Bug #4253
closedHandling of too big events
0%
Description
Date: Wed, 1 Aug 2018 11:11:56 +0200
From: Radko Krkoš <krkos@cesnet.cz>Zdravím páni,
v rámci dlhodobého ladenia a monitorovania výkonu PostgreSQL pod
Mentatom na (dnes už) mentat-hub som si všimol kuriózny typ udalosti.
Jedná sa o detekciu na našom tarpite, zdroj 185.141.60.128 (Telenor
India), ktorý zdá sa skenuje stále dookola celý tento dark rozsah.
Udalosť je nahlasovaná každých cca 15 minút, má desiatky cieľových
adries a portov. Príklad udalosti (bezpečné):https://mentat-hub.cesnet.cz/mentat/events/show/26aa5f45-1a36-4bf4-b1ee-f2d5e9e1c140
Jednoduché hľadanie na túto adresu ako zdroj trvalo vyše 16 minút,
PostgreSQL vrátil výsledok prakticky okamžite (určite pod 2s, do logu sa
dotaz nedostal), úzke hrdlo bolo spracovanie v apache ktorý to zvyšok
času formátoval na jednom jadre.
Ďalšia vec je zobrazenie na klientovi, to tiež pár minút trvalo a po
dokončení (javascript?) vyťažuje jedno jadro na plno a prakticky sa to
celé nedá používať.Myslím že takto oznamovaná udalosť nie je príliš užitočná k ničomu,
nejaké mapovania na ktorých IP boli skenované ktoré porty či to ktoré
práve cieľové adresy pripadli na toto okno sú naozaj len výsledky zákona
veľkých čísel a malého okna.Kto má cz.cesnet.tarpit na starosti? Zdá sa mi že pharook spomínal že
Pavel Vachek ale už minule robil zásahy do agregátoru nakoniec pharook sám.Ako radíte postupovať? RT? Je to konektor vo warden-contrib hp-labrea?
Ak áno, mám porozmýšľať nad implementáciou nejakej silnejšej agregačnej
logiky pre takéto extrémne prípady?Alebo to chceme s takouto úrovňou detailov s tým že práca s týmito
udalosťami sa bude musieť diať mimo Mentat?
Zlepšenie v Mentate asi nebude jednoduché, formátovanie v apache v
multithreade by na implementácii zrejme zabralo viac času ako by bolo
slušné. A čo spraviť na strane klienta si ani neviem predstaviť.
Related issues