[Hackmeeting] [TALK] ABCD - Analysis By Chained Daemons

Delete this message

Reply to this message
Autor: bolo
Data:  
Para: hackmeeting
Assunto: [Hackmeeting] [TALK] ABCD - Analysis By Chained Daemons
Proposta di talk da parte di $witch

############################################################################
ABCD - Analysis By Chained Daemons ($witch)
Giorno: Venerdì sera o Sabato pomeriggio
Durata: appena lo so ve lo scrivo
Abstract:
Nell'acqua di mare e' presente una piccola quantita' di oro; se
paragoniamo miriadi di righe di syslog all'acqua di mare ABCD esegue
l'equivalente della separazione dell'oro. rapidamente.

Prese a caso circa 22M di righe di syslog (proxy navigazione) e
sottopostele ad una sequenza di "awk", "grep" e "sort" risultano
evidenti, nell'elenco restante, 2 dominii fastflux.
il che implica il fallimento e/o inadeguatezza delle contromisure
aziendali relativamente a tale aspetto; questa informazione vale oro, SE
TEMPESTIVA.

ma

i migliori algoritmi esistenti richiedono molti secondi di
calcoli/attese per ciascuna analisi, il che e' in diretto contrasto con
la necessaria tempestivita' nell'avere l'informazione (senza la quale,
per noi, l'oro decade in piombo; sapere che 2 giorni addietro il pc di
un consulente ha contattato un fastflux che ora nemmeno esiste piu'
serve davvero a poco)

quindi verranno presentati i passi intrapresi ed il risultato fin qui
ottenuto in quanto a :

- implementazione di un sistema che, nel suo complesso, sia scalabile
almeno fino a 100K syslog/sec

- scrittura di codice (C) che faccia un uso non banale dei socket (a fa'
"hello world 'so bboni tutti......)

- ideazione, implementazione (ed abuso) di un protocollo di
comunicazione tra i vari demoni che eseguono il compito complessivo

- integrazione con sistemi, protocolli e tools esistenti (syslog, bind,
rdap, nmap, telnet)

N.B. : non essendo possibile replicare in loco la situazione reale
verranno mostrati solo dati registrati ed anonimizzati.
###########################################################################