Autor: bolo Data: Para: hackmeeting Assunto: [Hackmeeting] [TALK] ABCD - Analysis By Chained Daemons
Proposta di talk da parte di $witch
############################################################################
ABCD - Analysis By Chained Daemons ($witch)
Giorno: Venerdì sera o Sabato pomeriggio
Durata: appena lo so ve lo scrivo
Abstract:
Nell'acqua di mare e' presente una piccola quantita' di oro; se
paragoniamo miriadi di righe di syslog all'acqua di mare ABCD esegue
l'equivalente della separazione dell'oro. rapidamente.
Prese a caso circa 22M di righe di syslog (proxy navigazione) e
sottopostele ad una sequenza di "awk", "grep" e "sort" risultano
evidenti, nell'elenco restante, 2 dominii fastflux.
il che implica il fallimento e/o inadeguatezza delle contromisure
aziendali relativamente a tale aspetto; questa informazione vale oro, SE
TEMPESTIVA.
ma
i migliori algoritmi esistenti richiedono molti secondi di
calcoli/attese per ciascuna analisi, il che e' in diretto contrasto con
la necessaria tempestivita' nell'avere l'informazione (senza la quale,
per noi, l'oro decade in piombo; sapere che 2 giorni addietro il pc di
un consulente ha contattato un fastflux che ora nemmeno esiste piu'
serve davvero a poco)
quindi verranno presentati i passi intrapresi ed il risultato fin qui
ottenuto in quanto a :
- implementazione di un sistema che, nel suo complesso, sia scalabile
almeno fino a 100K syslog/sec
- scrittura di codice (C) che faccia un uso non banale dei socket (a fa'
"hello world 'so bboni tutti......)
- ideazione, implementazione (ed abuso) di un protocollo di
comunicazione tra i vari demoni che eseguono il compito complessivo
- integrazione con sistemi, protocolli e tools esistenti (syslog, bind,
rdap, nmap, telnet)
N.B. : non essendo possibile replicare in loco la situazione reale
verranno mostrati solo dati registrati ed anonimizzati.
###########################################################################