<div dir="ltr">Is it still recommended to stay on kernel 4.2 or below when using af_packet and Suricata 3.1?<div><br></div><div><br></div><div>Thanks,</div><div>Brian</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jun 28, 2016 at 7:21 PM, Cooper F. Nelson <span dir="ltr"><<a href="mailto:cnelson@ucsd.edu" target="_blank">cnelson@ucsd.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Ok that's it, reverting to < 4.2 seems to have fixed the issue.<br>
<br>
However, it uncovered a new one as the performance metrics we have been<br>
reporting for the mpm/hyperscan 3.1 series release were off, as the end<br>
result of the bug was that IP flows were effectively being randomly sampled.<br>
<br>
So we are back to using some of the techniques I've discussed previously<br>
to mitigate an over-subscribed sensor.  However, the 3.1 release is<br>
still a big win for us as we are able to evaluate both more signatures<br>
and IP traffic on the same sensor.<br>
<br>
-Coop<br>
<span class="im HOEnZb"><br>
On 6/26/2016 2:41 PM, Peter Manev wrote:<br>
</span><span class="im HOEnZb">> @Cooper - If i am not wrong you are on kernel > 4.2 and using<br>
> af-packet. There is a bug in the kernel with regards to symmetric flow<br>
> hashing for afpacket/suricata. As a test it would be much appreciated<br>
> if you can please try kernel 4.2 or lower and see if it makes any<br>
> difference for you?<br>
<br>
<br>
</span><div class="HOEnZb"><div class="h5">--<br>
Cooper Nelson<br>
Network Security Analyst<br>
UCSD ITS Security Team<br>
<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a> x41042<br>
<br>
</div></div><br>_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 9-11 in Washington, DC: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a><br></blockquote></div><br></div>