<div dir="ltr"><div>Why is it important to have offloading off and Suricata seeing raw (MTU sized) packets ? <br>Are there specific types of exploits that may not be detected if we allow larger sized packets?<br><br>Can someone help clarify this point ?<br>
<br></div><div>Thanks,<br></div><div>Ted<br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jul 29, 2013 at 6:51 AM, Duarte Silva <span dir="ltr"><<a href="mailto:duarte.silva@serializing.me" target="_blank">duarte.silva@serializing.me</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Saturday 27 July 2013 23:55:04 Russell Fulton wrote:<br>
> On 27/07/2013, at 11:26 AM, Russell Fulton <<a href="mailto:r.fulton@auckland.ac.nz">r.fulton@auckland.ac.nz</a>> wrote:<br>
> > Hi<br>
> ><br>
> > I now have suri running on my test sensor (ubuntu with suri from current<br>
> > security onion packages).  Machine has 16 cores and 8GB of memory and is<br>
> > seeing order or 800Mbps traffic.  Currently using Pcap while I get the<br>
> > pf_ring stuff sorted out.<br>
> That should have been 32GB memory — the recommended 2GB per core!<br>
><br>
> > Suri is reporting dropping 70% the packets.  I have used the config file<br>
> > that came with SO package — suitably tweaked for our setup.<br>
> Making progress :)<br>
><br>
> The main issues seems to have been that I was using pcap. Things behave<br>
> sensibly when I use either af_packet or pfring.<br>
><br>
> I had to raise the flow.memcap to avoid the "Flow emergency mode over, back<br>
> to normal… " messages.<br>
><br>
> I am sure that I will need to do more tuning before this goes into<br>
> production but it will do for the moment.<br>
><br>
> Thanks for the pointers.<br>
><br>
> Russell<br>
> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
<br>
</div></div>Hi Russell,<br>
<br>
one thing you can also try is to set CPU affinity for each receive queue,<br>
increase the RX ring buffer size to the maximum that is allowed by the hardware<br>
and disabling the offload capabilities of the network interface.<br>
<br>
Follows example, note that the IRQ affinity and the RX queue balancing is for a<br>
four core processor.<br>
<br>
# Increase the RX ring buffer on the sniffing interface<br>
ethtool -G eth1 rx 4096<br>
<br>
# Disable offload features<br>
ethtool -K eth1 rx off<br>
ethtool -K eth1 tx off<br>
ethtool -K eth1 sg off<br>
ethtool -K eth1 tso off<br>
ethtool -K eth1 gso off<br>
ethtool -K eth1 gro off<br>
ethtool -K eth1 lro off<br>
ethtool -K eth1 rxvlan off<br>
ethtool -K eth1 txvlan off<br>
<br>
# Set the IRQ affinity<br>
echo 1 >/proc/irq/80/smp_affinity<br>
echo 2 >/proc/irq/81/smp_affinity<br>
echo 4 >/proc/irq/82/smp_affinity<br>
echo 8 >/proc/irq/83/smp_affinity<br>
<br>
# Balance evenly the receive queues<br>
ethtool -X eth1 equal 4<br>
<br>
Regards,<br>
Duarte<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a></div></div></blockquote></div><br></div>