内联模式下的低嗅探性能和外包类型

Question

我以外包类型的内联模式安装并配置snort。我测试它没有规则，并在一个规则和更多的规则测试。但结果是一样的。我的哼声表现太低。

虽然我使用通过（brctl）创建的系统桥，我可以使用全网络绑定宽度和我的cpu使用率约为零。

，而我在被动模式下使用的Snort（IDS）的后面系统弥补我的CPU使用率大约是60％-70％，我的网络势必宽度为好（全约80％）

可是当我使用Snort在内联模式（IPS），尽管cpu usege接近零，但我的网络绑定宽度非常低且低于1 Mbyte。 我通过（AB）测试它像

ab -c 10 -n 10000 http://server/50kfile 

我的配置是这样的：http://www.pastebin.ca/2688413（我使用（的grep -v ^＃| grep的-v^$）去除评论）全配置文件是：http://www.pastebin.ca/2688414

和我添加-Q而我运行Snort 我使用Ubuntu 12.04

感谢任何形式的帮助

Answer 1

在你的预处理器的一些事情，可能需要调整：

您应该减少http_inspect的decompress_depth和compress_depth。我会建议减少这种从65535到像20000：post_depth从65495到4000左右：

decompress_depth 20000 compress_depth 20000

您应该http_inspect_server减少

http_inspect_server：post_depth 4000

标准化预处理器非常昂贵。你可能不需要像你一样正常化（除非你正在寻找这些类型的特定漏洞）。我建议删除以下：

预处理normalize_ip4 预处理normalize_icmp4 预处理normalize_ip6 预处理normalize_icmp6

normalize_tcp可能是所有你需要正常化，但这又取决于如果你正在寻找任何特定的漏洞，其中此交通将需要正常化。

我不会推荐使用敏感数据预处理器，除非您特别需要查找数据泄漏，并且您应该定义特定主机。这个预处理器可能大约有20％的性能降低，特别是当没有定义特定的主机时。

您还可以启用并使用性能预处理器。如果您使用正确的选项启用此功能，snort将在退出时打印出统计数据。这可以提供有用的信息，例如哪些预处理器/规则最昂贵。

请参阅此here 文档我会使用类似以下内容，使1个第二次执行监视功能，并启用规则和预处理分析：

预处理perfmonitor：时间1个PKTCNT 1000 配置profile_rules：打印所有， sort_ticks config profile_preprocs：print 100，sort_ticks

这听起来像预处理器可能会导致性能问题。启用性能监控将告诉您哪些预处理器最昂贵，您可以调整这些预处理器，直到它适用于您的环境。