Hlavní navigace

Názor k článku Data retention v Česku prakticky I. - co a jak se uchovává od Miloslav Ponkrác - Vyhledávání v takových datech i indexace je trivka. Převedu...

  • Článek je starý, nové názory již nelze přidávat.
  • 3. 4. 2010 15:26

    Miloslav Ponkrác
    Vyhledávání v takových datech i indexace je trivka.

    Převedu do podoby, kde nebude IP adresa, ale index IP adresy. Například budu předpokládat, že na mé síti se vyskytuje max. 256 IP adres, tak šup, budu zaznamenávat jen číslo od 0 do 255 (1 bajt). Druhou adreus budu zaznamenávat plnou (4 bajty). Ale ani druhých IP adres není plný 32 bitový prostor, i tam se dá mapovat a snížit velikost.

    Ukládat čas s přesností na vteřinu se dá do 4 bajtů, viz Unix timestamp.

    Takže jednoduchým způsobem, který by udělal každý, kdo by měl obětovávat místo na logy jsem Váš odhaz z 16 bajtů na záznam skrouhnul na 9 bajtů na záznam. Ve skutečnosti se dá skrouhnout ještě více, a to stále budu ještě u nezávislého záznamu logu.

    Pokud budu ukládat některá data rozdílově proti předchozímu záznamu, stáhnu to velmi výrazně níže. Například čas se dá ukládat jedním bajtem, pokud bude obsahovat rozdíl času proti předchozímu záznamu. V tuto chvíli jsem 6 bajtech na záznam. Stále mám pevnou délku záznamu.

    Pokud dovolím proměnnou délku záznamu, dá se to velmi výrazně stáhnout dolů.

    Dále se dají sloučit do jednoho stejné záznamy. Vzhledem k tomu, že posíláte každých 10 ms spojení, stačí do logu napsat 100× v této sekundě stejný záznam. V tuto chvíli nejste schopen vygenerovat více, než 86400 záznamů za den v celkové velikosti logu max. stovek KB.

    Dále mohu slučovat záznamy lišící se pouze časem a ukládat jen rozdílově čas. Zbytek je stejný – to by asi Váš útok zcela zrušilo a učinilo směšným, a stlačilo log celého Vašeho útoku na max. několik KB za den.

    A tak bych mohl pokračovat a pokračovat. Zdaleka nejsme u konce s možnostmi.

    A první útok tohoto druhu by vedl k úpravě logu tímto směrem, tudíž by fungoval jen jednou.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).