<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] Rules vs performance</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>I know on the Intel box I was testing out (PII 450 256MB) on a 100Mb/s link the snort was clocking 40% of the cpu with absolutely no rules or plugins.  I don't remember the specifics, but I was removing rules from the list till snort dropped to 80% or less and of the ruleset of 400 rules I had to drop all but 50 I believe to get it down.  I'm currently using a Sparc 500 and it is clocking 50% of the CPU (same link) with the full ruleset in place (snort1.8b5 build 20).  I downloaded top and compiled it and just watch the processes and notice that with just the database and spp plugins snort is slowing eating up my 1GB of memory.  I don't know if that is a memory leak or just a lot of memory caching going on within snort.</FONT></P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Robinson, Ken [<A HREF="mailto:ken.robinson@...391...563...">mailto:ken.robinson@...1563...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Thursday, May 10, 2001 12:42</FONT>
<BR><FONT SIZE=2>To: Snort List (E-mail)</FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] Rules vs performance</FONT>
</P>
<BR>

<P><FONT SIZE=2>Hello,</FONT>
</P>

<P><FONT SIZE=2>Are there any rule-of-thumb, or such on how the number of Snort rules</FONT>
<BR><FONT SIZE=2>affects the performance?   </FONT>
</P>

<P><FONT SIZE=2>In doing some lab tests, we found that has the amount of traffic went up, we</FONT>
<BR><FONT SIZE=2>detected fewer and fewer test attacks.     CPU usage was high, but not</FONT>
<BR><FONT SIZE=2>peaked right out.     The lab boxes were PIII 800Mhz systems with 100Mbit</FONT>
<BR><FONT SIZE=2>NICs and 256Meg RAM.  </FONT>
</P>

<P><FONT SIZE=2>I don't know of the misses were due to an issue with the hardware (NIC</FONT>
<BR><FONT SIZE=2>missing packets?), or if there were too many rules to sort through for the</FONT>
<BR><FONT SIZE=2>Snort software, or too much logging? </FONT>
</P>

<P><FONT SIZE=2>We've looked through the snort rules from Whitehats and found many cases</FONT>
<BR><FONT SIZE=2>were we could reduce the rules by either dropping them (i.e. don't care),</FONT>
<BR><FONT SIZE=2>reducing them (i.e. all the ICMP Itype 8 could just be recorded as ping</FONT>
<BR><FONT SIZE=2>instead of detecting which OS),  or making groups of them as activate rules</FONT>
<BR><FONT SIZE=2>(i.e. the DeepThroat backdoor rules).    We could also use the Activate</FONT>
<BR><FONT SIZE=2>rules to log the next 50 packets and then run a full set or rules on those</FONT>
<BR><FONT SIZE=2>logged packets.  </FONT>
</P>

<P><FONT SIZE=2>So, any advise for us?   Should we use Activate rules as much as possible?</FONT>
<BR><FONT SIZE=2>Should we generalize rules?   Or is all of this not going to make much of a</FONT>
<BR><FONT SIZE=2>difference? </FONT>
</P>

<P><FONT SIZE=2>Thanks. </FONT>
</P>

<P><FONT SIZE=2>----</FONT>
<BR><FONT SIZE=2>Ken Robinson</FONT>
</P>
<BR>
<BR>
<BR>

<P><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="http://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">http://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>