
<div dir="ltr"><div>Slightly less than two cents: <br><br></div>+1 AF_Packet - if speed is a priority and you want to be on the cutting edge of the Suricata experience.<div>+1 Netmap - if you intend to do quite a bit of customizations and a little legwork to get it running.</div><div>+1 NFQ - if you want something you probably already understand, have worked with, and boasts the most clear documentation.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jul 4, 2016 at 11:29 AM, Victor Julien <span dir="ltr"><<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 04-07-16 17:21, Romagnoli Andrea wrote:<br>

> Hello everyone. We installed Suricata 3.1 (stable) with PF_RING 6.4.0 on<br>

> a server with Ubuntu 14.04.1, and our aim is to try Suricata in inline<br>

> IPS mode.<br>

><br>

> On our server we have a management interface (p1p1), and two interfaces<br>

> linked to IXIA Breaking Point (IN: p4p1, OUT: p4p2), configured as<br>

> follow (cat /etc/network/interfaces):<br>

><br>

><br>

><br>

> auto lo<br>

><br>

> iface lo inet loopback<br>

><br>

><br>

><br>

> # The primary network interface<br>

><br>

> auto p1p1<br>

><br>

> iface p1p1 inet static<br>

><br>

> address XXX.XXX.XXX.XXX<br>

><br>

> netmask 255.255.255.0<br>

><br>

> network XXX.XXX.XXX.XXX<br>

><br>

> gateway XXX.XXX.XXX.XXX<br>

><br>

> dns-nameservers XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX<br>

><br>

> dns-namesearch YYYYYYYYY<br>

><br>

><br>

><br>

> # TRAFFIC_IN<br>

><br>

> auto p4p1<br>

><br>

> iface p4p1 inet manual<br>

><br>

>     up ifconfig $IFACE 0.0.0.0 up<br>

><br>

>     up ip link set $IFACE promisc on<br>

><br>

>     post-up ethtool -K $IFACE gro off<br>

><br>

>     post-up ethtool -K $IFACE lro off<br>

><br>

>     down ip link set $IFACE promisc off<br>

><br>

>     down ifconfig $IFACE down<br>

><br>

>     mtu 1500<br>

><br>

><br>

><br>

> # TRAFFIC_OUT<br>

><br>

> auto p4p2<br>

><br>

> iface p4p2 inet manual<br>

><br>

>     up ifconfig $IFACE 0.0.0.0 up<br>

><br>

>     up ip link set $IFACE promisc on<br>

><br>

>     post-up ethtool -K $IFACE gro off<br>

><br>

>     post-up ethtool -K $IFACE lro off<br>

><br>

>     down ip link set $IFACE promisc off<br>

><br>

>     down ifconfig $IFACE down<br>

><br>

>     mtu 1500<br>

><br>

><br>

><br>

> We tried both with standard ixgbe and PF_RING ZC's ixgbe Intel drivers,<br>

> but apparently something is going wrong.<br>

><br>

> In fact Suricata starts without errors, but the traffic doesn't reach<br>

> the p4p2 interface.<br>

><br>

><br>

><br>

> $ sudo suricata -c /etc/suricata/suricata.yaml --pfring -v<br>

><br>

> 4/7/2016 -- 16:06:21 - <Notice> - This is Suricata version 3.1 RELEASE<br>

><br>

> 4/7/2016 -- 16:06:21 - <Info> - CPUs/cores online: 40<br>

><br>

> 4/7/2016 -- 16:06:21 - <Info> - Found an MTU of 1500 for 'p4p1'<br>

><br>

> 4/7/2016 -- 16:06:21 - <Info> - Found an MTU of 1500 for 'p4p2'<br>

><br>

> 4/7/2016 -- 16:06:21 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/botcc.rules<br>

><br>

> 4/7/2016 -- 16:06:21 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/ciarmy.rules<br>

><br>

> 4/7/2016 -- 16:06:21 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/compromised.rules<br>

><br>

> 4/7/2016 -- 16:06:21 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/drop.rules<br>

><br>

> 4/7/2016 -- 16:06:21 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/dshield.rules<br>

><br>

> 4/7/2016 -- 16:06:21 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-attack_response.rules<br>

><br>

> 4/7/2016 -- 16:06:21 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-chat.rules<br>

><br>

> 4/7/2016 -- 16:06:21 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-current_events.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-dns.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-dos.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-exploit.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-ftp.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-imap.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-malware.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-misc.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-mobile_malware.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-netbios.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-p2p.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-policy.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-pop3.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-rpc.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-scada.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-scan.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-smtp.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-snmp.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-sql.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-telnet.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-tftp.rules<br>

><br>

> 4/7/2016 -- 16:06:22 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-trojan.rules<br>

><br>

> 4/7/2016 -- 16:06:23 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-user_agents.rules<br>

><br>

> 4/7/2016 -- 16:06:23 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-voip.rules<br>

><br>

> 4/7/2016 -- 16:06:23 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-web_client.rules<br>

><br>

> 4/7/2016 -- 16:06:24 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-web_server.rules<br>

><br>

> 4/7/2016 -- 16:06:24 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/emerging-worm.rules<br>

><br>

> 4/7/2016 -- 16:06:24 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/tor.rules<br>

><br>

> 4/7/2016 -- 16:06:24 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/http-events.rules<br>

><br>

> 4/7/2016 -- 16:06:24 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/smtp-events.rules<br>

><br>

> 4/7/2016 -- 16:06:24 - <Info> - Loading rule file:<br>

> /etc/suricata/rules/tls-events.rules<br>

><br>

> 4/7/2016 -- 16:06:24 - <Info> - 38 rule files processed. 12426 rules<br>

> successfully loaded, 0 rules failed<br>

><br>

> 4/7/2016 -- 16:06:24 - <Info> - 12434 signatures processed. 1215 are<br>

> IP-only rules, 5005 are inspecting packet payload, 7829 inspect<br>

> application layer, 0 are decoder event only<br>

><br>

> 4/7/2016 -- 16:06:25 - <Info> - Threshold config parsed: 0 rule(s) found<br>

><br>

> 4/7/2016 -- 16:06:25 - <Info> - fast output device (regular)<br>

> initialized: fast.log<br>

><br>

> 4/7/2016 -- 16:06:25 - <Info> - eve-log output device (regular)<br>

> initialized: eve.json<br>

><br>

> 4/7/2016 -- 16:06:25 - <Info> - stats output device (regular)<br>

> initialized: stats.log<br>

><br>

> 4/7/2016 -- 16:06:25 - <Info> - Using 2 live device(s).<br>

><br>

> 4/7/2016 -- 16:06:25 - <Info> - Using flow cluster mode for PF_RING<br>

> (iface p4p1)<br>

><br>

> 4/7/2016 -- 16:06:25 - <Info> - (RX#01-p4p1) Using PF_RING v.6.5.0,<br>

> interface p4p1, cluster-id 99, single-pfring-thread<br>

><br>

> 4/7/2016 -- 16:06:25 - <Info> - Using flow cluster mode for PF_RING<br>

> (iface p4p2)<br>

><br>

> 4/7/2016 -- 16:06:25 - <Info> - (RX#01-p4p2) Using PF_RING v.6.5.0,<br>

> interface p4p2, cluster-id 93, single-pfring-thread<br>

><br>

> 4/7/2016 -- 16:06:25 - <Info> - RunModeIdsPfringAutoFp initialised<br>

><br>

> 4/7/2016 -- 16:06:25 - <Notice> - all 42 packet processing threads, 4<br>

> management threads initialized, engine started.<br>

><br>

> ^C4/7/2016 -- 16:07:09 - <Notice> - Signal Received.  Stopping engine.<br>

><br>

> 4/7/2016 -- 16:07:09 - <Info> - time elapsed 44.118s<br>

><br>

> 4/7/2016 -- 16:07:09 - <Info> - (RX#01-p4p1) Kernel: Packets 18, dropped 0<br>

><br>

> 4/7/2016 -- 16:07:09 - <Info> - (RX#01-p4p1) Packets 18, bytes 1080<br>

><br>

> 4/7/2016 -- 16:07:09 - <Info> - (RX#01-p4p2) Kernel: Packets 0, dropped 0<br>

><br>

> 4/7/2016 -- 16:07:09 - <Info> - (RX#01-p4p2) Packets 0, bytes 0<br>

><br>

> 4/7/2016 -- 16:07:10 - <Info> - cleaning up signature grouping<br>

> structure... complete<br>

><br>

> 4/7/2016 -- 16:07:10 - <Notice> - Stats for 'p4p1':  pkts: 18, drop: 0<br>

> (0.00%), invalid chksum: 0<br>

><br>

> 4/7/2016 -- 16:07:10 - <Notice> - Stats for 'p4p2':  pkts: 0, drop: 0<br>

> (-nan%), invalid chksum: 0<br>

><br>

><br>

><br>

> Please note that in the same testbed we are able to run Snort (+<br>

> PF_RING) with traffic going through p4p1 --> p4p2, so we suspect that<br>

> there could be a problem with the integration of Suricata with PF_RING,<br>

> or with Suricata itself.<br>

><br>

<br>

</div></div>PF_RING based IPS is not yet supported. See<br>

<a href="https://redmine.openinfosecfoundation.org/issues/1726" rel="noreferrer" target="_blank">https://redmine.openinfosecfoundation.org/issues/1726</a><br>

<br>

You can used AF_PACKET, NETMAP or NFQ on linux.<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

---------------------------------------------<br>

Victor Julien<br>

<a href="http://www.inliniac.net/" rel="noreferrer" target="_blank">http://www.inliniac.net/</a><br>

PGP: <a href="http://www.inliniac.net/victorjulien.asc" rel="noreferrer" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

---------------------------------------------<br>

<br>

_______________________________________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

Suricata User Conference November 9-11 in Washington, DC: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a></font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Marcus Eagan<br><br></div></div>

</div>