인라인 모드에서 낮은 snort 성능 및 afpacket 유형

Question

인라인 모드에서 snort를 afpacket 유형으로 설치 및 구성하십시오. 나는 규칙없이 테스트하고 하나의 규칙과 더 많은 규칙으로 테스트한다. 그러나 결과는 같았다. 내 콧김의 성능이 너무 낮습니다.

나는 시스템 브릿지 (brctl)를 통해 생성 된 동안 전체 네트워크 바운드 너비와 제로에 대한 내 CPU 사용량을 사용할 수 있습니다.

내가 내 CPU 사용량이 60-70 %에 내 네트워크 바인딩 폭이 좋은 (전체의 약 80 %)

입니다 다리 시스템의 뒤에 (IDS) 수동 모드에서 콧김 사용하지만 내가 사용하는 동안의 콧김 동안 cpu usege가 0에 가깝지만 네트워크 바인딩 폭이 매우 낮고 1Mbyte 미만이지만 인라인 모드 (IPS)입니다. 내가

ab -c 10 -n 10000 http://server/50kfile 

내 설정처럼 (AB)를 통해 테스트 하는 것은 같은 것입니다 : http://www.pastebin.ca/2688413은 (내가 (그렙 -v^# 사용 | 주석을 제거 그렙 -v^$))를 전체 설정 파일입니다 : http://www.pastebin.ca/2688414

내가 snort를 실행하는 동안 내가 -Q를 추가 내가해야 할 수 있습니다 귀하의 처리기에서 몇 가지 조율 할 수 있도록 도와

Answer 1

모든 종류의 우분투를 12.04

감사를 사용

http_inspect decompress_depth 및 compress_depth를 줄여야합니다. 나는 20000 같은 뭔가 65535에서이를 줄이는 것이 좋습니다 : 65495에서 그렇게 4000 또는 post_depth :

http_inspect_server : post_depth 4000

당신은 http_inspect_server을 줄여야합니다

20000

compress_depth 20000 decompress_depth 정규화 전처리 기가 비쌉니다. 이러한 유형의 특정 악용 사례를 찾고있는 경우가 아니라면 정규화하지 않아도됩니다. 나는 다음 제거 추천 : 어떤 특정 공격을 찾고 있다면

처리기 처리기 normalize_icmp4 normalize_ip4 전처리 normalize_ip6 처리기 normalize_icmp6

normalize_tcp 당신이 정상화 할 필요가 모든 아마도,하지만 다시는 의존 곳 트래픽을 정규화해야합니다.

특히 데이터 유출을 찾아야하는 경우가 아니면 민감한 데이터 전처리기를 사용하지 않는 것이 좋습니다. 특정 호스트를 정의해야하는 경우에는 사용하지 않는 것이 좋습니다. 이 전 처리기는 특히 특정 호스트가 정의되지 않은 경우 약 20 % 성능에 영향을 미칩니다.

성능 사전 처리기를 활성화하고 사용할 수도 있습니다. 올바른 옵션을 사용하여 이것을 활성화하면 종료 할 때 snort가 통계를 인쇄합니다. 이것은 전처리 기/규칙이 가장 비싼 것과 같은 유용한 정보를 가질 수 있습니다.

이 here 설명서에 내가 좋아하는 뭔가를 사용하는 것이 참조 일초 성능 모니터링을 활성화하고 또한 규칙 및 전처리 프로파일 수 있도록 다음

처리기 perfmonitor : 1 pktcnt 1000 구성 profile_rules 시간 : 모든 인쇄를, sort total_ticks config profile_preprocs : 인쇄 100, 정렬 total_ticks

전처리 기가 성능 문제를 일으킬 수있는 것처럼 들립니다. 성능 모니터링을 사용 가능하게하면 어떤 프리 프로세서가 가장 비싸며 자신의 환경에서 작동 할 때까지 조정할 수 있습니다.