內聯模式下的低嗅探性能和外包類型

Question

我以外包類型的內聯模式安裝並配置snort。我測試它沒有規則，並在一個規則和更多的規則測試。但結果是一樣的。我的哼聲表現太低。

雖然我使用通過（brctl）創建的系統橋，我可以使用全網絡綁定寬度和我的cpu使用率約爲零。

，而我在被動模式下使用的Snort（IDS）的後面系統彌補我的CPU使用率大約是60％-70％，我的網絡勢必寬度爲好（全約80％）

可是當我使用Snort在內聯模式（IPS），儘管cpu usege接近零，但我的網絡綁定寬度非常低且低於1 Mbyte。 我通過（AB）測試它像

ab -c 10 -n 10000 http://server/50kfile 

我的配置是這樣的：http://www.pastebin.ca/2688413（我使用（的grep -v ^＃| grep的-v^$）去除評論）全配置文件是：http://www.pastebin.ca/2688414

和我添加-Q而我運行Snort 我使用Ubuntu 12.04

感謝任何形式的幫助

Answer 1

在你的預處理器的一些事情，可能需要調整：

您應該減少http_inspect的decompress_depth和compress_depth。我會建議減少這種從65535到像20000：post_depth從65495到4000左右：

decompress_depth 20000 compress_depth 20000

您應該http_inspect_server減少

http_inspect_server：post_depth 4000

標準化預處理器非常昂貴。你可能不需要像你一樣正常化（除非你正在尋找這些類型的特定漏洞）。我建議刪除以下：

預處理normalize_ip4 預處理normalize_icmp4 預處理normalize_ip6 預處理normalize_icmp6

normalize_tcp可能是所有你需要正常化，但這又取決於如果你正在尋找任何特定的漏洞，其中此交通將需要正常化。

我不會推薦使用敏感數據預處理器，除非您特別需要查找數據泄漏，並且您應該定義特定主機。這個預處理器可能大約有20％的性能降低，特別是當沒有定義特定的主機時。

您還可以啓用並使用性能預處理器。如果您使用正確的選項啓用此功能，snort將在退出時打印出統計數據。這可以提供有用的信息，例如哪些預處理器/規則最昂貴。

請參閱此here 文檔我會使用類似以下內容，使1個第二次執行監視功能，並啓用規則和預處理分析：

預處理perfmonitor：時間1個PKTCNT 1000 配置profile_rules：打印所有， sort_ticks config profile_preprocs：print 100，sort_ticks

這聽起來像預處理器可能會導致性能問題。啓用性能監控將告訴您哪些預處理器最昂貴，您可以調整這些預處理器，直到它適用於您的環境。