Un enrutador doméstico (en este caso FritzBox) sabe cómo registrar mucho: cuánto tráfico cuando va, quién está conectado a qué velocidad, etc. Para averiguar qué está oculto bajo direcciones extrañas, un servidor de nombres de dominio (DNS) me ayudó en la red local.
En general, el DNS tuvo un impacto positivo en la red doméstica: mayor velocidad, resistencia y capacidad de administración.
A continuación hay un cuadro que planteó preguntas y la necesidad de comprender lo que está sucediendo. Los resultados ya han filtrado las consultas conocidas y en funcionamiento a los servidores de nombres de dominio.
¿Por qué se encuesta 60 dominios oscuros todos los dÃas mientras todavÃa están durmiendo?
Todos los dÃas, 440 dominios desconocidos se sondean en tiempo activo. ¿Quiénes son y qué están haciendo?
Promedio de búsquedas diarias por hora
Solicitud de informe SQLWITH CLS AS ( SELECT DISTINCT DATE_NK, STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' || CASE SUBSTR(DATE_NK,4,3) WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06' WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11' ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT, REQUEST_NK, DOMAIN FROM STG_BIND9_LOG ) SELECT 1 as 'Line: DNS Requests per Day for Hours', strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day', ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day' FROM CLS WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org') AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days') GROUP BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
Por la noche, el acceso inalámbrico está desactivado y se espera actividad del dispositivo, es decir no hay encuesta de dominios oscuros. Esto significa que la mayor actividad proviene de dispositivos con sistemas operativos como Android, iOS y Blackberry OS.
Enumere los dominios que se están encuestando intensamente. La intensidad estará determinada por parámetros tales como el número de solicitudes por dÃa, el número de dÃas de actividad y cuántas horas del dÃa se notaron.
Todos los sospechosos esperados aparecieron en la lista.
Dominios sondeados intensamente
Solicitud de informe SQL WITH CLS AS ( SELECT DISTINCT DATE_NK, STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' || CASE SUBSTR(DATE_NK,4,3) WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06' WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11' ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT, REQUEST_NK, DOMAIN FROM STG_BIND9_LOG ) SELECT 1 as 'Table: Havy DNS Requests', REQUEST_NK AS 'Request', DOMAIN AS 'Domain', REQ AS 'Requests per Day', DH AS 'Hours per Day', DAYS AS 'Active Days' FROM ( SELECT REQUEST_NK, MAX(DOMAIN) AS DOMAIN, COUNT(DISTINCT REQUEST_NK) AS SUBD, COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS, ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ, ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH FROM CLS WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org') AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days') GROUP BY REQUEST_NK ) WHERE DAYS > 9
Bloqueamos ic.blackberry.com e iceberg.blackberry.com, que el fabricante justificará por razones de seguridad. Resultado: cuando intenta conectarse a la WLAN, muestra la página de inicio de sesión y nunca más se conecta. Desbloquear
detectportal.firefox.com es el mismo mecanismo, solo implementado en el navegador Firefox. Si es necesario, inicie sesión en la WLAN, primero muestre la página de inicio de sesión. No está del todo claro por qué hacer ping a la dirección con tanta frecuencia, pero el mecanismo está disponible por parte del fabricante.
skype Las acciones de este programa son similares a las de un gusano: se esconde y no se deja matar en la barra de tareas, genera mucho tráfico en la red, hace ping a 4 dominios cada 10 minutos. Al hacer una videollamada, la conexión a Internet se moviliza constantemente, cuando ya no puede ser mejor. Si bien es necesario, asà permanece.
upload.fp.measure.office.com - se refiere a Office 365, no encontró una descripción decente.
browser.pipe.aria.microsoft.com: no se encontró una descripción decente.
Ambos están bloqueando.
connect.facebook.net es una aplicación de chat de Facebook. Se queda.
mediator.mail.ru El análisis de todas las solicitudes de dominio mail.ru mostró la presencia de una gran cantidad de recursos publicitarios y recolectores de estadÃsticas, lo que causa desconfianza. El dominio mail.ru está completamente en la lista negra.
google-analytics.com: no afecta la funcionalidad de los dispositivos, por lo tanto, lo bloqueamos.
doubleclick.net: cuenta los clics de anuncios. Bloqueamos
Muchas solicitudes van a googleapis.com. El bloqueo condujo a una desconexión alegre de mensajes cortos en la tableta que me parecen tontos. Pero la tienda de juegos dejó de funcionar, asà que la desbloqueamos.
cloudflare.com: escriben que les encanta el código fuente abierto y, en general, escriben mucho sobre sà mismos. La intensidad de la encuesta de dominio, que a menudo es mucho más alta que la actividad en Internet, no está del todo clara. Dejémoslo por ahora.
Por lo tanto, la intensidad de las solicitudes a menudo se asocia con la funcionalidad necesaria de los dispositivos. Pero aquellos que exageraron con la actividad también fueron descubiertos.
Muy primero
En el momento de encender Internet inalámbrico, todavÃa están durmiendo y existe la oportunidad de ver qué solicitudes se envÃan primero a la red. Entonces, a las 6:50 se enciende Internet y en los primeros diez minutos se sondean diariamente 60 dominios:
Solicitud de informe SQL WITH CLS AS ( SELECT DISTINCT DATE_NK, STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' || CASE SUBSTR(DATE_NK,4,3) WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06' WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11' ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT, REQUEST_NK, DOMAIN FROM STG_BIND9_LOG ) SELECT 1 as 'Table: First DNS Requests at 06:00', REQUEST_NK AS 'Request', DOMAIN AS 'Domain', REQ AS 'Requests', DAYS AS 'Active Days', strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping', strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping' FROM ( SELECT REQUEST_NK, MAX(DOMAIN) AS DOMAIN, MIN(EVENT_DT) AS MIN_DT, MAX(EVENT_DT) AS MAX_DT, COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS, ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ FROM CLS WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org') AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days') AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00') GROUP BY REQUEST_NK ) WHERE DAYS > 3
Firefox comprueba la conexión WLAN para una página de inicio de sesión.
Citrix hace ping a su servidor, aunque la aplicación no se está ejecutando activamente.
Symantec verifica los certificados.
Mozilla busca actualizaciones, aunque en la configuración pidió no hacerlo.
mmo.de es un servicio de juegos. Lo más probable es que la solicitud inicie un chat de Facebook. Bloqueamos
Apple activa todos sus servicios. api-glb-fra.smoot.apple.com: a juzgar por la descripción, cada clic de botón se envÃa aquà para la optimización del motor de búsqueda. Muy sospechoso, pero relacionado con la funcionalidad. Nos vamos
La siguiente es una larga lista de llamadas a microsoft.com. Todos los dominios, a partir del tercer nivel, están bloqueados.
El número de subdominios del primer
Entonces, los primeros 10 minutos de encender Internet inalámbrico.
La mayorÃa de los subdominios son encuestados por iOS - 32. Le sigue Android - 24, luego Windows - 15 y el último Blackberry - 9.
La aplicación de Facebook solo sondea 10 dominios, Skype sondea 9 dominios.
Fuente de información
El origen del análisis fue el archivo de registro del servidor local bind9, que contiene el siguiente formato:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
El archivo se importó a la base de datos sqlite y se analizó mediante consultas SQL.
El servidor actúa como caché, las solicitudes provienen del enrutador, por lo que el cliente de solicitud siempre está solo. Una estructura de tabla bastante simplificada, es decir para el informe, necesita el tiempo de solicitud, la solicitud en sà y el dominio de segundo nivel para la agrupación.
Tablas DDL CREATE TABLE STG_BIND9_LOG ( LINE_NK INTEGER NOT NULL DEFAULT 1, DATE_NK TEXT NOT NULL DEFAULT 'na', TIME_NK TEXT NOT NULL DEFAULT 'na', CLI TEXT,
Conclusión
Por lo tanto, como resultado del análisis del registro del servidor de nombres de dominio, se censuraron más de 50 registros y se colocaron en la lista para su bloqueo.
La necesidad de algunas consultas ha sido bien descrita por los fabricantes de software e inspira confianza. Sin embargo, la mayor parte de la actividad es irrazonable y cuestionable.