<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>I've forwarded your email on, but they are very busy.  <br><br><div>--</div><div><b>Mobile</b></div></div><div><br>On Jun 1, 2013, at 2:57 AM, "C. L. Martinez" <<a href="mailto:carlopmart@...11827...">carlopmart@...11827...</a>> wrote:<br><br></div><blockquote type="cite"><div>Please, any idea where can it be the problem??.<br><br>I have do it more tests with same results. For example I have increased bpf max buffers size, doing a minimal snort conf, but nothing.<br><br>On Thursday, May 30, 2013, C. L. Martinez <<a href="mailto:carlopmart@...11827...">carlopmart@...11827...</a>> wrote:<br>
> Hi all,<br>><br>>  According to the following stats:<br>><br>> May 30 11:46:22 nsm01 snort[30096]:<br>> ===============================================================================<br>> May 30 11:46:22 nsm01 snort[30096]: Packet Performance Summary:<br>
> May 30 11:46:22 nsm01 snort[30096]:    max packet time       : 10000 usecs<br>> May 30 11:46:22 nsm01 snort[30096]:    packet events         : 654<br>> May 30 11:46:22 nsm01 snort[30096]:    avg pkt time          : 27.1384 usecs<br>
> May 30 11:46:22 nsm01 snort[30096]: Rule Performance Summary:<br>> May 30 11:46:22 nsm01 snort[30096]:    max rule time         : 4096 usecs<br>> May 30 11:46:22 nsm01 snort[30096]:    rule events           : 20<br>
> May 30 11:46:22 nsm01 snort[30096]:    avg rule time         : 1.046 usecs<br>> May 30 11:46:22 nsm01 snort[30096]:<br>> ===============================================================================<br>> May 30 11:46:22 nsm01 snort[30096]: Packet I/O Totals:<br>
> May 30 11:46:22 nsm01 snort[30096]:    Received:     69971576<br>> May 30 11:46:22 nsm01 snort[30096]:    Analyzed:     22427618 ( 32.052%)<br>> May 30 11:46:22 nsm01 snort[30096]:     Dropped:     41532168 ( 37.247%)<br>
> May 30 11:46:22 nsm01 snort[30096]:    Filtered:            0 (  0.000%)<br>> May 30 11:46:22 nsm01 snort[30096]: Outstanding:     47543958 ( 67.948%)<br>> May 30 11:46:22 nsm01 snort[30096]:    Injected:            0<br>
> May 30 11:46:22 nsm01 snort[30096]:<br>> ===============================================================================<br>> May 30 11:46:22 nsm01 snort[30096]: Breakdown by protocol (includes<br>> rebuilt packets):<br>
> May 30 11:46:22 nsm01 snort[30096]:         Eth:     22436767 (100.000%)<br>> May 30 11:46:22 nsm01 snort[30096]:        VLAN:            0 (  0.000%)<br>> May 30 11:46:22 nsm01 snort[30096]:         IP4:     22436767 (100.000%)<br>
> May 30 11:46:22 nsm01 snort[30096]:        Frag:           12 (  0.000%)<br>> May 30 11:46:22 nsm01 snort[30096]:        ICMP:       110634 (  0.493%)<br>> May 30 11:46:22 nsm01 snort[30096]:         UDP:       752816 (  3.355%)<br>
> May 30 11:46:22 nsm01 snort[30096]:         TCP:     19433478 ( 86.614%)<br>><br>> using snort under OpenBSD 5.3 doesn't returns good performance. Host<br>> is a Intel(R) Xeon(R) CPU E5620 @ 2.40GHz, with 8 GiB RAM and four<br>
> e1000 interfaces.<br>><br>>  In this sensor, I only use so_rules:<br>><br>> # dynamic library rules<br>> # include $SO_RULE_PATH/bad-traffic.rules<br>> # include $SO_RULE_PATH/chat.rules<br>> include $SO_RULE_PATH/dos.rules<br>
> include $SO_RULE_PATH/exploit.rules<br>> # include $SO_RULE_PATH/icmp.rules<br>> # include $SO_RULE_PATH/imap.rules<br>> include $SO_RULE_PATH/misc.rules<br>> include $SO_RULE_PATH/multimedia.rules<br>> include $SO_RULE_PATH/netbios.rules<br>
> # include $SO_RULE_PATH/nntp.rules<br>> include $SO_RULE_PATH/p2p.rules<br>> include $SO_RULE_PATH/smtp.rules<br>> # include $SO_RULE_PATH/snmp.rules<br>> include $SO_RULE_PATH/specific-threats.rules<br>> include $SO_RULE_PATH/web-activex.rules<br>
> include $SO_RULE_PATH/web-client.rules<br>> include $SO_RULE_PATH/web-iis.rules<br>> include $SO_RULE_PATH/web-misc.rules<br>><br>> and monitored network is a 1GiB network.<br>><br>>  Any ideas why??<br>
>
</div></blockquote><blockquote type="cite"><div><span>------------------------------------------------------------------------------</span><br><span>Get 100% visibility into Java/.NET code with AppDynamics Lite</span><br><span>It's a free troubleshooting tool designed for production</span><br><span>Get down to code-level detail for bottlenecks, with <2% overhead.</span><br><span>Download for free and get started troubleshooting in minutes.</span><br><span><a href="http://p.sf.net/sfu/appdyn_d2d_ap2">http://p.sf.net/sfu/appdyn_d2d_ap2</a></span></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Snort-users mailing list</span><br><span><a href="mailto:Snort-users@...6193...sts.sourceforge.net">Snort-users@lists.sourceforge.net</a></span><br><span>Go to this URL to change user options or unsubscribe:</span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></span><br><span>Snort-users list archive:</span><br><span><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a></span><br><span></span><br><span>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</span></div></blockquote></body></html>