On Sat, Jul 19, 2003 at 01:44:19AM -0700, Dmitry Kohmanyuk Дмитрий Кохманюк wrote:
On Fri, Jul 18, 2003 at 03:40:30PM +0300, Pavel Narozhniy wrote:
проводил ли кто-нибудь тестирование snort на предмет производительности? Какая нужна конфигурация, для мониторинга ~200-300 мегабит траффика
скорее всего никакая - он даже wire speed (100mbit) не потянет на самой быстрой машине; расчитывается через скорость PCI шины (66MHz*32bit) и частоту процессора (ну пусть 2Ghz)
это конечно в случае пиковой нагрузки - если пакеты маленькие (скажем, 100 байт - тогда 100mbit = 120K packets/s) и допустим мы анализируем только его половину - нам нужно пропустить через процессор 6.25M байт, получается 160 тактов на байт, или 640 на слово (dword).
хмм. тогда без zero-copy 2Ghz даже пакеты бы форвардить не очень успевал, что не факт ;-) тактов получается 320/байт (если на каждый); на самом деле байты тут не причем, нужно действительно считать на пакет, потому как поглядев на source/dest/port ты часто больше ничего не хочешь; на пакет имеем 16k+ тактов.
для 200 rules явно не хватает.
при правильной приоритизации правил (их, как cisco ACLи, можно по количеству хитов сортировать) должно хватать на заметно больше, чем 100Mbps/200 rules. проблемы обычно со следующим уровнем - покладанием eventов в базу и их обработкой/приоритизацией/корреляцией; не справляются event correlatorы ;-) а если бы действовать a-la smarts.com и ложить все-все-все события в базу для составления матрицы - то сразу опаньки ;-) правила на сенсоре - те самые фильтрующие эвристики.
и порядка 200 rules? Предполагается Solaris/Sparc. Может есть какие-то ссылки на такие тесты?
я года полтора гонял Snort на Netra T1 (кажется 440Mhz) на внутреннем T3 в classmates.com; проблем с performance не было; канал изредка был полностью загружен - правда большими пакетами, db replication.
ой, не заметил solaris/sparc... опыта snort на нем нет, но предполагаю, что на streams-based стеке производительность будет еще хуже и даже быстрая шина и SMP не поможет.
ну тогда нужно купить toplayer ids load balancer ;-) и поставить стойку сенсоров.
я помню выступление автора snort и CTO компании, которая сейчас продает rackmountable snort в коробке - у них еле-еле был wire speed для 100mbit год назад.
вот нашел название конторы - sourcefire.
они нам недавно рекламировали GigE сенсор... www.sourcefire.com --igor =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message