On Mon, Jul 21, 2003 at 04:10:56PM +0300, unisol@cs.kiev.ua wrote:
On Sat, Jul 19, 2003 at 01:44:19AM -0700, Dmitry Kohmanyuk Дмитрий Кохманюк wrote:
On Fri, Jul 18, 2003 at 03:40:30PM +0300, Pavel Narozhniy wrote:
проводил ли кто-нибудь тестирование snort на предмет производительности? Какая нужна конфигурация, для мониторинга ~200-300 мегабит траффика
скорее всего никакая - он даже wire speed (100mbit) не потянет на самой быстрой машине; расчитывается через скорость PCI шины (66MHz*32bit) и частоту процессора (ну пусть 2Ghz)
Не знаю, как там мониторинг - но вот когда я на P4-1.7GHz/1GB DDR,FreeBSD-4.7, ~3000 tcp sessions внутри lo0 (загоняется в кучу ssh -C и распаковывается на ~4 тазиках с 10-100 MBit connection) пущаю trafshow -n -p -i lo0 - то оно начинает тормозить, и вообще я ни разу не видел даже 6K p/s.
вообще то попробуй вместо lo0 использовать алиасы на ether-е - проблемы с performance на lo я припоминаю; кроме того, trafshow - не дюже оптимальная тулза.
То есть - если ipfw counters взять - то где-то 11-12Kp/s и 1MByte/s, но "интерактивно поглядеть" - никак не получается. включен fastforwarding, в ipfw аж несколько правил count, пара pipes, в которые ничего не попадает, и allow from any to any. Вобщем - "device bpf для такого не предназначен" - общий вывод после тугугленья. "пишите свой netgraph node".
вывод верный ;-) для Snort нам пакеты форвардить не приходится, только слушаем; я помню там была еще засада если есть список разных блоков в HOME_NET - дешевле было отдельные процессы пускать на каждый ;-)
Короче - для подобной задачи нужен какой-то хитрожопый делитель трафика, ну и далее уже распаралелить анализ.
http://www.toplayer.com/content/products/intrusion_detection/ids_balancer.js... у Radware есть похожий продукт; около 5K$
это конечно в случае пиковой нагрузки - если пакеты маленькие (скажем, 100 байт - тогда 100mbit = 120K packets/s) Это - и что из PC такое хоть просто из одного в другой интерфейс перебросит, пропустив через десяток-сотню правил в ipfw? Именно применительно к большой куче пакетов.
fortunately обычный mix более тяготеет к 1500 bytes/packet; да и перебрасывать не нужно.
я помню выступление автора snort и CTO компании, которая сейчас продает rackmountable snort в коробке - у них еле-еле был wire speed для 100mbit год назад. И что ж в той коробке было?
как обычно - linux, pc, приличный ether ;-) --igor =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message