On Fri, Jul 18, 2003 at 03:40:30PM +0300, Pavel Narozhniy wrote:
проводил ли кто-нибудь тестирование snort на предмет производительности? Какая нужна конфигурация, для мониторинга ~200-300 мегабит траффика
скорее всего никакая - он даже wire speed (100mbit) не потянет на самой быстрой машине; расчитывается через скорость PCI шины (66MHz*32bit) и частоту процессора (ну пусть 2Ghz) это конечно в случае пиковой нагрузки - если пакеты маленькие (скажем, 100 байт - тогда 100mbit = 120K packets/s) и допустим мы анализируем только его половину - нам нужно пропустить через процессор 6.25M байт, получается 160 тактов на байт, или 640 на слово (dword). для 200 rules явно не хватает. и порядка 200 rules? Предполагается Solaris/Sparc. Может есть какие-то ссылки на такие тесты? ой, не заметил solaris/sparc... опыта snort на нем нет, но предполагаю, что на streams-based стеке производительность будет еще хуже и даже быстрая шина и SMP не поможет. а вообще - надо ставить эксперимент... ;) я помню выступление автора snort и CTO компании, которая сейчас продает rackmountable snort в коробке - у них еле-еле был wire speed для 100mbit год назад. вот нашел название конторы - sourcefire. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message