<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2654.45">
<TITLE>snort 2.0 memory usage</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>System Architecture:            x86</FONT>
<BR><FONT SIZE=2>Operating System and version:   RedHat 7.3, Linux kernel 2.4.18</FONT>
<BR><FONT SIZE=2>Version of Snort:                       1.9.0 vs. 2.0.0</FONT>
</P>

<P><FONT SIZE=2>What preprocessors loaded:</FONT>
<BR><FONT SIZE=2>preprocessor frag2</FONT>
<BR><FONT SIZE=2>preprocessor stream4: detect_scans, disable_evasion_alerts</FONT>
<BR><FONT SIZE=2>preprocessor stream4_reassemble: both, ports all</FONT>
<BR><FONT SIZE=2>preprocessor http_decode: 80 unicode iis_alt_unicode double_encode iis_flip_slash full_whitespace</FONT>
<BR><FONT SIZE=2>preprocessor rpc_decode: 111 32771</FONT>
<BR><FONT SIZE=2>preprocessor bo </FONT>
<BR><FONT SIZE=2>preprocessor telnet_decode</FONT>
<BR><FONT SIZE=2>preprocessor portscan: $HOME_NET 4 3 portscan.log</FONT>
<BR><FONT SIZE=2>preprocessor conversation: allowed_ip_protocols all, timeout 60, max_conversations 300</FONT>
</P>

<P><FONT SIZE=2>What rules:</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/bad-traffic.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/exploit.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/scan.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/finger.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/ftp.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/telnet.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/rpc.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/rservices.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/dos.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/ddos.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/dns.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/tftp.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/sql.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/x11.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/icmp.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/netbios.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/misc.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/attack-responses.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/oracle.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/mysql.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/snmp.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/smtp.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/imap.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/pop2.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/pop3.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/nntp.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/other-ids.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/experimental.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/local.rules</FONT>
<BR><FONT SIZE=2>include $RULE_PATH/test.rules</FONT>
</P>

<P><FONT SIZE=2>What output plug-ins:           output alert_full: alert</FONT>
<BR><FONT SIZE=2>What command line switches you were using:</FONT>
<BR><FONT SIZE=2>/usr/sbin/snort -l /var/log/snort -d -D -i eth1 -c /etc/snort/snort.conf (or snort.test)</FONT>
</P>

<P><FONT SIZE=2>Any Snort error messages: none</FONT>
</P>
<BR>

<P><FONT SIZE=2>Problem: High memory usage from snort 2.0.0 compared to snort 1.9.0</FONT>
<BR><FONT SIZE=2>This was running on a 200Mhz CPU with 64MB of memory.  </FONT>
<BR><FONT SIZE=2>Memory usage seems directly related to the amount of rules configured.</FONT>
</P>

<P><FONT SIZE=2>snort 2.0.0 running with config /etc/snort/snort.test</FONT>
<BR><FONT SIZE=2>>top -p `pgrep snort` -b -n 1 | tail -2</FONT>
<BR><FONT SIZE=2>  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND</FONT>
<BR><FONT SIZE=2>16707 root      15   0  8348 6520   872 S     0.0 10.5   0:01 snort</FONT>
</P>

<P><FONT SIZE=2>snort 2.0.0 running with config /etc/snort/snort.conf</FONT>
<BR><FONT SIZE=2>>top -p `pgrep snort` -b -n 1 | tail -2</FONT>
<BR><FONT SIZE=2>  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND</FONT>
<BR><FONT SIZE=2>16780 root      15   0 59572  38M  2196 R     0.1 63.5   0:07 snort</FONT>
</P>

<P><FONT SIZE=2>snort 1.9.0 running with config /etc/snort/snort.test</FONT>
<BR><FONT SIZE=2>>top -p `pgrep snort` -b -n 1 | tail -2</FONT>
<BR><FONT SIZE=2>  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND</FONT>
<BR><FONT SIZE=2>17213 root      15   0  3440 3440   872 S     0.0  5.5   0:00 snort</FONT>
</P>

<P><FONT SIZE=2>snort 1.9.0 running with config /etc/snort/snort.conf</FONT>
<BR><FONT SIZE=2>>top -p `pgrep snort` -b -n 1 | tail -2</FONT>
<BR><FONT SIZE=2>  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND</FONT>
<BR><FONT SIZE=2>17143 root      15   0  5728 5728   872 S     0.0  9.2   0:01 snort</FONT>
</P>

<P><FONT SIZE=2>>diff /etc/snort/snort.test /etc/snort/snort.conf </FONT>
<BR><FONT SIZE=2>569,575c569,575</FONT>
<BR><FONT SIZE=2>< #include $RULE_PATH/web-cgi.rules</FONT>
<BR><FONT SIZE=2>< #include $RULE_PATH/web-coldfusion.rules</FONT>
<BR><FONT SIZE=2>< #include $RULE_PATH/web-iis.rules</FONT>
<BR><FONT SIZE=2>< #include $RULE_PATH/web-frontpage.rules</FONT>
<BR><FONT SIZE=2>< #include $RULE_PATH/web-misc.rules</FONT>
<BR><FONT SIZE=2>< #include $RULE_PATH/web-client.rules</FONT>
<BR><FONT SIZE=2>< #include $RULE_PATH/web-php.rules</FONT>
<BR><FONT SIZE=2>---</FONT>
<BR><FONT SIZE=2>> include $RULE_PATH/web-cgi.rules</FONT>
<BR><FONT SIZE=2>> include $RULE_PATH/web-coldfusion.rules</FONT>
<BR><FONT SIZE=2>> include $RULE_PATH/web-iis.rules</FONT>
<BR><FONT SIZE=2>> include $RULE_PATH/web-frontpage.rules</FONT>
<BR><FONT SIZE=2>> include $RULE_PATH/web-misc.rules</FONT>
<BR><FONT SIZE=2>> include $RULE_PATH/web-client.rules</FONT>
<BR><FONT SIZE=2>> include $RULE_PATH/web-php.rules</FONT>
</P>

</BODY>
</HTML>