<div>Dug through the code a bit, and reread some libpcap documentation -- seems this may be due to inconsistent behavior across different "systems" that interpret the use of "timeout" in different ways.\</div>
<div><br></div><div>Do you see this with other DAQ's as well? ("dump" daq is an exception, its based on pcap as well)</div><div><br></div><div>Meanwhile, I'll open a bug so we can investigate this more thoroughly.</div>
<div><br></div><div>- Victor</div><div><br><div class="gmail_quote">On Wed, Feb 20, 2013 at 4:33 AM,  <span dir="ltr"><<a href="mailto:elof@...843.....6680..." target="_blank">elof@...6680...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div><br>
On Tue, 19 Feb 2013, Victor Roemer wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Concerning your performance problems, you'll receive better feedback from<br>
the snort-users list, the snort-dev is primarily for receiving patches,<br>
discussing development etc..<br>
</blockquote>
<br></div>
Thanks for the tip.<br>
I'm cross-posting the followups to snort-users as well.<div><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Your shutdown issue is interesting though. Can you send us the following<br>
1. Snort Version<br>
</blockquote>
<br></div>
# snort --version<br>
   ,,_     -*> Snort! <*-<br>
  o"  )~   Version 2.9.4 GRE (Build 40)<br>
   ''''    By Martin Roesch & The Snort Team: <a href="http://www.snort.org/snort/snort-team" target="_blank">http://www.snort.org/snort/<u></u>snort-team</a><br>
           Copyright (C) 1998-2012 Sourcefire, Inc., et al.<br>
           Using libpcap version 1.3.0<br>
           Using PCRE version: 8.32 2012-11-30<br>
           Using ZLIB version: 1.2.7<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
2. DAQ version<br>
</blockquote>
<br>
# snort --daq-list | grep pcap<br>
pcap(v3): readback live multi unpriv<br>
<br>
# pkg_info | grep daq<br>
daq-2.0.0<div><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Also, how are you "shutting down" snort. Which signal's are you sending it.<br>
</blockquote>
<br></div>
I'm sending a normal TERM signal ('kill <pid>'). Nothing happens unless a) more packets are seen on the sniffing interface or b) I run 'kill -9 <pid>'.<br>
<br>
/Elof<div><div><br>
<br>
<br>
<br>
<br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I know historically there have been problems with BSD's related to<br>
thread synchronization, etc.. and most notably we do some special things<br>
for OpenBSD to fix these.<br>
<br>
- Victor<br>
<br>
On Tue, Feb 19, 2013 at 10:41 AM, <<a href="mailto:elof@...6680..." target="_blank">elof@...6680...</a>> wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I just found something strange:<br>
<br>
How to reproduce:<br>
<br>
On a default installed FreeBSD 9.1 (amd64) machine I run the latest snort<br>
(compiled from ports).<br>
<br>
Snort is running fine (as a daemon).<br>
I replay a test-pcap with 1 000 000 packets at high speed.<br>
<br>
'netstat -B' says:<br>
   Pid  Netif   Flags      Recv      Drop     Match Sblen Hblen Command<br>
   875 pflog0 p--s--l         0         0         0     0     0 pflogd<br>
  1757   mon0 p--s---    999988         0    999988     0     0 snort<br>
<br>
So far everything's good.<br>
0 drops.<br>
(the 12 missing packets were dropped externally (in a hub))<br>
<br>
<br>
I stop snort.<br>
It terminates just fine within a second or two.<br>
<br>
Now I run:<br>
sysctl net.bpf.zerocopy_enable=1<br>
<br>
Then I start snort again.<br>
<br>
<br>
Problem #1:<br>
I replay the same 1 000 000 packets at the same speed.<br>
'netstat -B' now show:<br>
   Pid  Netif   Flags      Recv      Drop     Match Sblen Hblen Command<br>
   875 pflog0 p--s--l         0         0         0     0     0 pflogd<br>
  1912   mon0 p--s---    999978    159417    999978 2096329 2095593 snort<br>
<br>
Aw! 159417 drops (16%)!<br>
This is reproduceable every time.<br>
<br>
<br>
Problem #2:<br>
When I now try to terminate the snort process, it won't die.<br>
It doesn't even start to syslog that it is shutting down. Nothing happen<br>
at all.<br>
After a few minutes I give up and kill it with -9.<br>
<br>
This problem only seem to appear if the monitoring NIC is completely<br>
silent (as mine are when I don't replay any test packets).<br>
If/when I start replaying some packets again, the snort process that I<br>
tried to kill (without -9) now finally terminates.<br>
<br>
<br>
<br>
Any ideas what is happening here?<br>
<br>
/Elof<br>
<br>
<br>
------------------------------<u></u>------------------------------<u></u>------------------<br>
Everyone hates slow websites. So do we.<br>
Make your web apps faster with AppDynamics<br>
Download AppDynamics Lite for free today:<br>
<a href="http://p.sf.net/sfu/appdyn_d2d_feb" target="_blank">http://p.sf.net/sfu/appdyn_<u></u>d2d_feb</a><br>
______________________________<u></u>_________________<br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net" target="_blank">Snort-devel@...3783...<u></u>net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/<u></u>lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/<u></u>mailarchive/forum.php?forum_<u></u>name=snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
<br>
</blockquote>
<br>
</blockquote>
</div></div></blockquote></div><br>
</div>