On Sat, Jul 19, 2003 at 01:44:19AM -0700, Dmitry Kohmanyuk Дмитрий Кохманюк wrote:
On Fri, Jul 18, 2003 at 03:40:30PM +0300, Pavel Narozhniy wrote:
проводил ли кто-нибудь тестирование snort на предмет производительности? Какая нужна конфигурация, для мониторинга ~200-300 мегабит траффика
скорее всего никакая - он даже wire speed (100mbit) не потянет на самой быстрой машине; расчитывается через скорость PCI шины (66MHz*32bit) и частоту процессора (ну пусть 2Ghz)
Не знаю, как там мониторинг - но вот когда я на P4-1.7GHz/1GB DDR,FreeBSD-4.7, ~3000 tcp sessions внутри lo0 (загоняется в кучу ssh -C и распаковывается на ~4 тазиках с 10-100 MBit connection) пущаю trafshow -n -p -i lo0 - то оно начинает тормозить, и вообще я ни разу не видел даже 6K p/s. То есть - если ipfw counters взять - то где-то 11-12Kp/s и 1MByte/s, но "интерактивно поглядеть" - никак не получается. включен fastforwarding, в ipfw аж несколько правил count, пара pipes, в которые ничего не попадает, и allow from any to any. Вобщем - "device bpf для такого не предназначен" - общий вывод после тугугленья. "пишите свой netgraph node". Короче - для подобной задачи нужен какой-то хитрожопый делитель трафика, ну и далее уже распаралелить анализ.
это конечно в случае пиковой нагрузки - если пакеты маленькие (скажем, 100 байт - тогда 100mbit = 120K packets/s) Это - и что из PC такое хоть просто из одного в другой интерфейс перебросит, пропустив через десяток-сотню правил в ipfw? Именно применительно к большой куче пакетов.
я помню выступление автора snort и CTO компании, которая сейчас продает rackmountable snort в коробке - у них еле-еле был wire speed для 100mbit год назад. И что ж в той коробке было?
"Чудовi супер-сумо - товстозадi добряки" - ну и мультики в телевизоре ;). Какие-то подвинутые на заднице ;))). -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message