu
Truy vấn báo cáo SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: Havy DNS Requests',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests per Day',
DH AS 'Hours per Day',
DAYS AS 'Active Days'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
COUNT(DISTINCT REQUEST_NK) AS SUBD,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20Chúng tôi chặn isс.blackberry.com và Iceberg.blackberry.com, những hành động mà nhà sản xuất sẽ biện minh vì lý do bảo mật. Kết quả: khi cố gắng kết nối với mạng WLAN, nó hiển thị trang đăng nhập và không bao giờ kết nối ở bất kỳ đâu nữa. Hãy bỏ chặn nó.
detectportal.firefox.com là cơ chế tương tự, chỉ được triển khai trong trình duyệt Firefox. Nếu bạn cần đăng nhập vào mạng WLAN, trước tiên nó sẽ hiển thị trang đăng nhập. Không hoàn toàn rõ ràng tại sao địa chỉ này phải được ping thường xuyên như vậy, nhưng cơ chế này đã được nhà sản xuất mô tả rõ ràng.
Ứng dụng trò chuyện. Hoạt động của chương trình này tương tự như một con sâu: nó ẩn nấp và không đơn giản cho phép mình bị giết trên thanh tác vụ, tạo ra rất nhiều lưu lượng truy cập trên mạng, ping 10 tên miền cứ sau 4 phút. Khi thực hiện cuộc gọi video, kết nối Internet liên tục bị đứt, khi không thể tốt hơn. Bây giờ nó là cần thiết, vì vậy nó vẫn còn.
upload.fp.measure.office.com - đề cập đến Office 365, tôi không thể tìm thấy mô tả phù hợp.
browser.pipe.aria.microsoft.com - Tôi không thể tìm thấy mô tả phù hợp.
Chúng tôi chặn cả hai.
connect.facebook.net - Ứng dụng trò chuyện trên Facebook. Còn lại.
mediator.mail.ru Phân tích tất cả các yêu cầu đối với miền mail.ru cho thấy sự hiện diện của một số lượng lớn tài nguyên quảng cáo và người thu thập số liệu thống kê, điều này gây ra sự nghi ngờ. Miền mail.ru được gửi hoàn toàn vào danh sách đen.
google-analytics.com - không ảnh hưởng đến chức năng của thiết bị nên chúng tôi chặn nó.
doubleclick.net - đếm số lần nhấp vào quảng cáo. Chúng tôi chặn.
Nhiều yêu cầu truy cập googleapis.com. Việc chặn đã dẫn đến việc tắt các tin nhắn ngắn trên máy tính bảng một cách vui vẻ, điều này đối với tôi có vẻ ngu ngốc. Nhưng playstore đã ngừng hoạt động, vì vậy hãy bỏ chặn nó.
cloudflare.com - họ viết rằng họ yêu thích nguồn mở và nói chung, viết rất nhiều về bản thân họ. Cường độ khảo sát tên miền không hoàn toàn rõ ràng, thường cao hơn nhiều so với hoạt động thực tế trên Internet. Hãy để nó bây giờ.
Do đó, cường độ yêu cầu thường liên quan đến chức năng cần thiết của thiết bị. Nhưng những người hoạt động quá mức cũng bị phát hiện.
Việc đầu tiên
Khi Internet không dây được bật, mọi người vẫn đang ngủ và có thể xem yêu cầu nào được gửi đến mạng trước. Vì vậy, lúc 6:50 Internet bật và trong khoảng thời gian mười phút đầu tiên, 60 tên miền được thăm dò hàng ngày:
Truy vấn báo cáo SQL
WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
CASE SUBSTR(DATE_NK,4,3)
WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
1 as 'Table: First DNS Requests at 06:00',
REQUEST_NK AS 'Request',
DOMAIN AS 'Domain',
REQ AS 'Requests',
DAYS AS 'Active Days',
strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
MIN(EVENT_DT) AS MIN_DT,
MAX(EVENT_DT) AS MAX_DT,
COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
)
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESCFirefox kiểm tra kết nối WLAN để biết sự hiện diện của trang đăng nhập.
Citrix đang ping máy chủ của mình mặc dù ứng dụng không hoạt động.
Symantec xác minh chứng chỉ.
Mozilla kiểm tra các bản cập nhật, mặc dù trong cài đặt tôi đã yêu cầu không làm điều này.
mmo.de là một dịch vụ chơi game. Nhiều khả năng yêu cầu được bắt đầu bằng trò chuyện trên facebook. Chúng tôi chặn.
Apple sẽ kích hoạt tất cả các dịch vụ của mình. api-glb-fra.smoot.apple.com - dựa trên mô tả, mỗi lần nhấp vào nút sẽ được gửi tới đây nhằm mục đích tối ưu hóa công cụ tìm kiếm. Rất đáng ngờ, nhưng liên quan đến chức năng. Chúng tôi để nó lại.
Sau đây là danh sách dài các yêu cầu tới microsoft.com. Chúng tôi chặn tất cả các tên miền bắt đầu từ cấp thứ ba.
Số lượng tên miền phụ đầu tiên
Vì vậy, 10 phút đầu tiên bật Internet không dây.
iOS thăm dò nhiều tên miền phụ nhất - 32. Tiếp theo là Android - 24, sau đó là Windows - 15 và cuối cùng là Blackberry - 9.
Riêng ứng dụng facebook thăm dò ý kiến 10 tên miền, Skype thăm dò ý kiến 9 tên miền.
Ѓ o
Nguồn phân tích là tệp nhật ký máy chủ cục bộ bind9, chứa định dạng sau:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
Tệp đã được nhập vào cơ sở dữ liệu sqlite và được phân tích bằng truy vấn SQL.
Máy chủ hoạt động như một bộ đệm; các yêu cầu đến từ bộ định tuyến, do đó luôn có một ứng dụng khách yêu cầu. Cấu trúc bảng đơn giản hóa là đủ, tức là Báo cáo yêu cầu thời gian của yêu cầu, chính yêu cầu đó và tên miền cấp hai để nhóm.
bảng DDL
CREATE TABLE STG_BIND9_LOG (
LINE_NK INTEGER NOT NULL DEFAULT 1,
DATE_NK TEXT NOT NULL DEFAULT 'n.a.',
TIME_NK TEXT NOT NULL DEFAULT 'n.a.',
CLI TEXT, -- client
IP TEXT,
REQUEST_NK TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
DOMAIN TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
QUERY TEXT,
UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);Đầu ra
Như vậy, qua phân tích nhật ký máy chủ tên miền, hơn 50 bản ghi đã bị kiểm duyệt và đưa vào danh sách chặn.
Sự cần thiết của một số truy vấn được các nhà sản xuất phần mềm mô tả rõ ràng và truyền cảm hứng cho sự tự tin. Tuy nhiên, phần lớn hoạt động này là vô căn cứ và đáng nghi ngờ.
Nguồn: www.habr.com