sorrel 02.07.2014 17:02
Есть вопрос! — Suricata - Кто нибудь использует на практике?
Есть ли кто нибудь кто имеет опыт работы с данной системой? Интересует несколько вопросов.1. Требования по железу, на текущий момент развернул на старой железке (core2due e5400) и отправил миррор трафика на нее но если с потоком 60-80 Mb и 10k pps она справляется то с кратковременными пиками в 600-800 Mb начинает дропать пакеты. Естественно потом будет куплена железка по мощнее но хотелось бы понять что нужно что бы прожевать 1Gb трафика.
2. Соответственно прикрутил barnyard2 и snorby но получаю очень много алертов а точнее тысячи, алерты на не полученный ack или неправильный сhecksum. Можно конечно отключить данные правила но хотелось бы понять почему так много таких алертов.
3. А так же если кто то использовал на freebsd данную систему то может подскажет что еще она поддерживает кроме pcap (так как на линуксе есть PF_RING, AF_PACKET, NFQUEUE)
По первому пункту, немного почитав доки, увидел что эта штука умеет работать с cuda, завтра воткну видяху и посмотрю полегчает ли ей. Я мониторю не только сервера а так же всех клиентов в офисе. И у меня стоит все на фряхе, изначально ставил на линукс но как то быстро все загибалось. Перекинул на фряшку и вроде при 60-80 Mb нагрузка 10-20 процентов. С пиками только не справляется.
По второму пункту, у меня стоит juniper srx который смотрит в мир и режет все то идет не туда а так же hp pro curve на которых клиенты разброшены через vlan-ы и трафик между ними фильтруется, а алерты возникают скорее всего из-за потерянных пакетов во время пиков, так как эта штука делает defrag и пытается собрать сессию в кучу.
По второму пункту, у меня стоит juniper srx который смотрит в мир и режет все то идет не туда а так же hp pro curve на которых клиенты разброшены через vlan-ы и трафик между ними фильтруется, а алерты возникают скорее всего из-за потерянных пакетов во время пиков, так как эта штука делает defrag и пытается собрать сессию в кучу.
А, ясно. Ну, если видюха не поможет, то очевидно, что только апгрейдить железо.
что еще она поддерживает кроме pcap
возможно сам pcap умеет zerocopy, погуглите
Собственно если cuda смог собрать под freebsd с compat то сама суриката не собирается так как нужна libnf... которая только под линукс. Поэтому поставил пока ubuntu 12.04 и собираю PF_RING и Surricata с поддержкой cuda. Нашел статью в "Системный администратор за 2012 год", где как раз тестили связку PF_RING + Cuda и у них как раз core2duo вроде как смог прожевать чуть больше 500 мегабит)) Потестирую потом расскажу. Если будет кому интересно можно и howto по инсталяции написать.
Мне бы было интересно результаты и описание работы в "боевых условиях" почитать для общего образования.
В общем cuda неплохо себя показала, с 60-80 Mb она позволила поднять планку почти до 180-200 Mb, сейчас заказали core i7 и мать с intel I217-LM сетевой картой (driver e1000e), под нее есть дрова с zerocopy pf_ring, как приедет протестируем и расскажу. Да и видеокарту попробуем воткнуть по мощнее а то использовали nvidia 610 это судя по всему чуть ли не самая простая в 6хх серии.
Да и опыты пока проводились при всех включенных правилах (~15k правил) а я думаю большую часть из них можно потушить, а так же надо настраивать правильно сам модуль pf_ring в suricata. Постараюсь рассказать потом чем закончится :-)
Да и опыты пока проводились при всех включенных правилах (~15k правил) а я думаю большую часть из них можно потушить, а так же надо настраивать правильно сам модуль pf_ring в suricata. Постараюсь рассказать потом чем закончится :-)
http://milovsky.ru/nvidia-6xx-cuda-problem/
Про cuda выбирайте аккуратнее
Про cuda выбирайте аккуратнее
Что касается первого пункта, слабой железки не получится. Линуксы пока относительно тяжко с большим трафиком работают(по сравнению с цисками и фсякими фряхами). Т.е. они работают хорошо, но требуют больше ресурсов. А костыли, типа подобных анализаторов жрут ресурсы как не в себя.
По второму пункту. Одна из причин бесполезности подобных систем в том, что они указывают лишь на оплошности админа. Нормальный админ отключит все левые пакеты в фаере на внешнем интерфейсе или на отдельном железном фаере.