You need to check and see if you have duplicate packet issues first.<div><br></div><div>Then recommendations can be made after that.</div><div><br></div><div>Joel<br><br><div class="gmail_quote">On Wed, Feb 2, 2011 at 12:10 PM, Lawrence R. Hughes, Sr. <span dir="ltr"><<a href="mailto:lhughes@...14822...">lhughes@...14822...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">





<div bgcolor="#ffffff">
<div><font size="2" face="Arial">Joel,</font></div>
<div><font size="2" face="Arial"></font> </div>
<div><font size="2" face="Arial">Thank-you for your reply, but where do we go from 
here, as you well know this amount of dropped packets is not 
acceptable?</font></div>
<div><font size="2" face="Arial"></font> </div>
<div><font size="2" face="Arial"></font> </div>
<div><font size="2" face="Arial">Thanks,</font></div>
<div><font size="2" face="Arial">Larry</font></div>
<div> </div>
<div><font size="2" face="Arial"></font> </div>
<div><font size="2" face="Arial"></font> </div>
<blockquote style="border-left:#000000 2px solid;padding-left:5px;padding-right:0px;margin-left:5px;margin-right:0px" dir="ltr"><div class="im">
  <div style="font:10pt arial">----- Original Message ----- </div>
  <div style="font:10pt arial;background:#e4e4e4"><b>From:</b> 
  <a title="jesler@...1935..." href="mailto:jesler@...1935..." target="_blank">Joel 
  Esler</a> </div>
  <div style="font:10pt arial"><b>To:</b> <a title="lhughes@...14822..." href="mailto:lhughes@...14822..." target="_blank">Lawrence R. Hughes, Sr.</a> </div>
  </div><div><div></div><div class="h5"><div style="font:10pt arial"><b>Cc:</b> <a title="jason.r.wallace@...11827..." href="mailto:jason.r.wallace@...11827..." target="_blank">Jason Wallace</a> ; <a title="snort-users@lists.sourceforge.net" href="mailto:snort-users@...973...et" target="_blank">snort-users@lists.sourceforge.net</a> 
  </div>
  <div style="font:10pt arial"><b>Sent:</b> Wednesday, February 02, 2011 11:50 
  AM</div>
  <div style="font:10pt arial"><b>Subject:</b> Re: [Snort-users] snort inline 
  (non-drop mode) br0</div>
  <div><br></div>Lawrence,
  <div><br></div>
  <div>Looking at your perfmon stats, I don't see anything really crazy about 
  your traffic.  You have lots of small packets, you have a bit of 
  fragmentation in your packets every now and again, but nothing really out of 
  the ordinary.</div>
  <div><br></div>
  <div>Your session count isn't anything crazy.  I mean, it's high, but 
  nothing I haven't seen before.</div>
  <div><br></div>
  <div>Not sure what to tell you.  I'd check for duplicate packets (two or 
  more copies of the same packet)  which may be the case if you are getting 
  your traffic from a span or something.</div>
  <div><br></div>
  <div>Joel</div>
  <div><br>
  <div class="gmail_quote">On Wed, Feb 2, 2011 at 9:49 AM, Lawrence R. Hughes, Sr. 
  <span dir="ltr"><<a href="mailto:lhughes@...14822..." target="_blank">lhughes@...14822...</a>></span> 
  wrote:<br>
  <blockquote style="border-left:#ccc 1px solid;margin:0px 0px 0px 0.8ex;padding-left:1ex" class="gmail_quote">Jason,<br><br>As you suggested we added IPs for the 
    HOME_NET and we are now using eth0.<br>We are still getting about 40% 
    dropped packets.<br><br>Please find attached our perfmonitor file and 
    config.<br><br><br>Many Thanks,<br><br>Larry<br>
    <div><br>----- Original Message ----- From: "Jason Wallace" <<a href="mailto:jason.r.wallace@...11827..." target="_blank">jason.r.wallace@...11827...</a>><br></div>
    <div>To: "Lawrence R. Hughes, Sr." <<a href="mailto:lhughes@...14822..." target="_blank">lhughes@...14822...</a>><br></div>Cc: "Joel Esler" <<a href="mailto:jesler@...1935..." target="_blank">jesler@...1935...</a>>; <<a href="mailto:snort-users@...8192...sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a>><br>
Sent: Tuesday, 
    February 01, 2011 4:48 PM
    <div>
    <div></div>
    <div><br>Subject: Re: [Snort-users] snort inline (non-drop mode) 
    br0<br><br><br>Larry,<br><br>In your .conf you have HOME_NET and 
    EXTERNAL_NET set to any. You need<br>to define HOME_NET with the 
    networks/IPs you are protecting. Nearly<br>every rule you are running is an 
    "any -> any" rule. That is going to<br>kill your 
    performance.<br><br>Start with defining your 
    HOME_NET.<br><br>Thx,<br>Wally<br><br><br><br><br>On Tue, Feb 1, 2011 at 
    3:42 PM, Lawrence R. Hughes, Sr.<br><<a href="mailto:lhughes@...14511...822..." target="_blank">lhughes@...14822...</a>> wrote:<br>
    <blockquote style="border-left:#ccc 1px solid;margin:0px 0px 0px 0.8ex;padding-left:1ex" class="gmail_quote">Joel,<br><br>Sorry If I did not provide the info you 
      need…here it is: snort 2.8.6.1<br><br>We are experiencing a large 
      percentage of dropped packet… dropped packets<br>start very low, but on 
      the increase all the time exceeding 70%. please see<br>attached startup 
      and perf. monitor report<br><br>2. We see a large number of open sessions 
      without any reduction. see<br>attached perf. monitor and attached config 
      file<br><br>3. Only 7 rule groups are applied<br><br>4. We have disabled 
      many preprocessors and so rules in an attempt to<br>debug the dropped 
      packet problem??<br><br>5. We do not detect duplicate traffic, snort is 
      running on BR0 which<br>is made of eth0 and eth1.<br><br>6. Snort is not 
      on a network tap…running inline without blocking.<br><br>7. We are 
      detecting alerts which are valid alerts.<br><br>8. Machine is duel core, 
      16GB memory @1333Ghz, fSB 1333Ghz, nic on PCI<br>2.0 5GBs, Raid SAS 
      15000RPM<br><br><br><br>The issue is the dropped packets…..i hope the 
      attached files provide you<br>with enough info to be able to 
      help<br><br>Thanks,<br><br>Larry<br><br>----- Original Message 
      -----<br>From: Joel Esler<br>To: Lawrence R. Hughes, Sr.<br>Cc: <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br>Sent: Tuesday, 
      February 01, 2011 1:45 PM<br>Subject: Re: [Snort-users] snort inline 
      (non-drop mode) br0<br>Lawrence,<br>I keep seeing you post to the list 
      asking about open sessions. But I never<br>see any responses to anyone's 
      questions that we ask.<br>Are you having a problem with open sessions, or 
      are you perceiving it to be<br>a problem? What's the problem? Are you 
      dropping packets? Are you seeing<br>duplicate traffic?<br>Is Snort not 
      detecting things? What's the issue?<br>Joel<br><br>On Tue, Feb 1, 2011 at 
      12:59 PM, Lawrence R. Hughes, Sr.<br><<a href="mailto:lhughes@...846....14822..." target="_blank">lhughes@...14822...</a>> wrote:<br>
      <blockquote style="border-left:#ccc 1px solid;margin:0px 0px 0px 0.8ex;padding-left:1ex" class="gmail_quote"><br>Hi,<br><br>We use snort inline in the non-drop 
        mode and our sensor is listens on br0.<br>Could it be that we detect the 
        3whs (session) with stream5, but don't<br>detect when the session has 
        ended, thus giving us a high rate of open<br>sessions?<br><br>If this is 
        the case, then what interface would be better to use eth0 or<br>eth1 
        (currently both eth0 & eth1 are configed to give us br0) 
        ?<br><br>Thanks,<br>Larry<br><br><br>------------------------------------------------------------------------------<br>Special 
        Offer-- Download ArcSight Logger for FREE (a $49 USD value)!<br>Finally, 
        a world-class log management solution at an even 
        better<br>price-free!<br>Download using promo code 
        Free_Logger_4_Dev2Dev. Offer expires<br>February 28th, so secure your 
        free ArcSight Logger TODAY!<br><a href="http://p.sf.net/sfu/arcsight-sfd2d" target="_blank">http://p.sf.net/sfu/arcsight-sfd2d</a><br>_______________________________________________<br>Snort-users 
        mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>Go to this URL to 
        change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users 
        list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote><br><br><br>--<br>Joel 
      Esler<br>Skype:eslerjoel<br><a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> && <a href="http://blog.clamav.net" target="_blank">http://blog.clamav.net</a><br><br>------------------------------------------------------------------------------<br>
Special 
      Offer-- Download ArcSight Logger for FREE (a $49 USD value)!<br>Finally, a 
      world-class log management solution at an even better 
      price-free!<br>Download using promo code Free_Logger_4_Dev2Dev. Offer 
      expires<br>February 28th, so secure your free ArcSight Logger TODAY!<br><a href="http://p.sf.net/sfu/arcsight-sfd2d" target="_blank">http://p.sf.net/sfu/arcsight-sfd2d</a><br>_______________________________________________<br>
Snort-users 
      mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>Go to this URL to 
      change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users 
      list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br><br></blockquote></div></div></blockquote></div><br>
<br clear="all"><br>-- <br>Joel Esler | 706-231-1451 | <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> | <a href="http://blog.clamav.net" target="_blank">http://blog.clamav.net</a><br><br></div></div>
</div></blockquote></div>
</blockquote></div><br><br clear="all"><br>-- <br>Joel Esler | 706-231-1451 | <a href="http://blog.snort.org">http://blog.snort.org</a> | <a href="http://blog.clamav.net">http://blog.clamav.net</a><br><br>
</div>