<html>
<head>
</head>
<body class='hmmessage'><div dir='ltr'>


<div dir="ltr">

<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style>
<div dir="ltr">Hi Mike,<div><br></div><div>Are you using the PF_RING-aware NIC drivers for your HP? What transparent_mode are you running the PF_RING kernel with?</div><div><br></div><div>I wouldn't be able to provide statistical data for the performance among the different parts, but here is what I know. The PF_RING DAQ works is an added DAQ module to Snort's own DAQ library. So now DAQ speaks PF_RING (PF_RING-aware libpcap/kernel). PF_RING zc from what I understood from the documentation is the successor of libzero/DNA implementing zero-copy operations which requires a license if you want to run the zc mode (prefixing with zc:). Here is a good article explaining zero-copy: <a href="http://www.ibm.com/developerworks/library/j-zerocopy/" target="_blank">http://www.ibm.com/developerworks/library/j-zerocopy/</a></div><div><br></div><div>Recently I came to know that you can use the zc drivers in standard mode (without prefixing with zc:), which does not require a license. I am in the middle of building a new box in which I will be using the zc drivers in standard mode. <span style="font-size: 12pt;">We also have a very modest box with PF_RING running two Snort instances (which is nothing) with around 7000+ rules and it is performing very nicely with PF_RING.</span></div><div><br></div><div>This is by all means does not an answer your question but hope it helps.</div><div><br></div><div>YM<br><br><div><hr id="stopSpelling">From: Mike.J.Miller@...16867...<br>To: snort-users@lists.sourceforge.net<br>Date: Thu, 19 Jun 2014 12:48:12 -0600<br>Subject: [Snort-users] PF_Ring and ntop<br><br><style><!--
.ExternalClass .ecxshape {
}
--></style><style><!--
.ExternalClass p.ecxMsoNormal, .ExternalClass li.ecxMsoNormal, .ExternalClass div.ecxMsoNormal {
font-size:11.0pt;
font-family:"Calibri","sans-serif";
}

.ExternalClass a:link, .ExternalClass span.ecxMsoHyperlink {
color:blue;
text-decoration:underline;
}

.ExternalClass span.ecxMsoHyperlinkFollowed {
color:purple;
text-decoration:underline;
}

.ExternalClass p.ecxMsoAcetate, .ExternalClass li.ecxMsoAcetate, .ExternalClass div.ecxMsoAcetate {
font-size:8.0pt;
font-family:"Tahoma","sans-serif";
}

.ExternalClass span.ecxEmailStyle17 {
font-family:"Calibri","sans-serif";
color:windowtext;
}

.ExternalClass span.ecxBalloonTextChar {
font-family:"Tahoma","sans-serif";
}

.ExternalClass .ecxMsoChpDefault {
font-family:"Calibri","sans-serif";
}

.ExternalClass div.ecxWordSection1 {
}

--></style><div class="ecxWordSection1"><p class="ecxMsoNormal">Iím muddling through the documentation for PF_Ring and am making some headway, but am wondering about how things work these daysÖIíve got HP DL380G8 servers with intel NICs and Iím pretty sure Iíve got PF_Ring compiled and loaded correctly. TCPdump in the userland tree works better than the TCPdump in the search path, and zcount in the examples_zc folder works.</p><p class="ecxMsoNormal"> </p><p class="ecxMsoNormal">I know thereís different levels of performance improvement to be had in using PF_Ring, PF_Ring DAQ, libzero and PF_Ring ZC, Iím just not sure whatís available without purchasing the license from the ntop folks (which Iíd like to do, but my purse strings have been cut)</p><p class="ecxMsoNormal"> </p><p class="ecxMsoNormal">What I really need is the ability to us the ring buffer features to run multiple snort threads, a Single snort instance is easily capping out a single thread, but the 1g nic is only running around 25% utilization. (and snortís using 7400 rules)</p><p class="ecxMsoNormal"> </p><p class="ecxMsoNormal"> </p><p class="ecxMsoNormal"> </p><p class="ecxMsoNormal"><b><span style="font-size:6.0pt;color:#B8CCE4;">PLEASE NOTE EMAIL, ADDRESS  THERE ARE MULTIPLE MIKE MILLERS AT IHS!</span></b></p><table class="ecxMsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="530" style="width:397.5pt;background:white;"><tbody><tr><td width="40%" valign="bottom" style="width:40.0%;padding:0in 0in 0in 0in;"><p class="ecxMsoNormal"><a href="http://www.ihs.com/" target="_blank"><span style="color:blue;text-decoration:none;"><img border="0" width="196" height="107" id="ecxPicture_x0020_1" src="cid:image001.jpg@...16868..." alt="ihs.com"></span></a></p></td><td width="5" style="width:3.75pt;padding:0in 0in 0in 0in;"><p class="ecxMsoNormal"><img border="0" width="8" height="1" id="ecxPicture_x0020_2" src="cid:image002.png@...16868..." alt="http://www.ihsglobalinsight.com/gcpath/spacer.gif"></p></td><td style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 0in;"><p class="ecxMsoNormal"><img border="0" width="1" height="1" id="ecxPicture_x0020_3" src="cid:image003.gif@...16868..." alt="http://www.ihsglobalinsight.com/gcpath/spacer.gif"></p></td><td width="5" style="width:3.75pt;padding:0in 0in 0in 0in;"><p class="ecxMsoNormal"><img border="0" width="8" height="1" id="ecxPicture_x0020_4" src="https://image002.png@...16868..." alt="http://www.ihsglobalinsight.com/gcpath/spacer.gif"></p></td><td width="60%" valign="bottom" style="width:60.0%;padding:0in 0in 0in 0in;"><p class="ecxMsoNormal"><b><span style="font-size:8.5pt;color:#0095CF;">Mike J. Miller</span></b> <br><span style="font-size:8.5pt;color:#666666;">Principal Engineer <br><span style="text-transform:uppercase;">C</span></span><span style="font-size:6.0pt;color:#666666;text-transform:uppercase;">omputer</span><span style="font-size:8.5pt;color:#666666;text-transform:uppercase;"> S</span><span style="font-size:6.0pt;color:#666666;text-transform:uppercase;">ecurity</span><span style="font-size:8.5pt;color:#666666;text-transform:uppercase;"> I</span><span style="font-size:6.0pt;color:#666666;text-transform:uppercase;">ncident</span><span style="font-size:8.5pt;color:#666666;text-transform:uppercase;"> R</span><span style="font-size:6.0pt;color:#666666;text-transform:uppercase;">esponse</span><span style="font-size:8.5pt;color:#666666;text-transform:uppercase;"> T</span><span style="font-size:6.0pt;color:#666666;text-transform:uppercase;">eam</span><span style="font-size:6.0pt;color:#666666;"> </span><span style="font-size:8.5pt;color:#666666;"><br>15 Inverness Way East | Englewood, Co 80112 <br>Phone: 303-858-6927 | Mobile: 720-326-1542 <br><a href="mailto:mike.j.miller@...16867..."><span style="color:#0095CF;">mike.j.miller@...16871...7...</span></a> </span></p></td></tr><tr><td colspan="5" style="padding:0in 0in 0in 0in;"><div class="ecxMsoNormal" align="center" style="text-align:center;"><hr size="1" width="100%" noshade="" style="color:#CCCCCC;" align="center"></div><p class="ecxMsoNormal"><span style="font-size:7.5pt;font-family:"Helvetica","sans-serif";color:#CCCCCC;">This email message is for the sole use of the intended recipient(s) and may contain confidential and privileged information. Any unauthorized review, use, disclosure or distribution is prohibited. If you are not the intended recipient, please contact the sender by reply e-mail and destroy all copies of the original message. Thank you. </span><br><br><span style="font-size:10.5pt;font-family:Webdings;color:green;">Ģ</span><span style="font-family:"Helvetica","sans-serif";"> </span><span style="font-size:7.5pt;font-family:"Helvetica","sans-serif";color:green;">Please consider the environment before printing this e-mail.</span> </p></td></tr></tbody></table><p class="ecxMsoNormal"> </p><p class="ecxMsoNormal"> </p></div><br>------------------------------------------------------------------------------
HPCC Systems Open Source Big Data Platform from LexisNexis Risk Solutions
Find What Matters Most in Your Big Data with HPCC Systems
Open Source. Fast. Scalable. Simple. Ideal for Dirty Data.
Leverages Graph Analysis for Fast Processing & Easy Data Exploration
http://p.sf.net/sfu/hpccsystems<br>_______________________________________________
Snort-users mailing list
Snort-users@lists.sourceforge.net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!</div></div></div>
</div>
                                          </div></body>
</html>