Monday, July 01, 2019

Reference: TaoSecurity Press

I started appearing in media reports in 2000. I used to provide this information on my Web site, but since I don't keep that page up-to-date anymore, I decided to publish it here.

Reference: TaoSecurity Research

I started publishing my thoughts and findings on digital security in 1999. I used to provide this information on my Web site, but since I don't keep that page up-to-date anymore, I decided to publish it here.

2015 and later:

  • Please visit Academia.edu for Mr. Bejtlich's most recent research.
2014 and earlier:

Reference: TaoSecurity News

I started speaking publicly about digital security in 2000. I used to provide this information on my Web site, but since I don't keep that page up-to-date anymore, I decided to publish it here.
  • 2017
    • Mr. Bejtlich led a podcast titled Threat Hunting: Past, Present, and Future, in early July 2017. He interviewed four of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original six GE-CIRT incident handlers. The audio is posted on YouTube. Thank you to Sqrrl for making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reunion possible.
    • Mr. Bejtlich's latest book was inducted into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cybersecurity Canon.
    • Mr. Bejtlich is doing limited security consulting. See this blog post for details.
  • 2016
    • Mr. Bejtlich organized and hosted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Management track (now "Executive track") at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 7th annual Mandiant MIRCon (now "FireEye Cyber Defense Summit") on 29-30 November 2016.
    • Mr. Bejtlich delivered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2016 Air Force Senior Leaders Orientation Conference at Joint Base Andrews on 29 July 2016.
    • Mr. Bejtlich delivered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FireEye Cyber Defense Live Tokyo event in Tokyo on 12 July 2016.
    • Mr. Bejtlich delivered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New Zealand Cyber Security Summit in Auckland on 6 May 2016.
    • Mr. Bejtlich delivered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lexpo Summit in Amsterdam on 21 April 2016. Video posted here.
    • Mr. Bejtlich discussed cyber security campaigns at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2016 War Studies Cumberland Lodge Conference near London on 30 March 2016.
    • Mr. Bejtlich offered a guest lecture to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wilson Center Congressional Cybersecurity Lab on 5 February 2016.
    • Mr. Bejtlich delivered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Cyber Threat Intelligence Summit on 4 February 2016. Slides and video available.
  • 2015
    • Mr. Bejtlich spoke on a panel at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DefenseOne Summit on 2 November 2015.
    • Mr. Bejtlich spoke on a panel at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AEI Internet Strategy event on 27 October 2015.
    • Mr. Bejtlich organized and hosted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Management track at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6th annual Mandiant MIRCon on 13-14 October 2015.
    • Mr. Bejtlich testified to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Foreign Affairs Committee on 7 October 2015.
    • Mr. Bejtlich testified to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Armed Services Committee on 30 September 2015.
    • Mr. Bejtlich delivered a keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2015 Army Cyber Institute Cyber Talks on 22 September 2015 in Washington, DC.
    • Mr. Bejtlich delivered a keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2015 Security Onion Conference on 11 September 2015 in Augusta, GA.
    • Mr. Bejtlich delivered a keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2015 World Services Group Conference on 10 September 2015 in New York, NY.
    • Mr. Bejtlich delivered a keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CoBank 2015 Communications Industry Executive Forum on 19 August 2015 in Colorado Springs, CO.
    • Mr. Bejtlich delivered a keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Black Hat USA 2015 CISO Summit on 4 August 2015 in Las Vegas, NV.
    • Mr. Bejtlich participated in an panel hosted by AEI on 22 July 2015, with video.
    • Mr. Bejtlich spoke on a panel at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chatham House Cyber 2015 event, 2-3 July 2015 in London, UK.
    • Mr. Bejtlich participated in a panel hosted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Journal on 24 June 2015.
    • Mr. Bejtlich testified to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Committee on Financial Services Subcommittee on Oversight and Investigations on 16 June 2015.
    • Mr. Bejtlich spoke on a panel at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Summit USA on 3 June 2015.
    • Mr. Bejtlich testified to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Permanent Select Committee on Intelligence on 19 March 2015.
    • Mr. Bejtlich testified to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Oversight and Government Reform Subcommittee on Information Technology on 18 March 2015.
    • Mr. Bejtlich testified to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Energy and Commerce Committee on 3 March 2015.
    • Mr. Bejtlich spoke on a panel at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Washington Business Journal cyber conference on 26 February 2015.
    • Mr. Bejtlich spoke on a panel at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wall Street Journal CIO Network conference on 3 February 2015.
    • Mr. Bejtlich testified to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Senate Committee on Homeland Security and Government Affairs on 28 January 2015.
  • 2014
    • Mr. Bejtlich taught Network Security Monitoring 101 at Black hat Trainings 2014: 8-9 December 2014 / Potomac, MD.
    • Mr. Bejtlich organized and hosted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Management track at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5th annual Mandiant MIRCon on 8-9 October 2014.
    • Mr. Bejtlich delivered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote address at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inaugural Security Onion conference on 12 September 2014 in Augusta, GA.
    • Mr. Bejtlich delivered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote address (video) at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inaugural ArchC0n conference on 6 September 2014 in St Louis, MO.
    • Mr. Bejtlich taught Network Security Monitoring 101 at Black Hat USA 2014: 4-5 August 2014 / Las Vegas, NV.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Cyber Crime Conference on 29 April 2014. Video online at Youtube.
    • Mr. Bejtlich recorded a Webcast titled Defining and Justifying an Advanced Security Program for FireEye on 17 March 2014.
    • Mr. Bejtlich participated in a podcast titled Ukraine Crisis, Target Breach, and Edward Snowden: What's Next for U.S. Cyber Policy? for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Brookings Institution on 13 March 2014.
    • Mr. Bejtlich participated on a panel hosted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Center for National Policy on Building a cybersecurity roadmap: A Monitor, Center for National Policy seminar on 12 February 2014.
    • Mr. Bejtlich spoke about digital security at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Boston Infragard quarterly meeting on 11 February 2014.
    • Mr. Bejtlich delivered a lecture on digital security at West Point on 15 January 2014.
    • Mr. Bejtlich spoke about digital security at seminars supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD Minerva Initiative at MIT and Harvard Kennedy School on 7-8 January 2014.
  • 2013
    • Mr. Bejtlich taught Network Security Monitoring 101 at Black Hat Seattle 2013: 9-10 December 2013 / Seattle, WA.
    • Mr. Bejtlich offered a guest lecture on digital security at George Washington University on 23 November 2013.
    • Mr. Bejtlich spoke about digital security at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mid-Atlantic CIO Council on 21 November 2013.
    • Mr. Bejtlich was a panelist at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Brookings Institute on 19 November 2013.
    • Mr. Bejtlich offered several guest lectures on digital security at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Massachusetts Institute of Technology on 18 November 2013.
    • Mr. Bejtlich was a panelist at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Atlantic Council on 15 November 2013.
    • Mr. Bejtlich organized and hosted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Management track at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4th annual Mandiant MIRCon on 5-6 November 2013.
    • Mr. Bejtlich was a panelist at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Free Thinking Film Festival on 2 November 2013.
    • Mr. Bejtlich offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Ark user conference on 30 October 2013.
    • Mr. Bejtlich was a panelist at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Indiana University Center for Applied Cybersecurity Research on 21 October 2013.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national ISSA conference on 10 October 2013.
    • Mr. Bejtlich was a panelist at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Politico Cyber 7 event on 8 October 2013.
    • Mr. Bejtlich offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSides August 2013 conference on 14 September 2013.
    • Mr. Bejtlich taught Network Security Monitoring 101 at Black Hat USA 2013: 27-28 and 29-30 July 2013 / Las Vegas, NV.
    • Mr. Bejtlich was a panelist at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chatham House Cyber Security Conference in London, England on 10 June 2013.
    • Mr. Bejtlich appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentary Hacked, first available 7 June 2013.
    • Mr. Bejtlich was interviewed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Center for National Policy, with video archived, on 15 May 2013.
    • Mr. Bejtlich delivered a keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT Web Security Summit in Johannesburg, South Africa on 8 May 2013.
    • Mr. Bejtlich was a panelist at The George Washington University and US News & World Report Cybersecurity Conference on 26 April 2013.
    • Mr. Bejtlich testified to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Committee on Foreign Affairs on 21 March 2013.
    • Mr. Bejtlich testified to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Committee on Homeland Security on 20 March 2013.
    • Mr. Bejtlich testified to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Senate Armed Services Committee on 19 March 2013.
    • Mr. Bejtlich shared his thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federalist Society on 12 March 2013. The conference call was recorded as Cybersecurity And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese Hacker Problem - Podcast.
  • 2012
    • Mr. Bejtlich taught TCP/IP Weapons School 3.0 at Black Hat Abu Dhabi 2012: 3-4 Dec / Abu Dhabi, UAE.
    • Mr. Bejtlich spoke at a Mandiant breakfast event in Calgary, AB on 28 Nov 2012.
    • Mr. Bejtlich spoke at AppSecUSA in Austin, TX on 26 Oct 2012. The talk Incident Response: Security After Compromise is posted as a video (42 min).
    • Mr. Bejtlich organized and hosted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Management track at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3rd annual Mandiant MIRCon on 17-18 October 2012.
    • Mr. Bejtlich spoke at a SANS event in Baltimore, MD on 5 Oct 2012.
    • Mr. Bejtlich spoke at a Mandiant breakfast event in Dallas, TX on 13 Sep 2012.
    • Mr. Bejtlich taught TCP/IP Weapons School 3.0 at Black Hat USA 2012: 21-22 and 23-24 Jul / Las Vegas, NV.
    • Mr. Bejtlich taught a compressed version of TCP/IP Weapons School 3.0 at a U.S. Cyber Challenge Summer Camp in Ballston, VA on 28 Jun 2012.
    • Mr. Bejtlich participated on a panel titled Hackers vs Executives at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forrester conference in Las Vegas on 25 May 2012.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Security for Executive Leadership: What Every CEO Should Know event in Raleigh, NC on 11 May 2012.
    • Mr. Bejtlich participated on a panel titled SEC Cyber Security Guidelines: A New Basis for D&O Exposure? at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 8th Annual National Directors & Officers Insurance ExecuSummit in Uncasville, CT on 8 May 2012.
    • Mr. Bejtlich delivered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2012 National Cyber Crime Conference in Norwood, MA on 30 Apr 2012.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FOSE conference on a panel discussing new attacks on 4 Apr 2012.
    • Mr. Bejtlich testified to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US-China Economic and Security Review Commission on 26 Mar 2012.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Association CyberFutures conference (audio mp3) on 23 Mar 2012.
    • Mr. Bejtlich delivered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IANS Research Mid-Atlantic conference on 21 Mar 2012.
    • Mr. Bejtlich spoke at a Mandiant breakfast event with Secretary Michael Chertoff in New York, NY on 15 Mar 2012.
    • Mr. Bejtlich spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Augusta, GA ISSA chapter on 8 Mar 2012.
    • Mr. Bejtlich participated on a panel about digital threats at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RSA Executive Security Action Forum on 27 Feb 2012.
    • Mr. Bejtlich spoke at a Mandiant breakfast event with Gen (ret.) Michael Hayden in Washington, DC on 22 Feb 2012.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ShmooCon Epilogue conference on 30 Jan 2012.
    • Mr. Bejtlich spoke at a Mandiant breakfast event with Secretary Michael Chertoff in Houston, TX on 12 Jan 2012.
  • 2011
    • Mr. Bejtlich taught TCP/IP Weapons School 3.0 at Black Hat Abu Dhabi 2011: 12-13 Dec / Abu Dhabi, UAE.
    • Mr. Bejtlich organized and hosted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Management track at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2nd annual Mandiant MIRCon on 5-6 November 2011.
    • Mr. Bejtlich taught TCP/IP Weapons School 3.0, 26-27 Oct 2011 in McLean, VA.
    • Mr. Bejtlich offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HawaiianTel 2011 Business Security Conference on 7 Sep 2011 in Honolulu, HI.
    • Mr. Bejtlich participated in a panel titled Why Bad Breaches Happen To Good Companies on 25 Aug 2011.
    • Mr. Bejtlich taught TCP/IP Weapons School 3.0 at USENIX Security: 8-9 Aug / San Francisco, CA.
    • Mr. Bejtlich taught TCP/IP Weapons School 3.0 at Black Hat USA 2011: 30-31 Jul and 1-2 Aug / Las Vegas, NV.
    • Mr. Bejtlich participated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Attacking Cyber Security Marketecture panel at BSidesSanFrancisco: 1100-1145 15 Feb / San Francisco, CA. Video available at Livestream with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk starting at 12:35.
    • Mr. Bejtlich participated in a panel at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 e10+ Experienced Security event at RSA Conference USA 2011: 0730-1200 14 Feb / San Francisco, CA.
    • Mr. Bejtlich presented "Cooking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cuckoo's Egg" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ Cybersecurity Conference: 1100-1145 08 Feb / Washington, DC.
    • Mr. Bejtlich presented Building a Fortune 5 CIRT Under Fire (twice) and participated in an APT panel at DoD Cybercrime: 26 Jan 2011 / Atlanta, GA.
    • Mr. Bejtlich taught TCP/IP Weapons School 3.0 at Black Hat DC 2011: 16-17 Jan 2011 / Arlington, VA.
  • 2010
    • Mr. Bejtlich presented to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TechTarget Emerging Threats forum on 16 Nov 2010 / New York, NY.
    • Mr. Bejtlich participated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MANDIANT MirCon Wrap-Up Webcast on 19 Oct 2010.
    • Mr. Bejtlich spoke on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Incident Response Dream Team Panel at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first annual Mandiant MIRCon, 12-13 Oct 2010 / Alexandria, VA.
    • Mr. Bejtlich offered a guest lecture on digital security at Loyola University Maryland on 11 Oct 2010.
    • Mr. Bejtlich presented to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TechTarget Emerging Threats forum on 28 Sep 2010 / Seattle, WA.
    • Mr. Bejtlich delivered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VizSec 2010 keynote on 14 Sep 2010, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n attended RAID 2010 15-17 Sep 2010 / Ottawa, Canada.
    • Mr. Bejtlich taught TCP/IP Weapons School 2.0 at Black Hat USA 2010: 24-25 and 26-27 Jul 2010 / Las Vegas, NV.
    • Mr. Bejtlich presented CIRT-Level Response to APT at
    • SANS WhatWorks in Incident Response and Forensic Solutions 2010: 8-9 Jul 2010 / Washington, DC
    • Mr. Bejtlich presented Building a Fortune 5 CIRT Under Fire at FIRST 2010 18 Jun 2010 / Miami, FL
    • Mr. Bejtlich taught TCP/IP Weapons School 2.0 at Black Hat Europe 2010: 12-13 Apr 2010 / Barcelona, Spain.
    • Mr. Bejtlich offered a guest lecture on digital security at Georgetown University on 22 March 2010.
    • Mr. Bejtlich offered a guest lecture on digital security at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Naval Academy on 2 March 2010.
    • Mr. Bejtlich taught TCP/IP Weapons School 2.0 at Black Hat DC 2010: 31 Jan - 1 Feb 2010 / Arlington, VA.
  • 2009
  • 2008
    • Mr. Bejtlich delivered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1st ACM Workshop on Network Data Anonymization (NDA 2008), 31 October 2008 / Hilton Alexandria Mark Center, Alexandria, VA.
    • Mr. Bejtlich offered a guest lecture on digital security at Johns Hopkins University on 20 October 2008.
    • Mr. Bejtlich delivered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second day of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS WhatWorks in Incident Response and Forensic Solutions Summit 2008, 13-14 October 2008 / Caesars Palace, Las Vegas, NV.
    • Mr. Bejtlich taught TCP/IP Weapons School at Black Hat USA 2008 Training: 2-3 and 4-5 August 2008 / Caesars Palace, Las Vegas, NV
    • Mr. Bejtlich provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote ate Detection of Intrusions and Malware & Vulnerability Assessment: 10-11 July 2008 / France Telecom R&D / Orange Labs, Issy les Moulineaux, near Paris, France
    • Mr. Bejtlich taught Network Security Operations at TechnoSecurity 2008: 31 May 2008 / Myrtle Beach Marriott Resort, Myrtle Beach, SC
    • Mr. Bejtlich taught TCP/IP Weapons School at Black Hat DC 2008: 18-19 February 2008 / Westin Hotel, Washington, DC
  • 2007
    • Mr. Bejtlich offered a guest lecture on digital security at George Mason University on 29 November 2007.
    • Network Security Operations: 27-29 August 2007 / public 3 day class / Chicago, IL
    • Mr. Bejtlich spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chicago Electronic Crimes Task Force and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chicago Snort Users Group on 30 and 29 August 2007, respectively.
    • Mr. Bejtlich taught Network Security Operations on 21-23 August 2007 / Cincinnati, OH
    • Mr. Bejtlich taught TCP/IP Weapons School (layers 4-7) at USENIX Security 2007: 6-7 August 2007 / Boston, MA.
    • Mr. Bejtlich taught TCP/IP Weapons School at Black Hat USA 2007: 28-29 and 30-31 July 2007 / Caesars Palace, Las Vegas, NV.
    • USENIX 2007: 20-22 June 2007 / Network Security Monitoring and TCP/IP Weapons School (Layers 2-3) tutorials / Santa Clara, CA
    • Mr. Bejtlich briefed GFIRST 2007: 25-26 June 2007 / Network Incident Response and Forensics (two half-day tutorials) and Traditional IDS Should Be Dead conference presentation / Orlando, FL
    • Mr. Bejtlich taught TCP/IP Weapons School (Layers 2-3) and briefed Open Source Network Forensics at Techno Security 2007: 5-7 June 2007 / / Myrtle Beach, SC.
    • Mr. Bejtlich briefed Open Source Network Forensics at ISS World Spring 2007: 31 May 2007 / Washington, DC
    • Mr. Bejtlich briefed Network Incident Response and Forensics at AusCERT 2007: 23-24 May 2007 / Gold Coast, Australia.
    • Mr. Bejtlich taught Network Security Monitoring: 25 May 2007 / Sydney, Australia.
    • Mr. Bejtlich briefed at CONFIDENCE 2007: 13 May 2007 / Krakow, Poland.
    • Mr. Bejtlich briefed at ShmooCon: 24 March 2007 / Washington, DC; video here.
  • 2006
    • Mr. Bejtlich presented a special two evening training class, Enterprise Network Instrumentation, on 14-15 December 2006, at SANS CDI East 2006. More details are posted here.
    • Mr. Bejtlich presented TCP/IP Weapons School Part 2 on 9-10 December 2006, after USENIX LISA in Washington, DC.
    • Mr. Bejtlich taught days one and two of TCP/IP Weapons School on 3 and 4 December 2006 at USENIX LISA in Washington, DC. He also taught Network Security Monitoring with Open Source Tools on 8 December 2006.
    • Mr. Bejtlich appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tenable Webinar at 1000 ET on Friday 17 November 2006.
    • Mr. Bejtlich participated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DE Communications Inside Job Webinar at 11 ET on Thursday 9 November 2006.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net Optics Think Tank in Fairfax, VA on Tuesday, 26 September 2006 from 1215-1315.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 FFIEC Information Technology Conference in Arlington, VA on Wednesday, 23 August 2006 from 0830-1000.
    • Mr. Bejtlich taught TCP/IP Weapons School at USENIX Security 2006 in Vancouver, BC on 31 July and 1 August 2006.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 FIRST Conference in Baltimore, MD on Friday, 30 June 2006 from 1500 to 1530.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 Techno Security Conference in Myrtle Beach, SC on Tuesday, 6 June 2006. From 0800-0930 he presented Enterprise Network Instrumentation Fundamentals. From 1000-1200 he presented Enterprise Network Instrumentation: Advanced Topics. At 1530 he joined Ron Gula, Marcus Ranum, Ross Rogers, and Johnny Long for a security panel discussion.
    • Mr. Bejtlich taught a one day course on Network Security Monitoring with Open Source Tools at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USENIX 2006 Annual Technical Conference in Boston, MA on Friday, 2 June 2006.
    • Mr. Bejtlich offered a guest lecture at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of Cambridge Computer Laboratory Security Group Seminar Series in Cambridge, UK, on Friday 19 May 2006 on network security monitoring.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 Computer and Enterprise Investigations Conference in Lake Las Vegas, NV on Thursday, 4 May 2006 from 1400-1530 on Network Forensics.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US-CERT 2006 GFIRST Conference in Orlando, FL on Monday, 1 May 2006 from 1030-1200 on Network Incident Response.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network Security 2006 Conference in Reston, VA on Monday, 17 April 2006 from 1845 to 1945.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 Rocky Mountain Information Security Conference in Denver, CO on Wednesday, 5 April 2006 on Network Incident Response.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RSA Conference 2006 in San Jose, CA on Tuesday, 14 February 2006 from 1735 to 1825. The subject was Traffic-Centric Incident Response and Forensics.
    • Mr. Bejtlich spoke at ShmooCon 2006 in Washington, DC on Saturday, 14 January 2006 at 1600. The subject was Network Security Monitoring with Sguil.
    • Mr. Bejtlich delivered presentations on network incident response and network forensics at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 DoD Cybercrime Conference in Palm Harbor, FL on 11 January 2006.
  • 2005
    • Mr. Bejtlich presented three full-day tutorials at USENIX LISA 2005 in San Diego, CA, from 6-8 December 2005. He taught network security monitoring, incident response, and forensics.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cisco Fall 2005 System Engineering Security Virtual Team Meeting in San Jose, CA on 10 October 2005.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net Optics Think Tank at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hilton Santa Clara in Santa Clara, CA on 21 September 2005. He discussed network forensics, with a preview of material in his next book Real Digital Forensics.
    • Mr. Bejtlich taught network security monitoring to security analysts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon with Special Ops Security on 23 and 24 August 2005 in Rosslyn, VA.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InfraGard 2005 National Conference on 9 August 05 in Washington, DC on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics of network forensics.
    • Mr. Bejtlich taught a one day course on network incident response, with his forensics book as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background material, at USENIX Security 05 on 1 August 2005 in Baltimore, MD.
    • Mr. Bejtlich taught a one day course on network security monitoring, with his NSM book as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background material, at USENIX Security 05 on 31 July 2005 in Baltimore, MD.
    • Mr. Bejtlich offered a guest lecture on digital security at George Washington University on 23 June 2005.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Techno Security 2005 conference on 13 June 2005 in Myrtle Beach, CA. He was invited by Tenable Security to appear at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir evening social event.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net Optics Think Tank on 18 May 2005 in Sunnyvale, CA.
    • Mr. Bejtlich presented Keeping FreeBSD Up-To-Date and More Tools for Network Security Monitoring at BSDCan 2005 on 13 May 2005.
    • Mr. Bejtlich spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon Security Forum on 19 April 2005.
    • Mr. Bejtlich taught a one day course on network security monitoring, with his book as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background material, at USENIX 05 on 14 April 2005 in Anaheim, CA.
    • Mr. Bejtlich spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government Forum of Incident Response and Security Teams (GFIRST) on 5 April 2005 in Orlando, FL.
    • Mr. Bejtlich spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Systems Security Association of Norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Virginia (ISSA-NoVA) on 17 February 2005 in Reston, VA.
    • Mr. Bejtlich spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2005 DoD Cybercrime Conference on 13 January 2005 in Palm Harbor, FL.
  • 2004
    • Mr. Bejtlich spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DC Systems Administrators Guild (DC-SAGE) on 21 October 2004 about Sguil.
    • Mr. Bejtlich spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DC Linux Users Group on 15 September 2004 about Sguil.
    • Mr. Bejtlich spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 High Technology Crime Investigation Association International Conference and Expo 2004 on 13 September 2004 in Washington, DC about Sguil.
    • Mr. Bejtlich taught a one day course on network security monitoring, with his first book as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background material, at USENIX Security 04 on 9 August 2004 in San Diego.
    • Mr. Bejtlich spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DC Snort User's Group on 24 Jun 2004 about Sguil.
    • Mr. Bejtlich presented Network Security Monitoring with Sguil (.pdf) at BSDCan on 14 May 2004.
    • Mr. Bejtlich spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Local Mentor program in norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Virginia for two hours on 11 May 2004 about NSM using Sguil. Joe Bowling invited him.
    • Mr. Bejtlich gave a lightning talk demo of Sguil at CanSecWest 04 on 22 April 2004.
  • 2003
    • Mr. Bejtlich spoke to ISSA-CT about network security monitoring on 9 December 2003.
    • Mr. Bejtlich taught Foundstone's Ultimate Hacking Expert class at Black Hat Federal 2003 in Tyson's Corner, 29-30 September 2003.
    • Mr. Bejtlich recorded a second webcast on network security monitoring for SearchSecurity.com. He posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides here.
    • Mr. Bejtlich taught cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first day of Foundstone's Ultimate Hacking Expert class at Black Hat USA 2003 Training in Las Vegas on 28 July 2003.
    • Mr. Bejtlich spoke on 21 July 2003 in Washington, DC at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS NIAL conference.
    • Mr. Bejtlich discussed digital security in Toronto on 13 March 2003 and in Washington, DC on Tuesday, 25 March 2003 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request of Watchguard.
    • Mr. Bejtlich taught days four, five, and six of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS intrusion detection track in San Antonio, Texas from 28-30 January 2003.
  • 2002
    • Mr. Bejtlich recorded a webcast on network security monitoring (PDF slides) with his friend Bamm Visscher for SearchSecurity.com and answered questions submitted by listeners. A SearchSecurity editor commented on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk as well.
    • Mr. Bejtlich helped teach Foundstone's Ultimate Hacking class at Black Hat USA 2002 Training in Las Vegas on 29-30 July 2002.
    • Mr. Bejtlich taught days one, two, and three of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS intrusion detection track in San Antonio, Texas from 15-17 July 2002.
    • Mr. Bejtlich taught day four of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS intrusion detection track in Toronto, Ontario on 16 May 2002.
    • On 11 April 2002 Mr. Bejtlich briefed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 South Texas ISSA chapter on Snort.
    • Mr. Bejtlich helped teach day four of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS intrusion detection track in San Antonio, Texas on 14 March 2002 after Marty Roesch was unable to teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class.
  • 2000-2001
    • On 24-25 October 2001 Mr. Bejtlich spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Houston InfraGard chapter at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir 2001 conference.
    • In August and September 2001 Mr. Bejtlich briefed analysts at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT on Interpreting Network Traffic.
    • On 19 October 2000 Mr. Bejtlich was invited back to speak at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Network Security 2000 Technical Conference.
    • During 14-16 August 2000 Mr. Bejtlich participated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Summit 2000 sponsored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Intelligence Agency. Mr. Bejtlich was a captain in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT. You will find him in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle of this picture.
    • In June 2000 Mr. Bejtlich signed a letter protesting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Council of Europe draft treaty on Crime in Cyberspace.
    • In June 2000 Mr. Bejtlich briefed FIRST on third party effects. This predated CAIDA's 2001 USENIX "backscatter" paper.
    • On 25 March 2000 Mr. Bejtlich presented Interpreting Network Traffic: A Network Intrusion Detector's Look at Suspicious Events at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS 2000 Technical Conference.

Wednesday, May 29, 2019

Know Your Limitations

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1973 Clint Eastwood movie Magnum Force, after Dirty Harry watches his corrupt police captain explode in a car, he says "a man's got to know his limitations."

I thought of this quote today as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debate rages about compromising municipalities and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information technology-constrained yet personal information-rich organizations.

Several years ago I wrote If You Can't Protect It, Don't Collect It. I argued that if you are unable to defend personal information, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should not gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and store it.

In a similar spirit, here I argue that if you are unable to securely operate information technology that matters, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should not be supporting that IT.

You should outsource it to a trustworthy cloud provider, and concentrate on managing secure access to those services.

If you cannot outsource it, and you remain incapable of defending it natively, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should integrate a capable managed security provider.

It's clear to me that a large portion of those running PI-processing IT are simply not capable of doing so in secure manner, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not bear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full cost of PI breaches.

They have too many assets, with too many vulnerabilities, and are targeted by too many threat actors.

These organizations lack sufficient people, processes, and technologies to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk.

They have successes, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are generally due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heroics of individual IT and security professionals, who often feel out-gunned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir adversaries.

If you can't patch a two-year-old vulnerability prior to exploitation, or detect an intrusion and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary before he completes his mission, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you are demonstrating that you need to change your entire approach to information technology.

The security industry seems to think that throwing more people at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer, yet year after year we read about several million job openings that remain unfilled. This is a sign that we need to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way we are doing business. The fact is that those organziations that cannot defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves need to recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir limitations and change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir game.

I recognize that outsourcing is not a panacea. Note that I emphasized "IT" in my recommendation. I do not see how one could outsource cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critical technology running on-premise in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industrial control system (ICS) world, for example. Those operations may need to rely more on outsourced security providers, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cannot sufficiently detect and respond to intrusions using in-house capabilities.

Remember that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of organizations do not exist to run IT. They run IT to support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir lines of business. Many older organizations have indeed been migrating legacy applications to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud, and most new organizations are cloud-native. These are hopeful signs, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older organizations could potentially  "age-out" over time.

This puts a burden on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud providers, who fall into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "managed service provider" category that I wrote about in my recent Corelight blog. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more trustworthy providers have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people, processes, and technology in place to handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir responsibilities in a more secure way than many organziations who are struggling with on-premise legacy IT.

Everyone's got to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir limitations.

Thursday, May 09, 2019

Dissecting Weird Packets

I was investigating traffic in my home lab yesterday, and noticed that about 1% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic was weird. Before I describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weird, let me show you a normal frame for comparison's sake.


This is a normal frame with Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet II encapsulation. It begins with 6 bytes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination MAC address, 6 bytes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source MAC address, and 2 bytes of an Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rtype, which in this case is 0x0800, indicating an IP packet follows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet header. There is no TCP payload as this is an ACK segment.

You can also see this in Tshark.

$ tshark -Vx -r frame4238.pcap

Frame 1: 66 bytes on wire (528 bits), 66 bytes captured (528 bits)
    Encapsulation type: Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet (1)
    Arrival Time: May  7, 2019 18:19:10.071831000 UTC
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1557253150.071831000 seconds
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 66 bytes (528 bits)
    Capture Length: 66 bytes (528 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rtype:ip:tcp]
Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet II, Src: IntelCor_12:7d:bb (38:ba:f8:12:7d:bb), Dst: Ubiquiti_49:e0:10 (fc:ec:da:49:e0:10)
    Destination: Ubiquiti_49:e0:10 (fc:ec:da:49:e0:10)
        Address: Ubiquiti_49:e0:10 (fc:ec:da:49:e0:10)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Source: IntelCor_12:7d:bb (38:ba:f8:12:7d:bb)
        Address: IntelCor_12:7d:bb (38:ba:f8:12:7d:bb)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 192.168.4.96, Dst: 52.21.18.219
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
        0000 00.. = Differentiated Services Codepoint: Default (0)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 52
    Identification: 0xd98c (55692)
    Flags: 0x4000, Don't fragment
        0... .... .... .... = Reserved bit: Not set
        .1.. .... .... .... = Don't fragment: Set
        ..0. .... .... .... = More fragments: Not set
        ...0 0000 0000 0000 = Fragment offset: 0
    Time to live: 64
    Protocol: TCP (6)
    Header checksum: 0x553f [validation disabled]
    [Header checksum status: Unverified]
    Source: 192.168.4.96
    Destination: 52.21.18.219
Transmission Control Protocol, Src Port: 38828, Dst Port: 443, Seq: 1, Ack: 1, Len: 0
    Source Port: 38828
    Destination Port: 443
    [Stream index: 0]
    [TCP Segment Len: 0]
    Sequence number: 1    (relative sequence number)
    [Next sequence number: 1    (relative sequence number)]
    Acknowledgment number: 1    (relative ack number)
    1000 .... = Header Length: 32 bytes (8)
    Flags: 0x010 (ACK)
        000. .... .... = Reserved: Not set
        ...0 .... .... = Nonce: Not set
        .... 0... .... = Congestion Window Reduced (CWR): Not set
        .... .0.. .... = ECN-Echo: Not set
        .... ..0. .... = Urgent: Not set
        .... ...1 .... = Acknowledgment: Set
        .... .... 0... = Push: Not set
        .... .... .0.. = Reset: Not set
        .... .... ..0. = Syn: Not set
        .... .... ...0 = Fin: Not set
        [TCP Flags: ·······A····]
    Window size value: 296
    [Calculated window size: 296]
    [Window size scaling factor: -1 (unknown)]
    Checksum: 0x08b0 [unverified]
    [Checksum Status: Unverified]
    Urgent pointer: 0
    Options: (12 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps
        TCP Option - No-Operation (NOP)
            Kind: No-Operation (1)
        TCP Option - No-Operation (NOP)
            Kind: No-Operation (1)
        TCP Option - Timestamps: TSval 26210782, TSecr 2652693036
            Kind: Time Stamp Option (8)
            Length: 10
            Timestamp value: 26210782
            Timestamp echo reply: 2652693036
    [Timestamps]
        [Time since first frame in this TCP stream: 0.000000000 seconds]
        [Time since previous frame in this TCP stream: 0.000000000 seconds]

0000  fc ec da 49 e0 10 38 ba f8 12 7d bb 08 00 45 00   ...I..8...}...E.
0010  00 34 d9 8c 40 00 40 06 55 3f c0 a8 04 60 34 15   .4..@.@.U?...`4.
0020  12 db 97 ac 01 bb e3 42 2a 57 83 49 c2 ea 80 10   .......B*W.I....
0030  01 28 08 b0 00 00 01 01 08 0a 01 8f f1 de 9e 1c   .(..............
0040  e2 2c   

You can see Wireshark understands what it is seeing. It decodes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP header and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP header.

So far so good. Here is an example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weird traffic I was seeing.



Here is what Tshark thinks of it.

$ tshark -Vx -r frame4241.pcap
Frame 1: 66 bytes on wire (528 bits), 66 bytes captured (528 bits)
    Encapsulation type: Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet (1)
    Arrival Time: May  7, 2019 18:19:10.073296000 UTC
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1557253150.073296000 seconds
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 66 bytes (528 bits)
    Capture Length: 66 bytes (528 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:llc:data]
IEEE 802.3 Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet
    Destination: Ubiquiti_49:e0:10 (fc:ec:da:49:e0:10)
        Address: Ubiquiti_49:e0:10 (fc:ec:da:49:e0:10)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Source: IntelCor_12:7d:bb (38:ba:f8:12:7d:bb)
        Address: IntelCor_12:7d:bb (38:ba:f8:12:7d:bb)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Length: 56
        [Expert Info (Error/Malformed): Length field value goes past cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload]
            [Length field value goes past cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload]
            [Severity level: Error]
            [Group: Malformed]
Logical-Link Control
    DSAP: Unknown (0x45)
        0100 010. = SAP: Unknown
        .... ...1 = IG Bit: Group
    SSAP: LLC Sub-Layer Management (0x02)
        0000 001. = SAP: LLC Sub-Layer Management
        .... ...0 = CR Bit: Command
    Control field: U, func=Unknown (0x0B)
        000. 10.. = Command: Unknown (0x02)
        .... ..11 = Frame type: Unnumbered frame (0x3)
Data (49 bytes)
    Data: 84d98d86b5400649eec0a80460341512db97ac0d0be3422a...
    [Length: 49]

0000  fc ec da 49 e0 10 38 ba f8 12 7d bb 00 38 45 02   ...I..8...}..8E.
0010  0b 84 d9 8d 86 b5 40 06 49 ee c0 a8 04 60 34 15   ......@.I....`4.
0020  12 db 97 ac 0d 0b e3 42 2a 57 83 49 c2 ea c8 ec   .......B*W.I....
0030  01 28 17 6f 00 00 01 01 08 0a 01 8f f1 de ed 7f   .(.o............
0040  a5 4a                                             .J

What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem? This frame begins with 6 bytes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination MAC address and 6 bytes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source MAC address, as we saw before. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next two bytes are 0x0038, which is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rtype of 0x0800 we saw earlier. 0x0038 is decimal 56, which would seem to indicate a frame length (even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frame here is a total of 66 bytes).

Wireshark decides to treat this frame as not being Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet II, but instead as IEEE 802.3 Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet. I had to refer to appendix A of my first book to see what this meant.

For comparison, here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frame format for Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet II (page 664):

This was what we saw with frame 4238 earlier -- Dst MAC, Src MAC, Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rtype, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n data.

Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frame format for IEEE 802.3 Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet.


This is much more complicated: Dst MAC, Src MAC, length, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n DSAP, SSAP, Control, and data.

It turns out that this format doesn't seem to fit what is happening in frame 4241, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 length field appears to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ballpark, Wireshark's assumption that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next bytes are DSAP, SSAP, Control, and data doesn't fit. The clue for me was seeing that 0x45 followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presumed length field. I recognized 0x45 as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of an IP header, with 4 meaning IPv4 and 5 meaning 5 words (40 bytes) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP header.

If we take a manual byte-by-byte comparative approach we can better understand what may be happening with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two frames. (I broke cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 0x45 byte into two "nibbles" in one case.)

Note that I have bolded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parts of each frame that are exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same.


This analysis shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two frames are very similar, especially in places where I would not expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to be similar. This caused me to hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365size that frame 4241 was a corrupted version of frame 4238.

I can believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frames would share MAC addresses, IP addresses, and certain IP and TCP defaults. However, it is unusual for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same high source ports (38828) but not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same destination ports (443 and 3339).  Very telling is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same TCP sequence and acknowledgement numbers. They also share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same source timestamp.

Notice one field that I did not bold, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not identical -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP ID value. Frame 4238 has 0xd98c and frame 4241 has 0xd98d. The perfectly incremented IP ID prompted me to believe that frame 4241 is a corrupted retransmission, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP layer, of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same TCP segment.

However, I really don't know what to think. These frames were captured in a Linux 16.04 VirtualBox VM by netsniff-ng. Is this a problem with netsniff-ng, or Linux, or VirtualBox, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux host operating system running VirtualBox?

I'd like to thank cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks at ask.wireshark.org for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir assistance with my attempts to decode this (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r) frames as 802.3 raw Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet. What's that? It's basically a format that Novell used with IPX, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frame is Dst MAC, Src MAC, length, data.

I wanted to see if I could tell Wireshark to decode cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 odd frames as 802.3 raw Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than IEEE 802.3 Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet with LLC headers.

Sake Blok helpfully suggested I change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pcap's link layer type to User0, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n tell Wireshark how to interpret cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frames. I did it this way, per his direction:

$ editcap -T user0 excerpt.pcap excerpt-user0.pcap

Next I opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trace in Wireshark and saw frame 4241 (here listed as frame 3) as shown below:


DLT 147 corresponds to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link layer type for User0. Wireshark doesn't know how to handle it. We fix that by right-clicking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 yellow field and selecting Protocol Preferences -> Open DLT User preferences:

Next I created an entry fpr User 0 (DLT-147) with Payload protocol "ip" and Header size "14" as shown:

After clicking OK, I returned to Wireshark. Here is how frame 4241 (again listed here as frame 3) appeared:


You can see Wireshark is now making sense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP header, but it doesn't know how to handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP header which follows. I tried different values and options to see if I could get Wireshark to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP header too, but this went far enough for my purposes.

The bottom line is that I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is some sort of packet capture problem, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 softare used or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic that is presented to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridged NIC created by VirtualBox. As this is a lab environment and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic is 1% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall capture, I am not worried about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results.

I am fairly sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weird traffic is not on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire. I tried capturing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host OS sniffing NIC and did not see anything resembling this traffic.

Have you seen anything like this? Let me know in a comment here on on Twitter.

PS: I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frame.number=X Wireshark display filter helpful, along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frame.len>Y display filter, when researching this activity.