
<p dir="ltr">Does this blog post help you, <a href="http://securityonion.blogspot.com/2011/10/when-is-full-packet-capture-not-full.html">http://securityonion.blogspot.com/2011/10/when-is-full-packet-capture-not-full.html</a>? </p>


<p dir="ltr">Regards, <br>

Lysemose </p>

<div class="gmail_quote">On Aug 1, 2013 8:34 PM, "Theodore Elhourani" <<a href="mailto:theodore.elhourani@gmail.com">theodore.elhourani@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr"><div>Why is it important to have offloading off and Suricata seeing raw (MTU sized) packets ? <br>Are there specific types of exploits that may not be detected if we allow larger sized packets?<br><br>Can someone help clarify this point ?<br>


<br></div><div>Thanks,<br></div><div>Ted<br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jul 29, 2013 at 6:51 AM, Duarte Silva <span dir="ltr"><<a href="mailto:duarte.silva@serializing.me" target="_blank">duarte.silva@serializing.me</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>On Saturday 27 July 2013 23:55:04 Russell Fulton wrote:<br>

> On 27/07/2013, at 11:26 AM, Russell Fulton <<a href="mailto:r.fulton@auckland.ac.nz" target="_blank">r.fulton@auckland.ac.nz</a>> wrote:<br>

> > Hi<br>

> ><br>

> > I now have suri running on my test sensor (ubuntu with suri from current<br>

> > security onion packages).  Machine has 16 cores and 8GB of memory and is<br>

> > seeing order or 800Mbps traffic.  Currently using Pcap while I get the<br>

> > pf_ring stuff sorted out.<br>

> That should have been 32GB memory — the recommended 2GB per core!<br>

><br>

> > Suri is reporting dropping 70% the packets.  I have used the config file<br>

> > that came with SO package — suitably tweaked for our setup.<br>

> Making progress :)<br>

><br>

> The main issues seems to have been that I was using pcap. Things behave<br>

> sensibly when I use either af_packet or pfring.<br>

><br>

> I had to raise the flow.memcap to avoid the "Flow emergency mode over, back<br>

> to normal… " messages.<br>

><br>

> I am sure that I will need to do more tuning before this goes into<br>

> production but it will do for the moment.<br>

><br>

> Thanks for the pointers.<br>

><br>

> Russell<br>

> _______________________________________________<br>

> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>

> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>

> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

> OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>

<br>

</div></div>Hi Russell,<br>

<br>

one thing you can also try is to set CPU affinity for each receive queue,<br>

increase the RX ring buffer size to the maximum that is allowed by the hardware<br>

and disabling the offload capabilities of the network interface.<br>

<br>

Follows example, note that the IRQ affinity and the RX queue balancing is for a<br>

four core processor.<br>

<br>

# Increase the RX ring buffer on the sniffing interface<br>

ethtool -G eth1 rx 4096<br>

<br>

# Disable offload features<br>

ethtool -K eth1 rx off<br>

ethtool -K eth1 tx off<br>

ethtool -K eth1 sg off<br>

ethtool -K eth1 tso off<br>

ethtool -K eth1 gso off<br>

ethtool -K eth1 gro off<br>

ethtool -K eth1 lro off<br>

ethtool -K eth1 rxvlan off<br>

ethtool -K eth1 txvlan off<br>

<br>

# Set the IRQ affinity<br>

echo 1 >/proc/irq/80/smp_affinity<br>

echo 2 >/proc/irq/81/smp_affinity<br>

echo 4 >/proc/irq/82/smp_affinity<br>

echo 8 >/proc/irq/83/smp_affinity<br>

<br>

# Balance evenly the receive queues<br>

ethtool -X eth1 equal 4<br>

<br>

Regards,<br>

Duarte<br>

<div><div>_______________________________________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a></div></div></blockquote></div><br></div>

<br>_______________________________________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br></blockquote></div>