Ретро

Пономаренко Роман
http://t.me/rerand0m
rerandom@ispras.ru

28.09.2023
good boy

Наши логи - самые быстрые логи!

speed

По мнению наших логов, но с этим согласны не все.

Хоть никто не спорит, что они thread-safe.

Стабильность - наше всё!

crush

Вы не увидите тут никаких crushlog.

Быстрое внедрение кода

fast ci/cd

Никакого ночного фаззинг-тестирования

Наши потоки умеют делиться ресурсами

sharing resource

Цикл статей про потокобезопасность с HP

Цикл статей про lock-free

Disruptor: раз два три

В очередь, сукины дети, в очередь!

to queue

Ода очереди Вьюкова

Что сам Вьюков писал про очереди

Нужно больше заметок про очереди!

Easy to use

too complicated

Никаких регулярных выражений!

Одна Протосфера - разные применения

  • Фильтрация L7
  • Выделение данных
  • Всё и сразу
  • (Генерация событий)
multitool

В определённых случаях мы можем не хранить связи между блоками, но sizeof(singleFragment) == 112.

Только 15-20% блоков приходится на остов дерева разбора.

Кроссплатформенность

Существуют библиотеки корутин и очередей, например:

windows troubles

Но мы не ищем лёгких путей!

Про память

I need more memory

LRU

LRU good example

LRU

LRU bad example

IMHO

Память рано или поздно закончится.

  • Удалять данные сразу (опробовано, не понравилось)
  • Хранить все связи и оповещать при удалении
  • 3 вариант?

Моэ-антропоморфизм

mascot

Протосфер-тян

Про заказчиков

Нвижн 2019

  • Детектирование майнинга, nat, cnc и вирусной активности
  • Подсчёт статистик L3-L7 и экспорт их в БД
  • Классификация http(s) по категориям
  • Запись трафика по критерию / событию
  • Реконфигурация движка "на лету"
pokemon1

ЛК 2022

  • Для SD-WAN для определения по какому каналу можно направить трафик (дешёвому или быстрому)
  • Для NGFW
  • SSL-offload внешними средствами
  • Упор на низкие задержки и возможность параллельной обработки
  • Запуск на широком диапазоне железок 4CPU/512Mb ... 64CPU/очень_много_Gb
  • Частный случай - Ms Teams и WebRTC
pokemon3

Чебоксары 2023

  • Понимать кто, через какой порт, внес какие изменения в продукт либо в инфраструктуру
  • Оперативно реагировать на инциденты
  • Интеграция с SIEM
pokemon2

Кто-то всегда

  • Нужен ndpi на стероидах
  • У нас сейчас ndpi и он нас не устраивает
  • Надо параллельно
  • Надо глубоко
  • Надо расширяемо
  • И чтобы API не менялся
pokemon4

Л банк

  • ПАК
  • Сбор метрик
  • TCP, UDP, HTTP, h2, PostgreSQL, MySQL, Mongo, Redis ...
  • Возможность фильтрации по содержимому http
  • Формирование отчётов по запросам
  • Переход из отчётов к записи трафика
pokemon5

Новое начало

  • Статьи/конференции/выступления
  • События, статистики
  • Новые frontend'ы: генерация *flow, события
  • Работа над детектированием приложений: от соц сетей до онлайн игр
  • Реконфигурация "на лету"
  • Создание тестового стенда: понятная производительность
  • Хранение трафика
  • Формирование базовых требований исходя из законодательства
  • А вот на PHdays...
this is the end?