<div dir="ltr"><div><div>Thank you for the suggestions.<br><br></div>The testing is done under Xen. There is no vpfring support under Xen, it seems KVM is the only hypervisor implementing vpfring. I am using afpacket, and have turned off offloading. <br>
<br></div>The tcp/htp memcaps may need some adjustment. <br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Aug 7, 2013 at 1:28 PM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Wed, Aug 7, 2013 at 10:18 AM, Duarte Silva<br>
<<a href="mailto:duarte.silva@serializing.me">duarte.silva@serializing.me</a>> wrote:<br>
> Hi Theodore,<br>
><br>
> tunning Suricata in a VM is no different from a bare hardware solution. The<br>
> same basic principles apply. You can check this thread [1], it contains a lot<br>
> of pointers.<br>
><br>
> There isn't a recipe though, every setup is different, but usually after<br>
> fiddling for some time you will get it right :D<br>
><br>
<br>
</div>You could try afpacket or pfring.<br>
Make sure you have the flow timeout values set right in the suricata.yaml.<br>
<br>
There are plenty of tcp/htp memcaps to tweek with<br>
(stream/reassembly/depth).  You could see in stats log what is hitting<br>
the memlimits and maybe readjust some memcaps/timeouts based on that.<br>
<br>
There is also the checksum validation that could be useful set to "no"<br>
especially if on VMware - most  VMs have a lot of offloading features<br>
enabled by default (gro/tso...) - ethtool -k eth1 -> to find out what<br>
is sett to offload (on) and what not. NOTE - some guest network card<br>
features are nonadjustable under 2008 Hyper-V host, but you are<br>
referring to VMware so this is different.<br>
<br>
Just a suggestion for starters :)<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
Regards,<br>
Peter Manev<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
</font></span></blockquote></div><br></div>