<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;background-color:#FFFFFF;font-family:Calibri,Arial,Helvetica,sans-serif;">
<p>I have been trying to figure out a packet loss on one of my sensors and I am puzzled.</p>
<p>It is has 16 gigs of RAM, one quad core AMD CPU, and nic sees about 3 million packets per minute. Nothing special in my mind. I am using PFRING 6.5.0 and Suricata 3.1.</p>
<p>I get about 20% to 40% packet loss.  I have another identical server which sees the same amount of traffic and maybe some of the same traffic as well.</p>
<p>I've been messing around with NIC settings, IRQs, PFRING settings, Suricata settings trying to figure out why such a high packet loss.</p>
<p><br>
</p>
<p>I have just realized one big difference in these two sensors. Problematic one gets 2k to 4k of alerts per minute which sounds huge.</p>
<p>Second one gets like 80 alerts per minute. Both have the same rulesets.</p>
<p><br>
</p>
<p>The difference of course is the home_net variable.</p>
<p><br>
</p>
<p>Can the fact that Suricata processes more rules due to HOME_NET definition cause high performance strain on the server? </p>
<p><br>
</p>
<p>If the packet does not match per HOME_NET, it will be discarded before being processed in rules. Correct?</p>
<p>Versus if packet passes HOME_NET check, it would have to go through all of the rules, hence cause higher CPU utilization.</p>
<p><br>
</p>
<p>Thank you for the clarification.</p>
</div>
</body>
</html>