Hussein, thanks for reporting the problem.<br><br>I was able to recreate it using locally generated rules and have opened a bug.<br><br>Don't have any additional suggestions at this point but will keep you posted.<br><br>
Russ<br><br><div class="gmail_quote">On Sat, Jul 2, 2011 at 4:02 AM, Hussein Bahaidarah <span dir="ltr"><<a href="mailto:husseinb@...11827...">husseinb@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Hello Martin,<br>
<br>
I know that snort is not designed to do that; but I have to use it for many reasons as my experiment dictates using IDS/IPS. I can not use Squid it is a proxy engined and does not serve my purpose.<br>
<br>
Thanks<br>
<div><div></div><div class="h5"><br>
On Jul 1, 2011, at 9:56 PM, Martin Holste wrote:<br>
<br>
You are using the wrong tool for URL blocking.  You should be using<br>
squid for this with policy-based routing to transparently redirect all<br>
requests through squid as a transparent proxy.<br>
<br>
On Fri, Jul 1, 2011 at 1:12 PM, Hussein Bahaidarah <<a href="mailto:husseinb@...11827...">husseinb@...11827...</a>> wrote:<br>
> Hello,<br>
> no warning was displayed.<br>
> All rules are simple and of the following format:<br>
> alert tcp any any -> any 80 ( content:"URL"; react:; sid:1; )<br>
> The content is changed on every rule which is basically a URL and the SID is<br>
> incremented from 1 to 942099<br>
> My system has 4GB memory. Before using snort 600MB is used and after snort<br>
> full memory is utilized. That is on 2.9.0.5. Now, I have switched to Version<br>
> 2.9.1_beta as the "react" option was not firing on multiple rules.<br>
> I am testing snort with IXIA; but the result are not good as it seems that I<br>
> am not configuring Snort in the right way. I need to achieve blocking for a<br>
> big number of URL's with snort. Do you have any recommendations in this<br>
> regards to tweak and optimize snort performance.<br>
> Thanks,<br>
> On Jun 29, 2011, at 7:52 PM, Russ Combs wrote:<br>
> We have kicked this around internally, and don't have a simple configuration<br>
> suggestion to try so a few questions ...<br>
><br>
> Did you see any warnings in the startup output when you loaded 942099 rules?<br>
><br>
> What kind of rules are these?  Are they all very simple rules or rules with<br>
> lots of options?<br>
><br>
> How much memory does your system have?  How much is used before and after<br>
> starting Snort with all those rules?<br>
><br>
> Thanks<br>
> Russ<br>
><br>
> On Sun, Jun 26, 2011 at 1:04 PM, Hussein Bahaidarah <<a href="mailto:husseinb@...11827...">husseinb@...11827...</a>><br>
> wrote:<br>
>><br>
>> Hello,<br>
>> I have found after extensive testing that only 131008 rules only fires<br>
>> alert and action. Any rule after that will not take any action.<br>
>> On Jun 25, 2011, at 8:39 PM, Hussein Bahaidarah wrote:<br>
>> Hello,<br>
>> Is there a limit on the number of rules support by snort in general? and<br>
>> on per file basis? I have customized a file with 942099 rules and it took<br>
>> about 15 minutes to start snort; but no alerts or actions wer fired.<br>
>> +++++++++++++++++++++++++++++++++++++++++++++++++++<br>
>> Initializing rule chains...<br>
>> 942099 Snort rules read<br>
>>     942099 detection rules<br>
>>     0 decoder rules<br>
>>     0 preprocessor rules<br>
>> 942099 Option Chains linked into 1 Chain Headers<br>
>> 0 Dynamic rules<br>
>> +++++++++++++++++++++++++++++++++++++++++++++++++++<br>
>> +-------------------[Rule Port<br>
>> Counts]---------------------------------------<br>
>> |             tcp     udp    icmp      ip<br>
>> |     src       0       0       0       0<br>
>> |     dst  942099       0       0       0<br>
>> |     any       0       0       0       0<br>
>> |      nc       0       0       0       0<br>
>> |     s+d       0       0       0       0<br>
>><br>
>> +----------------------------------------------------------------------------<br>
>> --<br>
>> Regards,<br>
>> Hussein Bahaidara<br>
>><br>
>><br>
>> ------------------------------------------------------------------------------<br>
>> All of the data generated in your IT infrastructure is seriously valuable.<br>
>> Why? It contains a definitive record of application performance, security<br>
>> threats, fraudulent activity, and more. Splunk takes this data and makes<br>
>> sense of it. IT sense. And common sense.<br>
>> <a href="http://p.sf.net/sfu/splunk-d2d-c2" target="_blank">http://p.sf.net/sfu/splunk-d2d-c2</a><br>
>> _______________________________________________<br>
>> Snort-users mailing list<br>
>> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...2902...ists.sourceforge.net</a><br>
>> Go to this URL to change user options or unsubscribe:<br>
>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
>> Snort-users list archive:<br>
>> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
>><br>
>> Please see <a href="http://www.snort.org/docs" target="_blank">http://www.snort.org/docs</a> for documentation<br>
><br>
><br>
><br>
> ------------------------------------------------------------------------------<br>
> All of the data generated in your IT infrastructure is seriously valuable.<br>
> Why? It contains a definitive record of application performance, security<br>
> threats, fraudulent activity, and more. Splunk takes this data and makes<br>
> sense of it. IT sense. And common sense.<br>
> <a href="http://p.sf.net/sfu/splunk-d2d-c2" target="_blank">http://p.sf.net/sfu/splunk-d2d-c2</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
><br>
> Please see <a href="http://www.snort.org/docs" target="_blank">http://www.snort.org/docs</a> for documentation<br>
><br>
<br>
</div></div></blockquote></div><br>