Hi elof,<div><br></div><div>Concerning your performance problems, you'll receive better feedback from the snort-users list, the snort-dev is primarily for receiving patches, discussing development etc..</div><div><br></div>
<div><br></div><div>Your shutdown issue is interesting though. Can you send us the following </div><div><br></div><div>1. Snort Version</div><div>2. DAQ version</div><div><br></div><div>Also, how are you "shutting down" snort. Which signal's are you sending it.</div>
<div><br></div><div><br></div><div>I know historically there have been problems with BSD's related to thread synchronization, etc.. and most notably we do some special things for OpenBSD to fix these.</div><div><br></div>
<div>- Victor </div><div><div><br><div class="gmail_quote">On Tue, Feb 19, 2013 at 10:41 AM,  <span dir="ltr"><<a href="mailto:elof@...3371....." target="_blank">elof@...969...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I just found something strange:<br>
<br>
How to reproduce:<br>
<br>
On a default installed FreeBSD 9.1 (amd64) machine I run the latest snort<br>
(compiled from ports).<br>
<br>
Snort is running fine (as a daemon).<br>
I replay a test-pcap with 1 000 000 packets at high speed.<br>
<br>
'netstat -B' says:<br>
   Pid  Netif   Flags      Recv      Drop     Match Sblen Hblen Command<br>
   875 pflog0 p--s--l         0         0         0     0     0 pflogd<br>
  1757   mon0 p--s---    999988         0    999988     0     0 snort<br>
<br>
So far everything's good.<br>
0 drops.<br>
(the 12 missing packets were dropped externally (in a hub))<br>
<br>
<br>
I stop snort.<br>
It terminates just fine within a second or two.<br>
<br>
Now I run:<br>
sysctl net.bpf.zerocopy_enable=1<br>
<br>
Then I start snort again.<br>
<br>
<br>
Problem #1:<br>
I replay the same 1 000 000 packets at the same speed.<br>
'netstat -B' now show:<br>
   Pid  Netif   Flags      Recv      Drop     Match Sblen Hblen Command<br>
   875 pflog0 p--s--l         0         0         0     0     0 pflogd<br>
  1912   mon0 p--s---    999978    159417    999978 2096329 2095593 snort<br>
<br>
Aw! 159417 drops (16%)!<br>
This is reproduceable every time.<br>
<br>
<br>
Problem #2:<br>
When I now try to terminate the snort process, it won't die.<br>
It doesn't even start to syslog that it is shutting down. Nothing happen<br>
at all.<br>
After a few minutes I give up and kill it with -9.<br>
<br>
This problem only seem to appear if the monitoring NIC is completely<br>
silent (as mine are when I don't replay any test packets).<br>
If/when I start replaying some packets again, the snort process that I<br>
tried to kill (without -9) now finally terminates.<br>
<br>
<br>
<br>
Any ideas what is happening here?<br>
<br>
/Elof<br>
<br>
------------------------------------------------------------------------------<br>
Everyone hates slow websites. So do we.<br>
Make your web apps faster with AppDynamics<br>
Download AppDynamics Lite for free today:<br>
<a href="http://p.sf.net/sfu/appdyn_d2d_feb" target="_blank">http://p.sf.net/sfu/appdyn_d2d_feb</a><br>
_______________________________________________<br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...1685...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</blockquote></div><br></div></div>