<div dir="ltr">Interesting. I will doublecheck with RH on Monday regarding tpacket-v3 in RHEL7. I know that 6 isn't compliant though.</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jan 20, 2017 at 4:16 PM, Cooper F. Nelson <span dir="ltr"><<a href="mailto:cnelson@ucsd.edu" target="_blank">cnelson@ucsd.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Unless you are using a packet size of 65536 you are going to be<br>
truncating packets merged via the GRO mechanism.  You will still see<br>
alerts, however, as many will trigger against the first packet.  Plus,<br>
not all packets can be combined via GRO.<br>
<br>
I was only able to set a 64k packet size using tpacket-v3, v1-2 did not<br>
work.<br>
<br>
However, I've never tried running suricata on RHEL, so it's possible<br>
they are doing something differently in the kernel that properly handles<br>
offloading.<br>
<br>
Also remember, suricata 3.2 will disable offloading by default unless<br>
you set this configuration in the YAML:<br>
<br>
> capture:<br>
>   disable-offloading: false<br>
<br>
-Coop<br>
<div class="HOEnZb"><div class="h5"><br>
On 1/20/2017 4:10 AM, erik clark wrote:<br>
> re this bit:<br>
> ---<br>
> Most important thing first is to make sure you are on a Linux<br>
> distribution with a relatively 'fresh' kernel.  I'm on 4.8.7 currently<br>
> and at least 4.7+ is recommend.<br>
> ---<br>
> I am running afpacket with offloading on RHEL7 3.10 or whatever the kernel<br>
> is for 7.3. Works like a champ. :) A newer kernel would be nice, but not<br>
> necessary if you are running RHEL7.<br>
><br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Cooper Nelson<br>
Network Security Analyst<br>
UCSD ITS Security Team<br>
<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a> x41042<br>
<br>
</font></span></blockquote></div><br></div>