<html><body><div style="font-family: Andale Mono; font-size: 12pt; color: #000000"><div><span style="font-family: arial, helvetica, sans-serif;" data-mce-style="font-family: arial, helvetica, sans-serif;">Hi Rob,</span></div><div><br data-mce-bogus="1"></div><div><span style="font-family: arial, helvetica, sans-serif;" data-mce-style="font-family: arial, helvetica, sans-serif;">My hardware <span style="color: rgb(0, 0, 0); font-size: 13.9200000762939px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 22.2719993591309px; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: rgb(255, 255, 255);">characteristics are very simple. We are working with VM, so all resources are shared. Besides, we have some other things running with suricata. For example, some scripts to read logs and send mails for us, some script to get updates from our server and more....</span></span></div><div><span style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 13.9200000762939px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 22.2719993591309px; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: rgb(255, 255, 255);" data-mce-style="color: #000000; font-family: arial, helvetica, sans-serif; font-size: 13.9200000762939px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 22.2719993591309px; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;"><br data-mce-bogus="1"></span></div><div><span style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 13.9200000762939px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 22.2719993591309px; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: rgb(255, 255, 255);" data-mce-style="color: #000000; font-family: arial, helvetica, sans-serif; font-size: 13.9200000762939px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 22.2719993591309px; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;">We are also worry about the resources of the router. Dulpicate all traffic requires a lot of process. Maybe, this can be a problem.</span></div><div><span style="color: rgb(0, 0, 0); font-family: arial, helvetica, sans-serif; font-size: 13.9200000762939px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 22.2719993591309px; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: rgb(255, 255, 255);" data-mce-style="color: #000000; font-family: arial, helvetica, sans-serif; font-size: 13.9200000762939px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 22.2719993591309px; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important; background-color: #ffffff;"><br data-mce-bogus="1"></span></div><div><span style="font-family: arial, helvetica, sans-serif;" data-mce-style="font-family: arial, helvetica, sans-serif;">I did not do a charge test yet, but i'll do in the nexts weeks. After this, i'll put the results here.</span></div><div><br data-mce-bogus="1"></div><div><span style="font-family: arial, helvetica, sans-serif;" data-mce-style="font-family: arial, helvetica, sans-serif;">att,</span></div><div><br></div><div data-marker="__SIG_PRE__">-----------------------------------------------<br>Alan Santos<br>Analista de Segurança<br>Centro de Atendimento a Incidentes de Segurança (CAIS)<br>Rede Nacional de Ensino e Pesquisa (RNP)<br>(19) 3787-3314 | alan.santos@rnp.br</div><br><hr id="zwchr" data-marker="__DIVIDER__"><div data-marker="__HEADERS__"><b>De: </b>"Rob MacGregor" <rob.macgregor@gmail.com><br><b>Para: </b>"oisf-users" <oisf-users@openinfosecfoundation.org><br><b>Enviadas: </b>Terça-feira, 1 de setembro de 2015 6:59:47<br><b>Assunto: </b>Re: [Oisf-users] Working with mirror sampling<br></div><br><div data-marker="__QUOTED_TEXT__"><div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Mon, Aug 31, 2015 at 9:43 PM Alan Wanderley dos Santos <<a href="mailto:alan.santos@rnp.br" target="_blank">alan.santos@rnp.br</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin: 0 0 0 .8ex; border-left: 1px #ccc solid; padding-left: 1ex;" data-mce-style="margin: 0 0 0 .8ex; border-left: 1px #ccc solid; padding-left: 1ex;">Hi all,<br>
<br>
I'll use suricata in a backbone with a large amount of data. I'm thinking in put suricata at each aggregation router (5 - 20 Gbps for each router). My problem is the hardware and software limitation. To solve this, i'll use mirror by sampling. JUNOS support this feature. For do that, a denominator will be used (not defined yet). Maybe 1/1000 or 1/2000, i don't know.<br></blockquote><br><div>5 Gb/s is not a problem for Suricata with sensible hardware - you'll find a blog post from somebody who's run at just under 10 Gb/s on stock hardware and careful tuning (<a href="https://home.regit.org/2012/07/suricata-to-10gbps-and-beyond/" target="_blank">https://home.regit.org/2012/07/suricata-to-10gbps-and-beyond/</a>).</div><br><div>If you're running a wider set of rules, dedicated capture cards make a massive difference, possibly with some IDS load balancers/packet brokers. With those and some care in your rules, I see no reason why 20 Gb/s wouldn't be achievable.</div><br><div>-- </div><div> Rob </div></div></div>
<br>_______________________________________________<br>Suricata IDS Users mailing list: oisf-users@openinfosecfoundation.org<br>Site: http://suricata-ids.org | Support: http://suricata-ids.org/support/<br>List: https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users<br>Suricata User Conference November 4 & 5 in Barcelona: http://oisfevents.net<br></div></div></body></html>