<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 12, 2014 at 10:59 PM, Y M <span dir="ltr"><<a href="mailto:snort@...15979..." target="_blank">snort@...15979...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


<div><div dir="ltr">I would say tuning; NIC (gro, lro, etc), kernel (networking stack), and Snort itself (number of rules/processors, etc). Since you are already on Snort 2.9.7.0, why not using daq 2.0.4? And there is the "unknown/unexpected" hardware behavior. If all the tuning does not improve things, see if you can test with different NICs if possible.<div><br></div><div>YM<br></div></div></div></blockquote><div><br></div><div><br></div>I've done some sysctl tuning, but it hasn't seemed to make much of a difference.  ifconfig shows that there are 5 (out of 600K+) dropped RX packets on only 1 of the 2 bridged interfaces.  All of the other error-indicating counters are 0.  Again, system resources remain low when the system is inline.  So I don't know that performance is really an issue. </div><div class="gmail_quote"><br></div><div class="gmail_quote">Using daq 2.0.2 because that's what's avilable in Gentoo's software repository.  If/when 2.0.4 becomes available, I'll upgrade and see if it makes a difference.</div><div class="gmail_quote"><br></div><div class="gmail_quote">I suspect that snort is dropping random packets, but have no way to confirm.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Thanks for the response YM, Still hoping for some useful advice from the community.<br><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><div dir="ltr"><div><br><div><hr>Date: Wed, 12 Nov 2014 20:31:31 -0800<br>From: <a href="mailto:charles.heselton@...391...1827..." target="_blank">charles.heselton@...11827...</a><br>To: <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br>Subject: [Snort-users] Inline snort negative impact on network<div><div class="h5"><br><br><div dir="ltr">I'm attempting to install/configure a standalone, inline snort box.  When I have the sensor inline, with snort running, the traffic seems to be flowing properly; snort is alerting, as expected.  <div><br></div><div>However, browsing the web, and downloads, becomes significantly impacted.  <a href="http://speedtest.net" target="_blank">speedtest.net</a> fails to load.  wget downloads files at ~6Kbps, when it should be closer to 6Mbps.</div><div><br></div><div>The question is why?</div><div><br></div><div>Hardware:  Intel Celeron 4 core, 8GB RAM, 64GB SSD, dual Gigabit (Realtek) NICs onboard, USB3.0->Gigabit dongle NIC (for admin).</div><div><br></div><div>Software:  Gentoo x86_64 linux; kernel 3.16.5; snort 2.7.0; daq 2.0.2.</div><div><br></div><div>When snort is running, and traffic is passing, both gkrellm and top show almost 0 CPU activity.  This is on a relatively low traffic, home network, so I wouldn't expect the system to be loaded.  The admin interface shows more activity than the 2 bridged interfaces.</div><div><br></div><div>What gives?  Any advice appreciated.</div><div><br></div><div>Thanks,</div><div>Charlie<br><div><br></div><div><br></div></div></div>
<br></div></div>------------------------------------------------------------------------------
Comprehensive Server Monitoring with Site24x7.
Monitor 10 servers for $9/Month.
Get alerted through email, SMS, voice calls or mobile push notifications.
Take corrective actions from your mobile device.
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=154624111&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=154624111&iu=/4140/ostg.clktrk</a><br>_______________________________________________
Snort-users mailing list
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a>
Go to this URL to change user options or unsubscribe:
<a href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users</a> list archive:
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a>

Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</div></div>                                      </div></div>
</blockquote></div><br></div></div>