<div dir="ltr">Hi,<div><br></div><div>Loading Emerging Threats is fairly quick. But when I load my own rules which consist pretty much of a lot of IPs and large CIDR, it take like 4 hours. To compare it with snort, those same rules are loaded very quickly (less than a minute IIRC).</div><div><br></div><div>I can't post the actual rules but here is an example (there are 168923 IPs or IP/CIDR total):<br>alert tcp any any <> [<a href="http://10.0.0.0/8" rel="noreferrer" target="_blank">10.0.0.0/8</a>] any (msg: "Traffic from/to Bogon IP<br>
Addresses"; flags:S; flow:stateless; detection_filter: track by_src,<br>
seconds 30, count 5; reference:url,<a href="http://tools.ietf.org/html/rfc1918" rel="noreferrer" target="_blank">tools.ietf.org/html/rfc1918</a>;<br>
classtype:bogon; priority:3; sid:1000001; rev:1;)<br></div><div><br></div><div>I don't have the logs anymore, but the loading is done in 3 steps. First one is fairly quick. With my rules, it took about 4 minutes for step 2 (source IP I think) to complete, then 4 hours for step 3 (Destination IP I think).<span></span></div><div><br></div><div>Why is it taking so long? Is there any way I can improve loading them (and use all CPUs to parse them; only one was used).</div><div><br></div><div>The system has 4Gb of RAM and four i7 cores at 2.8GHz, uses af-packet (but it shouldn't matter in this case).</div><div>Any detail you need to debug the issue?<br><br></div><div>Best regards,<br><br></div><div>Thomas<br></div>
</div>