ווי טוט די היים אינטערנעט לעבן און פעלד נאָמען סערווער סטאַטיסטיק?

א היים ראַוטער (אין דעם פאַל FritzBox) קענען רעקאָרדירן אַ פּלאַץ: ווי פיל פאַרקער גייט ווען, ווער איז קאָננעקטעד מיט וואָס גיכקייַט, אאז"ו ו. א פעלד נאָמען סערווער (דנס) אויף די היגע נעץ געהאָלפֿן מיר געפֿינען וואָס איז פאַרבאָרגן הינטער די אומבאַקאַנט ריסיפּיאַנץ.

קוילעלדיק, DNS האט אַ positive פּראַל אויף די היים נעץ: עס האט צוגעלייגט גיכקייַט, פעסטקייַט און מאַנידזשאַביליטי.

ונטער איז אַ דיאַגראַמע וואָס האָט אויפגעוועקט פֿראגן און די נויט צו פֿאַרשטיין וואָס איז געשעעניש. די רעזולטאַטן שוין פילטער אויס באַוווסט און ארבעטן ריקוועס צו פעלד נאָמען סערווערס.

פארוואס זענען 60 דיק דאָומיינז פּאָולד יעדער טאָג בשעת אַלעמען איז נאָך שלאָפנדיק?

יעדער טאָג, 440 אומבאַקאַנט דאָומיינז זענען פּאָולד בעשאַס אַקטיוו שעה. ווער זענען זיי און וואָס טאָן זיי טאָן?

דורכשניטלעך נומער פון ריקוועס פּער טאָג דורך שעה

SQL באַריכט אָנפֿרעג

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Line: DNS Requests per Day for Hours',
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day',
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day'
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY /* hour aggregate */
  strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))

ביי נאַכט, וויירליס אַקסעס איז פאַרקריפּלט און מיטל טעטיקייט איז דערוואַרט, ד.ה. עס איז קיין פּאָללינג פֿאַר אומבאַקאַנט דאָומיינז. דעם מיטל אַז די גרעסטע טעטיקייט קומט פון דעוויסעס מיט אָפּערייטינג סיסטעמען אַזאַ ווי אַנדרויד, יאָס און אָזשעניצע אַס.

זאל ס רשימה די דאָומיינז וואָס זענען פּאָולד ינטענסיוולי. די ינטענסיטי וועט זיין באשלאסן דורך פּאַראַמעטערס אַזאַ ווי די נומער פון ריקוועס פּער טאָג, די נומער פון טעג פון טעטיקייט און אין ווי פילע שעה פון דעם טאָג זיי זענען באמערקט.

אַלע די דערוואַרט סאַספּעקץ זענען געווען אויף דער רשימה.

ינטענסיוולי פּאָולד דאָומיינז

SQL באַריכט אָנפֿרעג

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT 
  1 as 'Table: Havy DNS Requests',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests per Day',
  DH AS 'Hours per Day',
  DAYS AS 'Active Days'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  COUNT(DISTINCT REQUEST_NK) AS SUBD,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ,
  ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
GROUP BY REQUEST_NK )
WHERE DAYS > 9 -- long period
ORDER BY 4 DESC, 5 DESC
LIMIT 20

מיר פאַרשפּאַרן isс.blackberry.com און iceberg.blackberry.com, וואָס דער פאַבריקאַנט וועט באַרעכטיקן פֿאַר זיכערהייט סיבות. רעזולטאַט: ווען איר פּרובירן צו פאַרבינדן צו די WLAN, עס ווייזט די לאָגין בלאַט און קיינמאָל קאַנעקץ ערגעץ ווידער. זאל ס ופשליסן עס.

detectportal.firefox.com איז דער זעלביקער מעקאַניזאַם, בלויז ימפּלאַמענאַד אין די Firefox בלעטערער. אויב איר דאַרפֿן צו קלאָץ אין די WLAN נעץ, עס וועט ערשטער ווייַזן די לאָגין בלאַט. עס איז נישט גאָר קלאָר וואָס די אַדרעס זאָל זיין פּינגעד אַזוי אָפט, אָבער די מעקאַניזאַם איז קלאר דיסקרייבד דורך דער פאַבריקאַנט.

סקיפּע. די אַקשאַנז פון דעם פּראָגראַם זענען ענלעך צו אַ וואָרעם: עס כיידז און קען נישט פשוט לאָזן זיך צו זיין געהרגעט אין די טאַסקבאַר, דזשענערייץ אַ פּלאַץ פון פאַרקער אויף די נעץ, פּינג 10 דאָומיינז יעדער 4 מינוט. ווען איר מאַכן אַ ווידעא רופן, די אינטערנעט קשר קעסיידער ברייקס אַראָפּ, ווען עס קען נישט זיין בעסער. פֿאַר איצט עס איז נייטיק, אַזוי עס בלייבט.

upload.fp.measure.office.com - רעפערס צו אָפפיסע 365, איך קען נישט געפֿינען אַ לייַטיש באַשרייַבונג.
browser.pipe.aria.microsoft.com - איך קען נישט געפֿינען אַ לייַטיש באַשרייַבונג.
מיר פאַרשפּאַרן ביידע.

connect.facebook.net - פאַסעבאָאָק שמועס אַפּלאַקיישאַן. בלייבט.

mediator.mail.ru אַן אַנאַליסיס פון אַלע ריקוועס פֿאַר די mail.ru פעלד געוויזן די בייַזייַן פון אַ ריזיק נומער פון גאַנצע רעסורסן און סטאַטיסטיק קאַלעקטערז, וואָס זייַנען מיסטראַסט. די mail.ru פעלד איז געשיקט לעגאַמרע צו די בלאַקליסט.

google-analytics.com - טוט נישט ווירקן די פאַנגקשאַנאַליטי פון דעוויסעס, אַזוי מיר פאַרשפּאַרן עס.
doubleclick.net - קאַונץ גאַנצע קליקס. מיר בלאָק.

פילע ריקוועס גיין צו googleapis.com. די בלאַקינג האט געפֿירט צו די פריידיק שאַטדאַון פון קורץ אַרטיקלען אויף די טאַבלעט, וואָס ויסקומען נאַריש פֿאַר מיר. אָבער די פּלייַסטאָרע פארשטאפט ארבעטן, אַזוי לאָזן אונדז ופשליסן עס.

cloudflare.com - זיי שרייַבן אַז זיי ליבע אָפֿן מקור און, אין אַלגעמיין, שרייַבן אַ פּלאַץ וועגן זיך. די ינטענסיטי פון די פעלד יבערבליק איז נישט גאָר קלאָר, וואָס איז אָפט פיל העכער ווי די פאַקטיש טעטיקייט אויף די אינטערנעט. זאל ס לאָזן עס פֿאַר איצט.

אזוי, די ינטענסיטי פון ריקוועס איז אָפט שייך צו די פארלאנגט פאַנגקשאַנאַליטי פון די דעוויסעס. אבע ר ד י װא ס האב ן זי ך איבערגעגעב ן מי ט טעטיקײ ט זײנע ן אוי ך אנטדעק ט געװארן .

דער ערשטער

ווען די וויירליס אינטערנעט איז אויסגעדרייט, אַלעמען איז נאָך שלאָפנדיק און עס איז מעגלעך צו זען וואָס ריקוועס זענען געשיקט צו די נעץ ערשטער. אַזוי, 6:50 די אינטערנעט טורנס אויף און אין דער ערשטער צען-מינוט צייט 60 דאָומיינז זענען פּאָולד טעגלעך:

SQL באַריכט אָנפֿרעג

WITH CLS AS ( /* prepare unique requests */
SELECT
DISTINCT DATE_NK,
STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' ||
	CASE SUBSTR(DATE_NK,4,3)
	WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06'
	WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11'
	ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT,
REQUEST_NK, DOMAIN
FROM STG_BIND9_LOG )
SELECT
  1 as 'Table: First DNS Requests at 06:00',
  REQUEST_NK AS 'Request',
  DOMAIN AS 'Domain',
  REQ AS 'Requests',
  DAYS AS 'Active Days',
  strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping',
  strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping'
FROM (
SELECT
  REQUEST_NK, MAX(DOMAIN) AS DOMAIN,
  MIN(EVENT_DT) AS MIN_DT,
  MAX(EVENT_DT) AS MAX_DT,
  COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS,
  ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ
FROM CLS
WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org')
  AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days')
  AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00')
GROUP BY REQUEST_NK
 )
WHERE DAYS > 3 -- at least 4 days activity
ORDER BY 5 DESC, 4 DESC

פירעפאָקס טשעקס די WLAN פֿאַרבינדונג פֿאַר דעם בייַזייַן פון אַ לאָגין בלאַט.
Citrix פּינג זיין סערווער אפילו כאָטש די אַפּלאַקיישאַן איז נישט אַקטיוולי פליסנדיק.
Symantec וועראַפייז סערטיפיקאַץ.
מאָזיללאַ טשעקס פֿאַר דערהייַנטיקונגען, כאָטש אין די סעטטינגס איך געבעטן נישט צו טאָן דאָס.

mmo.de איז אַ גיימינג דינסט. רובֿ מסתּמא די בקשה איז ינישיייטיד דורך פאַסעבאָאָק שמועסן. מיר בלאָק.

עפּל וועט אַקטאַווייט אַלע זייַן באַדינונגס. api-glb-fra.smoot.apple.com - אויב משפטן לויט די באַשרייַבונג, יעדער קליקינג קנעפּל איז געשיקט דאָ פֿאַר זוכן מאָטאָר אַפּטאַמאַזיישאַן צוועקן. העכסט סאַספּישאַס, אָבער שייך צו פאַנגקשאַנאַליטי. מיר לאָזן עס.

די פאלגענדע איז אַ לאַנג רשימה פון ריקוועס צו microsoft.com. מיר פאַרשפּאַרן אַלע דאָומיינז סטאַרטינג פון די דריט שטאַפּל.

נומער פון זייער ערשטער סובדאָמאַינס


אַזוי, דער ערשטער 10 מינוט פון טורנינג אויף די וויירליס אינטערנעט.
יאָס פּאָללס די מערסט סובדאָמאַינס - 32. נאכגעגאנגען דורך אַנדרויד - 24, דעמאָלט Windows - 15 און לעסאָף בלאַקקבעררי - 9.
די פאַסעבאָאָק אַפּלאַקיישאַן אַליין פּאָללס 10 דאָומיינז, סקיפּע פּאָללס 9 דאָומיינז.

דער מקור פון אינפֿאָרמאַציע

דער מקור פֿאַר די אַנאַליסיס איז געווען די בינד9 היגע סערווער קלאָץ טעקע, וואָס כּולל די פאלגענדע פֿאָרמאַט:

01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)

דער טעקע איז ימפּאָרטיד אין אַ sqlite דאַטאַבייס און אַנאַלייזד מיט SQL קוויריז.
דער סערווער אַקט ווי אַ קאַש; ריקוועס קומען פון די ראַוטער, אַזוי עס איז שטענדיק איין בקשה קליענט. א סימפּלאַפייד טיש סטרוקטור איז גענוג, ד.ה. דער באַריכט ריקווייערז די צייט פון די בקשה, די בעטן זיך און די צווייטע מדרגה פעלד פֿאַר גרופּינג.

דדל טישן

CREATE TABLE STG_BIND9_LOG (
  LINE_NK       INTEGER NOT NULL DEFAULT 1,
  DATE_NK       TEXT NOT NULL DEFAULT 'n.a.',
  TIME_NK       TEXT NOT NULL DEFAULT 'n.a.',
  CLI           TEXT, -- client
  IP            TEXT,
  REQUEST_NK    TEXT NOT NULL DEFAULT 'n.a.', -- requested domain
  DOMAIN        TEXT NOT NULL DEFAULT 'n.a.', -- domain second level
  QUERY         TEXT,
  UNIQUE (LINE_NK, DATE_NK, TIME_NK, REQUEST_NK)
);

רעזולטאַט

אזוי, ווי אַ רעזולטאַט פון די אַנאַליסיס פון די פעלד נאָמען סערווער קלאָץ, מער ווי 50 רעקאָרדס זענען סענסערד און געשטעלט אויף די בלאָק רשימה.

די נייטיקייַט פון עטלעכע קוויריז איז געזונט דיסקרייבד דורך ווייכווארג מאַניאַפאַקטשערערז און ינספּיירז בטחון. אָבער, פיל פון די טעטיקייט איז אַנפאַונדיד און פּראָבלעמאַטיש.

מקור: www.habr.com