يعرف جهاز التوجيه المنزلي (في هذه الحالة FritzBox) كيفية التسجيل كثيرًا: مقدار حركة المرور عند حدوثها ، ومن المتصل بسرعة ما ، وما إلى ذلك. لمعرفة ما هو مخفي تحت عناوين غريبة ، تلقيت مساعدة من خادم اسم المجال (DNS) على الشبكة المحلية.
بشكل عام ، كان لـ DNS تأثير إيجابي على الشبكة المنزلية: السرعة المضافة والمرونة وسهولة الإدارة.
يوجد أدناه جدول يثير الأسئلة والحاجة إلى فهم ما يحدث. قامت النتائج بالفعل بتصفية استعلامات معروفة وعاملة لخوادم اسم المجال.
لماذا يتم استطلاع 60 مجالًا غامضًا يوميًا أثناء نومهم؟
كل يوم ، يتم استطلاع 440 مجالًا غير معروف في الوقت الفعلي. من هم وماذا يفعلون؟
متوسط عمليات البحث اليومية في الساعة
طلب تقرير SQLWITH CLS AS ( SELECT DISTINCT DATE_NK, STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' || CASE SUBSTR(DATE_NK,4,3) WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06' WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11' ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT, REQUEST_NK, DOMAIN FROM STG_BIND9_LOG ) SELECT 1 as 'Line: DNS Requests per Day for Hours', strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day', ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day' FROM CLS WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org') AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days') GROUP BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
في الليل ، يتم تعطيل الوصول اللاسلكي ويتوقع نشاط الجهاز ، أي لا يوجد مسح للنطاقات الغامضة. هذا يعني أن معظم النشاط يأتي من أجهزة مزودة بأنظمة تشغيل مثل Android و iOS و Blackberry OS.
ضع قائمة بالمجالات التي يتم استطلاعها بشكل مكثف. سيتم تحديد الكثافة بواسطة معلمات مثل عدد الطلبات في اليوم ، وعدد أيام النشاط ، وعدد ساعات اليوم التي تم ملاحظتها.
كل المشتبه بهم المتوقعين ظهروا في القائمة.
المجالات شملهم الاستطلاع
طلب تقرير SQL WITH CLS AS ( SELECT DISTINCT DATE_NK, STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' || CASE SUBSTR(DATE_NK,4,3) WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06' WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11' ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT, REQUEST_NK, DOMAIN FROM STG_BIND9_LOG ) SELECT 1 as 'Table: Havy DNS Requests', REQUEST_NK AS 'Request', DOMAIN AS 'Domain', REQ AS 'Requests per Day', DH AS 'Hours per Day', DAYS AS 'Active Days' FROM ( SELECT REQUEST_NK, MAX(DOMAIN) AS DOMAIN, COUNT(DISTINCT REQUEST_NK) AS SUBD, COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS, ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ, ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH FROM CLS WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org') AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days') GROUP BY REQUEST_NK ) WHERE DAYS > 9
نحن نحظر ic.blackberry.com و iceberg.blackberry.com ، والتي سوف تبررها الشركة المصنعة لأسباب أمنية. النتيجة: عند محاولة الاتصال بشبكة WLAN ، فإنها تعرض صفحة تسجيل الدخول ولا تتصل مطلقًا مرة أخرى. فتح.
detectportal.firefox.com هي نفس الآلية ، يتم تنفيذها فقط في متصفح Firefox. إذا لزم الأمر ، قم بتسجيل الدخول إلى شبكة WLAN ، وأظهر أولاً صفحة تسجيل الدخول. ليس من الواضح تمامًا سبب تنفيذ الأمر ping للعنوان في كثير من الأحيان ، ولكن الآلية متوفرة من الشركة المصنعة.
سكايب. تتشابه إجراءات هذا البرنامج مع الدودة: إنه يخفي ولا يسمح لنفسه بالقتل في شريط المهام ، فهو يولد الكثير من حركة المرور على الشبكة ، الأصوات ping 4 مجالات كل 10 دقائق. عند إجراء مكالمة فيديو ، يتم تعبئة اتصال الإنترنت باستمرار ، عندما لا يكون ذلك أفضل. في حين أنه ضروري ، لذلك يبقى.
upload.fp.measure.office.com - يشير إلى Office 365 ، ولم يجد وصفًا لائقًا.
browser.pipe.aria.microsoft.com - لم يعثر على وصف لائق.
كلاهما يحجب.
connect.facebook.net هو تطبيق دردشة فيسبوك. يبقى.
أظهر mediator.mail.ru تحليل جميع طلبات نطاق mail.ru وجود قدر كبير من موارد الإعلانات وجامعي الإحصائيات ، مما يسبب عدم الثقة. نطاق mail.ru مدرج بالكامل في القائمة السوداء.
google-analytics.com - لا يؤثر على وظائف الأجهزة ، وبالتالي فإننا نمنعها.
doubleclick.net - حساب نقرات الإعلانات. نحن كتلة.
الكثير من الطلبات تذهب إلى googleapis.com. أدى الحجب إلى قطع الاتصال بالرسائل القصيرة على الجهاز اللوحي والتي تبدو سخيفة بالنسبة لي. ولكن توقف playstore العمل ، لذلك نحن فتحه.
cloudflare.com - يكتبون أنهم يحبون شفرة المصدر المفتوح ، وبشكل عام ، يكتبون الكثير عن أنفسهم. إن كثافة دراسة المجال ، والتي غالباً ما تكون أعلى بكثير من النشاط على الإنترنت ، ليست واضحة تمامًا. دعنا نترك الأمر الآن.
وبالتالي ، غالبًا ما ترتبط شدة الاستعلام بالوظائف اللازمة للأجهزة. لكن أولئك الذين تناولوا النشاط الزائد تم اكتشافهم أيضًا.
أولا جدا
في لحظة تشغيل الإنترنت اللاسلكي ، لا يزالون ينامون وهناك فرصة لمعرفة الطلبات التي يتم إرسالها إلى الشبكة أولاً. لذا ، في تمام الساعة 6:50 ، يتم تشغيل الإنترنت وفي أول عشر دقائق من الوقت يتم استطلاع 60 نطاقًا يوميًا:
طلب تقرير SQL WITH CLS AS ( SELECT DISTINCT DATE_NK, STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' || CASE SUBSTR(DATE_NK,4,3) WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06' WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11' ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT, REQUEST_NK, DOMAIN FROM STG_BIND9_LOG ) SELECT 1 as 'Table: First DNS Requests at 06:00', REQUEST_NK AS 'Request', DOMAIN AS 'Domain', REQ AS 'Requests', DAYS AS 'Active Days', strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping', strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping' FROM ( SELECT REQUEST_NK, MAX(DOMAIN) AS DOMAIN, MIN(EVENT_DT) AS MIN_DT, MAX(EVENT_DT) AS MAX_DT, COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS, ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ FROM CLS WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org') AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days') AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00') GROUP BY REQUEST_NK ) WHERE DAYS > 3
يتحقق Firefox من اتصال شبكة WLAN لصفحة تسجيل الدخول.
سيتريكس الأصوات الخادم الخاص به ، على الرغم من أن التطبيق لا يعمل بنشاط.
سيمانتك تتحقق من الشهادات.
يبحث Mozilla عن التحديثات ، على الرغم من أنه في الإعدادات طلب عدم القيام بذلك.
mmo.de هي خدمة اللعبة. على الأرجح أن يبدأ الطلب دردشة فيسبوك. نحن كتلة.
تقوم Apple بتنشيط جميع خدماتها. api-glb-fra.smoot.apple.com - استنادًا إلى الوصف ، يتم إرسال كل نقرة زر هنا لتحسين محرك البحث. مشبوهة جدا ، ولكن تتعلق وظيفة. نترك.
فيما يلي قائمة طويلة من المكالمات إلى microsoft.com. جميع المجالات ، بدءا من المستوى الثالث ، يتم حظرها.
عدد المجالات الفرعية للأول
لذلك ، أول 10 دقائق من تشغيل الإنترنت اللاسلكي.
يتم استطلاع معظم النطاقات الفرعية بواسطة iOS - 32. يتبعه Android - 24 ، ثم Windows - 15 وآخر Blackberry - 9.
استطلاعات تطبيق Facebook بمفرده 10 مجالات واستطلاعات سكايب 9 مجالات
مصدر المعلومات
مصدر التحليل هو ملف سجل خادم bind9 المحلي ، والذي يحتوي على التنسيق التالي:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
تم استيراد الملف إلى قاعدة بيانات sqlite وتحليله باستخدام استعلامات SQL.
يعمل الخادم كذاكرة تخزين مؤقت ، وتأتي الطلبات من جهاز التوجيه ، لذلك يكون عميل الطلب وحده دائمًا. بنية جدول مبسطة إلى حد ما ، أي بالنسبة للتقرير ، فأنت بحاجة إلى وقت الطلب والطلب نفسه ومجال المستوى الثاني للتجميع.
الجداول DDL CREATE TABLE STG_BIND9_LOG ( LINE_NK INTEGER NOT NULL DEFAULT 1, DATE_NK TEXT NOT NULL DEFAULT 'na', TIME_NK TEXT NOT NULL DEFAULT 'na', CLI TEXT,
استنتاج
وبالتالي ، نتيجة لتحليل سجل خادم اسم المجال ، تم مراقبة أكثر من 50 سجلًا ووضعها في قائمة الحظر.
تم وصف الحاجة إلى بعض الاستعلامات بشكل جيد من قبل الشركات المصنعة للبرامج وتلهم الثقة. ومع ذلك ، فإن معظم النشاط غير معقول ومشكوك فيه.