Re: [Hackmeeting] [TALK] ABCD - Analysis By Chained Daemons

Delete this message

Reply to this message
Author: bolo
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] [TALK] ABCD - Analysis By Chained Daemons
Integro con la durata (1 ora e 30)

> ############################################################################
> ABCD - Analysis By Chained Daemons ($witch)
> Giorno: Venerdì sera o Sabato pomeriggio
> Durata: 1 ora e 30
> Abstract:
> Nell'acqua di mare e' presente una piccola quantita' di oro; se
> paragoniamo miriadi di righe di syslog all'acqua di mare ABCD esegue
> l'equivalente della separazione dell'oro. rapidamente.
>
> Prese a caso circa 22M di righe di syslog (proxy navigazione) e
> sottopostele ad una sequenza di "awk", "grep" e "sort" risultano
> evidenti, nell'elenco restante, 2 dominii fastflux.
> il che implica il fallimento e/o inadeguatezza delle contromisure
> aziendali relativamente a tale aspetto; questa informazione vale oro, SE
> TEMPESTIVA.
>
> ma
>
> i migliori algoritmi esistenti richiedono molti secondi di
> calcoli/attese per ciascuna analisi, il che e' in diretto contrasto con
> la necessaria tempestivita' nell'avere l'informazione (senza la quale,
> per noi, l'oro decade in piombo; sapere che 2 giorni addietro il pc di
> un consulente ha contattato un fastflux che ora nemmeno esiste piu'
> serve davvero a poco)
>
> quindi verranno presentati i passi intrapresi ed il risultato fin qui
> ottenuto in quanto a :
>
> - implementazione di un sistema che, nel suo complesso, sia scalabile
> almeno fino a 100K syslog/sec
>
> - scrittura di codice (C) che faccia un uso non banale dei socket (a fa'
> "hello world 'so bboni tutti......)
>
> - ideazione, implementazione (ed abuso) di un protocollo di
> comunicazione tra i vari demoni che eseguono il compito complessivo
>
> - integrazione con sistemi, protocolli e tools esistenti (syslog, bind,
> rdap, nmap, telnet)
>
> N.B. : non essendo possibile replicare in loco la situazione reale
> verranno mostrati solo dati registrati ed anonimizzati.
> ###########################################################################
> _______________________________________________
> Hackmeeting mailing list
> Hackmeeting@???
> https://www.autistici.org/mailman/listinfo/hackmeeting
>