
Will, I have a question. Is the number in dropped packets registered wher Suricata stops is independent of the number of packets drops by memcap_drops in stats.log?<br><br><div>Cheers, </div><div><br></div><div>Fernando<br>

<div class="gmail_quote"><br></div><div class="gmail_quote">2011/8/10 Will Metcalf <span dir="ltr"><<a href="mailto:william.metcalf@gmail.com">william.metcalf@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Gene,<br>

<br>

Well there is an upside and a down side... upside is with this patch<br>

you should get accurate drop counters in pcap mode. downside is that<br>

the logic was wrong so you will more than likely see an increase in<br>

drops. You can try fiddling with --pcap-buffer-size option (pcap<br>

buffer size in bytes), also try increasing the max-pending-packets<br>

option in the suricata.yaml from 50 to 500 or maybe 5000.<br>

<br>

with regards to tcp.segment_memcap_drop counter, you have two choices,<br>

decrease the amount of data you are performing reassembly on by<br>

turning down depth, or by turning up the reassembly memcap in the<br>

section of the suricata.yaml displayed below.<br>

<br>

<br>

stream:<br>

  memcap: 33554432              # 32mb<br>

  checksum_validation: yes      # reject wrong csums<br>

  inline: no                    # no inline mode<br>

  reassembly:<br>

    memcap: 67108864            # 64mb for reassembly<br>

    depth: 1048576              # reassemble 1mb into a stream<br>

    toserver_chunk_size: 2560<br>

    toclient_chunk_size: 2560<br>

<br>

Regards,<br>

<font color="#888888"><br>

Will<br>

</font><div><div></div><div class="h5"><br>

On Tue, Aug 9, 2011 at 10:15 PM, Will Metcalf <<a href="mailto:william.metcalf@gmail.com">william.metcalf@gmail.com</a>> wrote:<br>

> Hmmmm.... it looks like once upon a time I screwed pcap stats<br>

> calculation... Patch on the way...<br>

><br>

> Regards,<br>

><br>

> Will<br>

><br>

> On Tue, Aug 9, 2011 at 8:37 PM, Gene Albin <<a href="mailto:gene.albin@gmail.com">gene.albin@gmail.com</a>> wrote:<br>

>> So it turns out that my CentOS 5.6 server with the default kernel network<br>

>> settings is not optimal for an IDS connected to a high speed network.  One<br>

>> of my problems was that the kernel couldn't keep up with the flow of<br>

>> traffic.  So I made the following changes to my kernel:<br>

>><br>

>> sysctl -w net.core.netdev_max_backlog=10000<br>

>><br>

>> sysctl -w net.core.rmem_devault=16777216<br>

>><br>

>> sysctl -w net.core.rmem_max=33554432<br>

>><br>

>> sysctl -w net.ipv4.tcp_mem=’194688 259584 389376’<br>

>><br>

>> sysctl -w net.ipv4.tcp_rmem=’1048576 4194304 33554432’<br>

>><br>

>> sysctl -w net.ipv4.tcp_no_metrics_save=1<br>

>><br>

>> Now when I run tcpdump I get 0 dropped packets after several minutes, and<br>

>> after running Suricata for about 15 minutes my suricata.log drops were down<br>

>> to 3.9%. Much better than the 27% I had been seeing.<br>

>> Further, looking at the stats.log file my tcp.ssn_memcap_drop number is at 0<br>

>> for the same run.  Unfortunately the tcp.segment_memcap_drop number is still<br>

>> high at 2938343 (out of 14754737 packets)<br>

>> So even though I've minimized my drops, I'm still uncertain about the<br>

>> metrics listed in my original post.<br>

>> Gene<br>

>> On Tue, Aug 9, 2011 at 2:38 PM, Gene Albin <<a href="mailto:gene.albin@gmail.com">gene.albin@gmail.com</a>> wrote:<br>

>>><br>

>>> I'm trying to make sense out of the various packet metrics in the<br>

>>> suricata.log and stats.log files.  Can anyone shed light on what<br>

>>> specifically each of these counters is measuring?<br>

>>> suricata.log:<br>

>>> [4947] 8/8/2011 -- 14:50:31 - (source-pcap.c:561) <Info><br>

>>> (ReceivePcapThreadExitStats) -- (ReceivePcap) Packets 238097983, bytes<br>

>>> 182382168249<br>

>>> [4947] 8/8/2011 -- 14:50:31 - (source-pcap.c:569) <Info><br>

>>> (ReceivePcapThreadExitStats) -- (ReceivePcap) Pcap Total:539841804<br>

>>> Recv:388969943 Drop:150871861 (27.9%).<br>

>>> Looking at these two lines from suricata.log it looks like the pcap engine<br>

>>> received a total of 238 million packets AND 388 million packets.  Also,<br>

>>> notice how the difference between 539M and 388M is 150M AND the difference<br>

>>> between 388M and 238M is also 150M.  I checked another set of suricata.log<br>

>>> and stats.log files I have and found that this relationship between Recv and<br>

>>> Drop, and Packets and Drop appears the be the same in that file.<br>

>>> What specifically are each of these metrics measuring and from where are<br>

>>> the measurements taken (nic, pcap, suricata)?<br>

>>> What is the relationship between these numbers?<br>

>>> Stats.log:<br>

>>> decoder.pkts              | Decode & Stream   | 238097982<br>

>>> tcp.ssn_memcap_drop       | Decode & Stream   | 299435<br>

>>> tcp.segment_memcap_drop   | Decode & Stream   | 31445861<br>

>>> In stats.log the decoder.pkts line matches up with the (ReceivePcap)<br>

>>> Packets line in the suricata.log file.  What about these memcap drop lines?<br>

>>>  They don't seem to match up with the drop counter in suricata.log leading<br>

>>> me to believe that these are packets dropped by Suricata and are independent<br>

>>> of the ones in the suricata.log file.<br>

>>> Sure would appreciate any insight into the differences between these<br>

>>> metrics.  I'm just a bit confused.<br>

>>> Thanks,<br>

>>> --<br>

>>> Gene Albin<br>

>>> <a href="mailto:gene.albin@gmail.com">gene.albin@gmail.com</a><br>

>>><br>

>><br>

>><br>

>><br>

>> --<br>

>> Gene Albin<br>

>> <a href="mailto:gene.albin@gmail.com">gene.albin@gmail.com</a><br>

>><br>

>><br>

>> _______________________________________________<br>

>> Oisf-users mailing list<br>

>> <a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>

>> <a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

>><br>

>><br>

><br>

</div></div><br>_______________________________________________<br>

Oisf-users mailing list<br>

<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>

<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

<br></blockquote></div><br><br clear="all"><br>-- <br>Fernando Ortiz <br>Twitter: <a href="http://twitter.com/FernandOrtizF">http://twitter.com/FernandOrtizF</a><br> <br>

</div>