RI
Ну извини, такова реальность
Многие вообще блоками по IP торгуют (не будем, впрочем, про это)
Size: a a a
2020 April 29
NA
ребят, вы что, мою презу открыли? серьезно.... напьюсь
RI
А ещё многие СЗИ не умеют в урлы.
Умеют только в домены ;)
Умеют только в домены ;)
Потому что а) не умеют оптимизировать разбор б) это второй по процессорозависимости и плохо распараллеливаемый процесс
$
ребят, вы что, мою презу открыли? серьезно.... напьюсь
Я открывал, иначе нафига ты ее сюда запилил?
$
Ruslan Ivanov
Потому что а) не умеют оптимизировать разбор б) это второй по процессорозависимости и плохо распараллеливаемый процесс
С б соглашусь лишь частично :)
v
А ещё многие СЗИ не умеют в урлы.
Умеют только в домены ;)
Умеют только в домены ;)
ИМХО. Если уж и играться в URL то только через проксю, там и перехват файлов и блокировка на лету. в общем много плюсов
$
ИМХО. Если уж и играться в URL то только через проксю, там и перехват файлов и блокировка на лету. в общем много плюсов
Это тема для холивара
И меня последнее время мало волнует. Я - разработка, а не архитектор :)
И делаю далеко не прокси)
И меня последнее время мало волнует. Я - разработка, а не архитектор :)
И делаю далеко не прокси)
v
ребят, вы что, мою презу открыли? серьезно.... напьюсь
Да ты посмотри какое обсуждение породило!
m
Ruslan Ivanov
Потому что а) не умеют оптимизировать разбор б) это второй по процессорозависимости и плохо распараллеливаемый процесс
хорошо, но для тех, кто не тянет легаси, а пилит с нуля
m
посмотри на ту же suricata
m
параллиться
m
+ регулярки на HyperScan, а не Ахо-Карасик
RI
С б соглашусь лишь частично :)
А как ты распараллелишь разбор одного конкретного URL? Ну ок, даже если ты сделаешь прематчинг по домену (предположим), URI-то нет
RI
ИМХО. Если уж и играться в URL то только через проксю, там и перехват файлов и блокировка на лету. в общем много плюсов
Дай я тебя обниму. Немногие это понимают.
NA
про dga: в инете есть 3 живых источника, поставляющие списки dga. обновляются каждый час и даже чаще. толку от них мало ибо за сутки прилетает до ляма уникальных. сиемы такого не вывозят
$
Ruslan Ivanov
А как ты распараллелишь разбор одного конкретного URL? Ну ок, даже если ты сделаешь прематчинг по домену (предположим), URI-то нет
Зависит от того что ты имеешь ввиду под «распараллелишь» да и нужно ли?))
m
про dga: в инете есть 3 живых источника, поставляющие списки dga. обновляются каждый час и даже чаще. толку от них мало ибо за сутки прилетает до ляма уникальных. сиемы такого не вывозят
+++
RI
хорошо, но для тех, кто не тянет легаси, а пилит с нуля
Не, ты не понял про что я. Если у тебя один конкретный URL - его парсинг всегда будет узким местом.
RI
про dga: в инете есть 3 живых источника, поставляющие списки dga. обновляются каждый час и даже чаще. толку от них мало ибо за сутки прилетает до ляма уникальных. сиемы такого не вывозят
Потому что нужны сигнатуры второго порядка - которые не по списку смотрят, есть или нет в базе, а смотрят попадает в генерацию алгоритма или нет
$
Ruslan Ivanov
Не, ты не понял про что я. Если у тебя один конкретный URL - его парсинг всегда будет узким местом.
Мы сейчас сова скатимся ко вчерашней нашей дискуссии на тему выбора поискового алгоритма в зависимости от...
А Горчаков отказался учить матчасть)
А Горчаков отказался учить матчасть)