sorrel 02.07.2014 17:02

Есть вопрос!Suricata - Кто нибудь использует на практике?

Есть ли кто нибудь кто имеет опыт работы с данной системой? Интересует несколько вопросов.

1. Требования по железу, на текущий момент развернул на старой железке (core2due e5400) и отправил миррор трафика на нее но если с потоком 60-80 Mb и 10k pps она справляется то с кратковременными пиками в 600-800 Mb начинает дропать пакеты. Естественно потом будет куплена железка по мощнее но хотелось бы понять что нужно что бы прожевать 1Gb трафика.

2. Соответственно прикрутил barnyard2 и snorby но получаю очень много алертов а точнее тысячи, алерты на не полученный ack или неправильный сhecksum. Можно конечно отключить данные правила но хотелось бы понять почему так много таких алертов.

3. А так же если кто то использовал на freebsd данную систему то может подскажет что еще она поддерживает кроме pcap (так как на линуксе есть PF_RING, AF_PACKET, NFQUEUE)


Тэги: suricata
+ 0 -
Похожие Поделиться

cppmm 02.07.2014 22:59 #
На одном сервере такие вещи использовать нет смысла. На десятке - тоже. На сотне надо адаптировать под себя и половину писать с нуля. Поэтому - нет, я не использую.

Что касается первого пункта, слабой железки не получится. Линуксы пока относительно тяжко с большим трафиком работают(по сравнению с цисками и фсякими фряхами). Т.е. они работают хорошо, но требуют больше ресурсов. А костыли, типа подобных анализаторов жрут ресурсы как не в себя.

По второму пункту. Одна из причин бесполезности подобных систем в том, что они указывают лишь на оплошности админа. Нормальный админ отключит все левые пакеты в фаере на внешнем интерфейсе или на отдельном железном фаере.
sorrel 03.07.2014 00:02 #
По первому пункту, немного почитав доки, увидел что эта штука умеет работать с cuda, завтра воткну видяху и посмотрю полегчает ли ей. Я мониторю не только сервера а так же всех клиентов в офисе. И у меня стоит все на фряхе, изначально ставил на линукс но как то быстро все загибалось. Перекинул на фряшку и вроде при 60-80 Mb нагрузка 10-20 процентов. С пиками только не справляется.
По второму пункту, у меня стоит juniper srx который смотрит в мир и режет все то идет не туда а так же hp pro curve на которых клиенты разброшены через vlan-ы и трафик между ними фильтруется, а алерты возникают скорее всего из-за потерянных пакетов во время пиков, так как эта штука делает defrag и пытается собрать сессию в кучу.
cppmm 03.07.2014 09:03 #
А, ясно. Ну, если видюха не поможет, то очевидно, что только апгрейдить железо.
dront78 03.07.2014 10:26 #
что еще она поддерживает кроме pcap

возможно сам pcap умеет zerocopy, погуглите
dront78 03.07.2014 10:27 #
sorrel 03.07.2014 15:19 #
Собственно если cuda смог собрать под freebsd с compat то сама суриката не собирается так как нужна libnf... которая только под линукс. Поэтому поставил пока ubuntu 12.04 и собираю PF_RING и Surricata с поддержкой cuda. Нашел статью в "Системный администратор за 2012 год", где как раз тестили связку PF_RING + Cuda и у них как раз core2duo вроде как смог прожевать чуть больше 500 мегабит)) Потестирую потом расскажу. Если будет кому интересно можно и howto по инсталяции написать.
cppmm 04.07.2014 12:09 #
Мне бы было интересно результаты и описание работы в "боевых условиях" почитать для общего образования.
sorrel 04.07.2014 17:02 #
В общем cuda неплохо себя показала, с 60-80 Mb она позволила поднять планку почти до 180-200 Mb, сейчас заказали core i7 и мать с intel I217-LM сетевой картой (driver e1000e), под нее есть дрова с zerocopy pf_ring, как приедет протестируем и расскажу. Да и видеокарту попробуем воткнуть по мощнее а то использовали nvidia 610 это судя по всему чуть ли не самая простая в 6хх серии.
Да и опыты пока проводились при всех включенных правилах (~15k правил) а я думаю большую часть из них можно потушить, а так же надо настраивать правильно сам модуль pf_ring в suricata. Постараюсь рассказать потом чем закончится :-)
dront78 04.07.2014 23:22 #
http://milovsky.ru/nvidia-6xx-cuda-problem/
Про cuda выбирайте аккуратнее
sorrel 07.07.2014 19:21 #
Спасибо за ссылочку, нашли пока в архиве 295GTX (Processor Cores 480 (240 x 2)) попробуем как железо остальное приедет.