<html>

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;}
span.EmailStyle17
        {font-family:Arial;
        color:blue;
        font-weight:normal;
        font-style:normal;
        text-decoration:none none;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-CA link=blue vlink=blue>

<div class=Section1>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'>Hi,</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'> </span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'>Yes, I just used the default configuration
of the rule performance monitoring and am sorting by avg_ticks.  I’ll
check those other rules out.</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'> </span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'>After disabling 4677, snort process
utilization dropped to around 20-30%, and dropped packets are 0% again. 
Throughput (according to snort) is above 100mb/s.</span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:blue'> </span></font></p>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span lang=EN-US style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span lang=EN-US
style='font-size:10.0pt;font-family:Tahoma;font-weight:bold'>From:</span></font></b><font
size=2 face=Tahoma><span lang=EN-US style='font-size:10.0pt;font-family:Tahoma'>
Matt Olney [mailto:molney@...1935...] <br>
<b><span style='font-weight:bold'>Sent:</span></b> Friday, October 08, 2010
3:50 PM<br>
<b><span style='font-weight:bold'>To:</span></b> Jefferson, Shawn<br>
<b><span style='font-weight:bold'>Cc:</span></b>
snort-users@lists.sourceforge.net<br>
<b><span style='font-weight:bold'>Subject:</span></b> Re: [Snort-users] Snort
2.8.6 performance</span></font></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> </span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>From a performance perspective, there are three rules we need to
address:</span></font></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> </span></font></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>4677, 4676 and 17468.  Those three rules
address significantly older bugs, and I'd recommend you disable them
unless you need them for known vulnerabilities.  A fix to those three bugs
will be in the next rule release.</span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><br>
I know you have 10 rules on your list, but a majority of them have a very low
check number.  These three have a high microsecond evaluation time and a
large number of checks.</span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> </span></font></p>

</div>

<div>

<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>Matt</span></font></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>On Fri, Oct 8, 2010 at 5:58 PM, Jefferson, Shawn <<a
href="mailto:Shawn.Jefferson@...14448...">Shawn.Jefferson@...14448...</a>>
wrote:</span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Hi,<br>
<br>
My suspicion is that this is rule related somehow... I turned off the so_rules
and that didn't make any difference, and I also turned off the attribute table
just for fun, since the one I load is pretty big.<br>
<br>
Nothing... so I reconfigured/recompiled to allow rule performance checks.<br>
<br>
timestamp: 1286574608<br>
Rule Profile Statistics (worst 10 rules)<br>
==========================================================<br>
  Num      SID GID Rev     Checks   Matches
   Alerts           Microsecs
 Avg/Check  Avg/Match Avg/Nonmatch<br>
  ===      === === ===     ======   =======
   ======           =========
 =========  ========= ============<br>
    1     4677   1   3     100664
        0         0    
      615540707     6114.8      
 0.0       6114.8<br>
    2    13272   1   3      
   6         0         0
              17891     2981.9
       0.0       2981.9<br>
    3    11324   1   4      
  21         0         0  
            39429     1877.6  
     0.0       1877.6<br>
    4    17468   1   1      33163
        0         0    
       44821199     1351.5      
 0.0       1351.5<br>
    5    10504   1   2      
  68         0         0  
             8006      117.7
       0.0        117.7<br>
    6    10505   1   2      
  68         0         0  
             8002      117.7
       0.0        117.7<br>
    7     4676   1   3      33076
        0         0    
        1931555       58.4    
   0.0         58.4<br>
    8    17666   1   1      
 594         0         0  
            13802       23.2
       0.0         23.2<br>
    9    17495   1   1      
   2         0         0
                 42    
  21.2        0.0         21.2<br>
   10    15910   1   5      
 232         0         0  
             3869       16.7
       0.0         16.7<br>
<br>
I commented out rule 4677 and am running snort on my sensor again to see if
that will help.<br>
<br>
Anybody know anything about this rule and if it may have recently changed?
There's a very non-unique content match: "GET" and then a PCRE...</span></font></p>

<div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><br>
-----Original Message-----<br>
From: waldo kitty [mailto:<a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>]<br>
Sent: Friday, October 08, 2010 12:36 PM<br>
To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...8192...sourceforge.net</a><br>
Subject: Re: [Snort-users] Snort 2.8.6 performance<br>
<br>
On 10/8/2010 13:19, Jefferson, Shawn wrote:<br>
> Has anyone else noticed performance (dropped packets), really take a dive
today?<br>
>   I'm missing about 20-30% of packets now... on a sensor that was
running great at<br>
> about 100-200 mb/s until just today/last night. According to my snort
stats<br>
> there isn't anything unusual as far as stream or frag events go, but the
snort<br>
> process is using 100% CPU today. I'm using the VRT paid subscription
rules.<br>
<br>
please quote back your "snort -V" output... your config may also be
needed...<br>
possible you found a bug or some way that someone is trying to evade IDS
several<br>
other factors...<br>
<br>
<br>
<br>
<br>
------------------------------------------------------------------------------<br>
Beautiful is writing same markup. Internet Explorer 9 supports<br>
standards for HTML5, CSS3, SVG 1.1,  ECMAScript5, and DOM L2 & L3.<br>
Spend less time writing and  rewriting code and more time creating great<br>
experiences on the web. Be a part of the beta today.<br>
<a href="http://p.sf.net/sfu/beautyoftheweb" target="_blank">http://p.sf.net/sfu/beautyoftheweb</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users"
target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users"
target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
------------------------------------------------------------------------------<br>
Beautiful is writing same markup. Internet Explorer 9 supports<br>
standards for HTML5, CSS3, SVG 1.1,  ECMAScript5, and DOM L2 & L3.<br>
Spend less time writing and  rewriting code and more time creating great<br>
experiences on the web. Be a part of the beta today.<br>
<a href="http://p.sf.net/sfu/beautyoftheweb" target="_blank">http://p.sf.net/sfu/beautyoftheweb</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users"
target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users"
target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></span></font></p>

</div>

</div>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'> </span></font></p>

</div>

</div>

</div>

</body>

</html>