<div dir="ltr"><div>The realtek adapters have worked fine in the past. Cheap, but functional. I'm not pushing much data through this box (30ish mbit), which hasn't caused any issues for suricata in the past, even with ~18000 rules.</div><div><br></div>Upgrading the kernel to 4.4.0 did the trick. The ping times are back down to normal under workers. Maybe when I upgraded suricata to 3.2, I also upgraded the kernel to one of the bad versions.<div><br></div><div>Thanks for the help!</div><div><br></div><div>Peter</div><div><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 7, 2017 at 4:08 PM, Andreas Herz <span dir="ltr"><<a href="mailto:andi@geekosphere.org" target="_blank">andi@geekosphere.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 04/02/17 at 18:08, Peter Fyon wrote:<br>
> Linux suricata 3.16.0-77-generic #99~14.04.1-Ubuntu SMP Tue Jun 28 19:17:10<br>
> UTC 2016 x86_64 x86_64 x86_64 GNU/Linux<br>
<br>
</span>Could you try a more recent kernel? There have been improvements with<br>
af_packet.<br>
<span class=""><br>
> Command line:<br>
> /usr/bin/suricata -c /etc/suricata/suricata.yaml --pid file<br>
> /var/run/suricata.pid --af-packet -D -vvv<br>
<br>
</span>Could you paste the output from suricata with verbose mode somewhere?<br>
<span class=""><br>
> Server specs:<br>
> Intel g3258 cpu (2 cores @ 3.2ghz)<br>
> 8gb ram<br>
> Some cheap Realtek gigabit nics for capture, onboard nic for management<br>
<br>
</span>CPU and RAM should be fine for some mbit/s.<br>
<br>
The cheap realtek might be the issue as well. Do you see anything<br>
relevant in the syslog?<br>
<br>
You said you removed all rules and had the same issue then with zero<br>
rules loaded. Do you have the ping issue while other traffic is going on<br>
or can you even reproduce it without any other traffic or with low<br>
traffic?<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Andreas Herz<br>
______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
</div></div></blockquote></div><br></div>