<div dir="ltr">Thanks for the answer Michal! Looking forward to playing with this once we get a bit more mature in our Suricata deployment.</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 4, 2015 at 1:20 PM, Cooper F. Nelson <span dir="ltr"><<a href="mailto:cnelson@ucsd.edu" target="_blank">cnelson@ucsd.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
</span><span class="">On 12/4/2015 12:57 PM, Andreas Moe wrote:<br>
> Copper, when you say that you are sampleing, how much? 1/10, 1/100,<br>
> 1/200, etc? And the speed, 7Gbit/s is that the network speed before the<br>
> selection of port 80 and the sampeling, or is this after all this is<br>
> performed?<br>
<br>
</span>It doesn't work like that.  I'll send you details privately.<br>
<span class=""><br>
> - In the case that this speed is before the sub-selection, what is the<br>
> actual speeds that are being analyzed on sampled port 80 traffic?<br>
<br>
</span>Yes this is the raw packet rate and I don't know.  If I had to guess I<br>
would say maybe 1-2 Gbs.  HTTP is very fat-tailed.<br>
<span class=""><br>
> - In the case that this speed is after the sub-selection, what is the<br>
> actual speeds that are being sampeld?<br>
<br>
</span>This is a hard question to answer I think because suricata does sampling<br>
itself, via features like the stream tracking depth and the TLS protocol<br>
analyzer.  So, for example, I'm seeing lots of traffic on port 443 but<br>
suricata stops analyzing past the handshake.<br>
<span class=""><br>
> Sorry for all the questions, so here is a bonus one, hehe. Have you<br>
> tried to compare timeperiods of real-time analysis results to playbacked<br>
> / re-spooled / "suricata -r" pcaps from fullcapture / tcpdump to disk,<br>
> of the same traffic?<br>
<br>
</span>We don't have the ability to record full raw packet captures on our<br>
current hardware.<br>
<span class=""><br>
> The branch that is being talked about, is this "dev-detect-grouping-v170" ?<br>
<br>
</span>Yup.<br>
<span class=""><br>
- --<br>
Cooper Nelson<br>
Network Security Analyst<br>
UCSD ACT Security Team<br>
<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a> x41042<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.17 (MingW32)<br>
<br>
</span>iQEcBAEBAgAGBQJWYgOpAAoJEKIFRYQsa8FWMZUH/2sDvWpFCo0vsKP21oGxeT0v<br>
YEVVf4vel7TMaeFZxB6QBkAOcr8Xw+hf0T6p6sr443mKnjBpMbvZE3+IkjSn3gBb<br>
he7sjl5fld9GuTD4a4OCG9XiYsXOF0Su2+xmb1A58srpTynw4gORW6cp7FB2sEIw<br>
zUcFLJ7JizQp/LODq2ekkQz3qw5lQ6smPwiKkOYN4l2nhBmgwmkxNdWPaiiVppM8<br>
N9YHtqO74WJJS1rYP+mP6TyOL+vQuMdE0QSlrZDGk3skMKjuzWm65YwAFgkJ2EFT<br>
15n+M8GzsSJVWCqNpHkJfOtzmfbwwdNDbvP4EfJuBcWJv8+W5JUnmJ3qPXsDIVA=<br>
=hqGN<br>
<div class="HOEnZb"><div class="h5">-----END PGP SIGNATURE-----<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a></div></div></blockquote></div><br></div>