Ein Heimrouter (in diesem Fall FritzBox) weiß, wie man viel registriert: wie viel Verkehr, wenn er geht, wer mit welcher Geschwindigkeit verbunden ist usw. Um herauszufinden, was unter fremden Adressen verborgen ist, wurde ich von einem Domain Name Server (DNS) im lokalen Netzwerk unterstützt.
Im Allgemeinen wirkte sich DNS positiv auf das Heimnetzwerk aus: zusätzliche Geschwindigkeit, Ausfallsicherheit und Verwaltbarkeit.
Unten finden Sie eine Tabelle, die Fragen aufwirft und die Notwendigkeit, zu verstehen, was passiert. Die Ergebnisse haben bereits bekannte und funktionierende Abfragen an Domain Name Server herausgefiltert.
Warum werden täglich 60 obskure Domains abgefragt, während sie noch schlafen?
Täglich werden 440 unbekannte Domains in aktiver Zeit abgefragt. Wer sind sie und was machen sie?
Durchschnittliche tägliche Suche pro Stunde
SQL-BerichtsanforderungWITH CLS AS ( SELECT DISTINCT DATE_NK, STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' || CASE SUBSTR(DATE_NK,4,3) WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06' WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11' ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT, REQUEST_NK, DOMAIN FROM STG_BIND9_LOG ) SELECT 1 as 'Line: DNS Requests per Day for Hours', strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) AS 'Day', ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS 'Requests per Day' FROM CLS WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org') AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days') GROUP BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch')) ORDER BY strftime('%H:00', datetime(EVENT_DT, 'unixepoch'))
Nachts ist der drahtlose Zugriff deaktiviert und es wird eine Geräteaktivität erwartet, d. H. Es gibt keine Übersicht über obskure Domänen. Dies bedeutet, dass die meisten Aktivitäten von Geräten mit Betriebssystemen wie Android, iOS und Blackberry OS ausgehen.
Listen Sie die Domains auf, die intensiv abgefragt werden. Die Intensität wird durch Parameter wie die Anzahl der Anfragen pro Tag, die Anzahl der Aktivitätstage und die Anzahl der Stunden des Tages bestimmt.
Alle erwarteten Verdächtigen erschienen auf der Liste.
Intensiv abgefragte Domains
SQL-Berichtsanforderung WITH CLS AS ( SELECT DISTINCT DATE_NK, STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' || CASE SUBSTR(DATE_NK,4,3) WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06' WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11' ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT, REQUEST_NK, DOMAIN FROM STG_BIND9_LOG ) SELECT 1 as 'Table: Havy DNS Requests', REQUEST_NK AS 'Request', DOMAIN AS 'Domain', REQ AS 'Requests per Day', DH AS 'Hours per Day', DAYS AS 'Active Days' FROM ( SELECT REQUEST_NK, MAX(DOMAIN) AS DOMAIN, COUNT(DISTINCT REQUEST_NK) AS SUBD, COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS, ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ, ROUND(1.0*COUNT(DISTINCT strftime('%d.%m %H', datetime(EVENT_DT, 'unixepoch')))/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS DH FROM CLS WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org') AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days') GROUP BY REQUEST_NK ) WHERE DAYS > 9
Wir blockieren ic.blackberry.com und iceberg.blackberry.com, was der Hersteller aus Sicherheitsgründen rechtfertigt. Ergebnis: Wenn Sie versuchen, eine Verbindung zum WLAN herzustellen, wird die Anmeldeseite angezeigt und es wird nie wieder eine Verbindung hergestellt. Entsperren.
Detectportal.firefox.com ist der gleiche Mechanismus, der nur im Firefox-Browser implementiert ist. Melden Sie sich bei Bedarf beim WLAN an und zeigen Sie zuerst die Anmeldeseite an. Es ist nicht ganz klar, warum die Adresse so oft gepingt wird, aber der Mechanismus ist beim Hersteller erhältlich.
Skype. Die Aktionen dieses Programms ähneln einem Wurm: Es versteckt sich und lässt sich nicht in der Taskleiste töten. Es generiert viel Datenverkehr im Netzwerk und pingt alle 10 Minuten 4 Domänen an. Beim Tätigen eines Videoanrufs wird die Internetverbindung ständig mobilisiert, wenn sie nicht mehr besser sein kann. Während es notwendig ist, bleibt es so.
upload.fp.measure.office.com - bezieht sich auf Office 365 und hat keine anständige Beschreibung gefunden.
browser.pipe.aria.microsoft.com - hat keine anständige Beschreibung gefunden.
Beide blockieren.
connect.facebook.net ist eine Facebook-Chat-Anwendung. Es bleibt.
mediator.mail.ru Die Analyse aller Mail.ru-Domain-Anfragen ergab, dass eine große Menge an Werbemittel und Statistiksammlern vorhanden ist, was zu Misstrauen führt. Die mail.ru Domain ist komplett auf der schwarzen Liste.
google-analytics.com - hat keinen Einfluss auf die Funktionalität von Geräten, daher blockieren wir diese.
doubleclick.net - zählt Anzeigenklicks. Wir blockieren.
Viele Anfragen gehen an googleapis.com. Das Blockieren führte zu einer freudigen Trennung von Kurznachrichten auf dem Tablet, die mir albern erscheinen. Aber der Playstore hat aufgehört zu funktionieren, also entsperren wir ihn.
cloudflare.com - sie schreiben, dass sie Open Source Code lieben und schreiben im Allgemeinen viel über sich. Die Intensität der Domain-Umfrage, die oft viel höher ist als die Aktivität im Internet, ist nicht ganz klar. Lassen wir es jetzt.
Daher ist die Intensität der Anforderungen häufig mit der erforderlichen Funktionalität der Geräte verbunden. Aber auch diejenigen, die mit Aktivität übertrieben waren, wurden entdeckt.
Ganz zuerst
Im Moment des Einschaltens des drahtlosen Internets schlafen sie noch und es besteht die Möglichkeit zu sehen, welche Anforderungen zuerst an das Netzwerk gesendet werden. Um 6:50 Uhr wird das Internet eingeschaltet und in den ersten zehn Minuten werden täglich 60 Domains abgefragt:
SQL-Berichtsanforderung WITH CLS AS ( SELECT DISTINCT DATE_NK, STRFTIME( '%s', SUBSTR(DATE_NK,8,4) || '-' || CASE SUBSTR(DATE_NK,4,3) WHEN 'Jan' THEN '01' WHEN 'Feb' THEN '02' WHEN 'Mar' THEN '03' WHEN 'Apr' THEN '04' WHEN 'May' THEN '05' WHEN 'Jun' THEN '06' WHEN 'Jul' THEN '07' WHEN 'Aug' THEN '08' WHEN 'Sep' THEN '09' WHEN 'Oct' THEN '10' WHEN 'Nov' THEN '11' ELSE '12' END || '-' || SUBSTR(DATE_NK,1,2) || ' ' || SUBSTR(TIME_NK,1,8) ) AS EVENT_DT, REQUEST_NK, DOMAIN FROM STG_BIND9_LOG ) SELECT 1 as 'Table: First DNS Requests at 06:00', REQUEST_NK AS 'Request', DOMAIN AS 'Domain', REQ AS 'Requests', DAYS AS 'Active Days', strftime('%H:%M', datetime(MIN_DT, 'unixepoch')) AS 'First Ping', strftime('%H:%M', datetime(MAX_DT, 'unixepoch')) AS 'Last Ping' FROM ( SELECT REQUEST_NK, MAX(DOMAIN) AS DOMAIN, MIN(EVENT_DT) AS MIN_DT, MAX(EVENT_DT) AS MAX_DT, COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))) AS DAYS, ROUND(1.0*SUM(1)/COUNT(DISTINCT strftime('%d.%m', datetime(EVENT_DT, 'unixepoch'))), 1) AS REQ FROM CLS WHERE DOMAIN NOT IN ('in-addr.arpa', 'IN-ADDR.ARPA', 'local', 'dyndns', 'nas', 'ntp.org') AND datetime(EVENT_DT, 'unixepoch') > date('now', '-20 days') AND strftime('%H', datetime(EVENT_DT, 'unixepoch')) = strftime('%H', '2019-08-01 06:50:00') GROUP BY REQUEST_NK ) WHERE DAYS > 3
Firefox überprüft die WLAN-Verbindung auf eine Anmeldeseite.
Citrix pingt seinen Server an, obwohl die Anwendung nicht aktiv ausgeführt wird.
Symantec überprüft Zertifikate.
Mozilla sucht nach Updates, obwohl er in den Einstellungen darum gebeten hat, dies nicht zu tun.
mmo.de ist ein Spieledienst. Höchstwahrscheinlich initiiert die Anfrage einen Facebook-Chat. Wir blockieren.
Apple aktiviert alle seine Dienste. api-glb-fra.smoot.apple.com - Nach der Beschreibung wird hier jeder Knopfklick zur Suchmaschinenoptimierung gesendet. Sehr verdächtig, aber in Bezug auf die Funktionalität. Wir gehen.
Das Folgende ist eine lange Liste von Anrufen bei microsoft.com. Alle Domains ab der dritten Ebene sind gesperrt.
Die Anzahl der Subdomains der allerersten
Also die ersten 10 Minuten nach dem Einschalten des drahtlosen Internets.
Die meisten Subdomains werden von iOS - 32 abgefragt. Es folgen Android - 24, dann Windows - 15 und das letzte Blackberry - 9.
Allein die Facebook-Anwendung fragt 10 Domains ab, Skype 9 Domains.
Informationsquelle
Die Quelle für die Analyse war die Protokolldatei des lokalen bind9-Servers, die das folgende Format enthält:
01-Aug-2019 20:03:30.996 client 192.168.0.2#40693 (api.aps.skype.com): query: api.aps.skype.com IN A + (192.168.0.102)
Die Datei wurde in die SQLite-Datenbank importiert und mithilfe von SQL-Abfragen analysiert.
Der Server fungiert als Cache. Anforderungen kommen vom Router, sodass der Anforderungsclient immer allein ist. Eine ziemlich vereinfachte Tabellenstruktur, d.h. Für den Bericht benötigen Sie die Anforderungszeit, die Anforderung selbst und die Domäne der zweiten Ebene für die Gruppierung.
DDL-Tabellen CREATE TABLE STG_BIND9_LOG ( LINE_NK INTEGER NOT NULL DEFAULT 1, DATE_NK TEXT NOT NULL DEFAULT 'na', TIME_NK TEXT NOT NULL DEFAULT 'na', CLI TEXT,
Fazit
Als Ergebnis der Analyse des Domain Name Server-Protokolls wurden mehr als 50 Datensätze zensiert und zum Blockieren in die Liste aufgenommen.
Die Notwendigkeit einiger Abfragen wurde von den Softwareherstellern gut beschrieben und schafft Vertrauen. Der Großteil der Aktivitäten ist jedoch unvernünftig und fragwürdig.