<html><body bgcolor="#FFFFFF"><div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.269531); -webkit-composition-fill-color: rgba(175, 192, 227, 0.203125); -webkit-composition-frame-color: rgba(77, 128, 180, 0.203125);">Snort can process that much traffic, it just depends on a lot of things. Like I said, it's not like there is a limit coded into Snort as to how much it can process. </span></div><div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.265625); -webkit-composition-fill-color: rgba(175, 192, 227, 0.199219); -webkit-composition-frame-color: rgba(77, 128, 180, 0.199219);"><br></span></div><div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.269531); -webkit-composition-fill-color: rgba(175, 192, 227, 0.203125); -webkit-composition-frame-color: rgba(77, 128, 180, 0.203125);">Rmkml,  please reply to all on list emails. It makes redundancy in emails much lower. Thank you.  </span></div><div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.269531); -webkit-composition-fill-color: rgba(175, 192, 227, 0.203125); -webkit-composition-frame-color: rgba(77, 128, 180, 0.203125);"><br></span></div><div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.269531); -webkit-composition-fill-color: rgba(175, 192, 227, 0.203125); -webkit-composition-frame-color: rgba(77, 128, 180, 0.203125);"><br></span></div><div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.273438); -webkit-composition-fill-color: rgba(175, 192, 227, 0.207031); -webkit-composition-frame-color: rgba(77, 128, 180, 0.207031); ">On Apr 13, 2010, at 2:26 PM, d a <<a href="mailto:xstoneheartx@...131...">xstoneheartx@...131...</a>> wrote:</span><br></div><div><br></div><div></div><blockquote type="cite"><div><table cellspacing="0" cellpadding="0" border="0"><tbody><tr><td valign="top" style="font: inherit;"><div>Hi,<br>Thanks for your attention.</div>
<div>Sorry for that mismatch. I used Ethernet 10/100 because I thought that the traffic rate for snort  should be under 100Mb to works perfectly, But actually I want to use Ethernet 10/100/1000 for my need of 200Mb traffic  rate if snort can support it. I want to use my box to protect network of a place like university.</div>
<div>I want to use snort for both IDS and <span><span>IPS</span></span> modes.</div>
<div> </div>
<div>What can I do to detect <span>phishing</span> attacks in my IDS/IPS box. Can use of ClamAv with snort be helpful?<br></div>
<div> </div>
<div>Any help will be appreciated.</div>
<div><br>--- On Tue, 4/13/10, <span><span>rmkml</span></span> <<a href="mailto:rmkml@...953...">rmkml@...953...</a>> wrote:<br><br>> From: rmkml <<a href="mailto:rmkml@...953...">rmkml@...953...</a>><br>> Subject: Re: [Snort-users] throughput of snort usually(and with specific rules)<br>> To: "d a" <<a href="mailto:xstoneheartx@...131...">xstoneheartx@...131...</a>><br>> Cc: <a href="mailto:rmkml@...953..."><a href="mailto:rmkml@...953...">rmkml@...953...</a></a><br>> Date: Tuesday, April 13, 2010, 12:38 PM<br>> Hi,<br>> excuse me, you have writted: "3 Ethernet Port 10/100"<br>> but you have writted: "...with a traffic rate of 200 Mb/s<br>> or more"<br>> You have 200Mb/s with 100 network interface?<br>> another point: you need a ids ? (detection only) or a ips ?<br>> (inline blocking) because it's more different...<br>> Regards<br>> Rmkml<br>> <br>> <br>> On Tue, 13 Apr 2010, d a wrote:<br>> <br>> > Hi, everybody<br>> > In a security project I want to make an IDS/IPS System<br>> based on snort but I have to satisfy employer and investors<br>> for my choice
 about Snort.<br>> > One of the problem that I have is about the input<br>> traffic rate/throughput that snort can support and analyze<br>> with a good performance(Low CPU usage and packet drop).I<br>> know that it depends on a number of factors like the<br>> configuration of the system and which rules we are running<br>> as well as the underlying hardware and the OS configuration,<br>> But I want to know the normal range of its throughput.<br>> > Some where I read somebody wants to use it for 1-2<br>> gb/s rate of traffic. Dose snort really works for xgb/s rate<br>> of input traffic without so much drop and high CPU usage?<br>> > In a book about snort that published in 2003(Intrusion<br>> detection with Snort By Jack Kozio ) that I think it's<br>> talking about snort-2.2  was wrote that snort works for<br>> 100Mb correctly and starts to loss packets in 200-300 Mb and<br>> can not run at traffic
 level higher than 500Mb. Does any<br>> body know about these numbers for snort-2.8.5?<br>> > The specification of my system that snort sensor is<br>> running on:<br>> >  CPU : Intel core 2 duo 2.8GHz<br>> >  RAM: 2-4 gig DDR2 KINGMAX<br>> >  Hard:300 gig <span>maxtor</span> SATA<br>> >  3 Ethernet Port 10/100<br>> > The network that I want to use system for includes<br>> more than 150 systems with a traffic rate of 200 Mb/s or<br>> more.<br>> > and the snort configuration that I need includes:<br>> > enabling  preprocessors , and enabling rules to<br>> detect web & CGI attacks, Phishing attacks , malwares<br>> and spywares and some others.<br>> > I want to use snort with out any accelerators. If I<br>> had to use one, is there any open-Source accelerator for<br>> snort?<br>> > Another question that I have is about OS.I'm using<br>>
 Suse10.3, is it suitable for our security goals  or<br>> other OS like cent-OS,open-BSD, .. are more secure?<br>> > Thanks a lot for your helps.<br>> </div></td></tr></tbody></table><br>

      </div></blockquote><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><blockquote type="cite"><div><span>------------------------------------------------------------------------------</span><br></div></blockquote></body></html>