<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><span class="gmail-im">> * Node1 receives ~ 500Mbps of traffic (it's 1Gbps interface), and gets in average 1-2% kernel packet dropped<br>> while<br>> * Node2 receives ~ 500kbps of traffic and gets in average 10% kernel packet dropped<br><br></span>What is different between node 1 and node 2 ? (same config/same<br>suricata/same HW/same rules...?)]<br></blockquote><div><br></div><div>The nodes have the same HW, run the same config/ suricata version, have the same set of rules.</div><div><br></div><div>The only difference is that they are exposed to different sources of traffic.</div><div>From Wireshark analysis the protocol hierarchies for both cases seem similar - there is no spectacular difference.</div><div><br></div><div>So really the only difference is the captured traffic itself (MACs, IPs, partly protocols, data etc).</div><div><br></div><div>That is why we have such a problem how to approach the problem and troubleshoot it.</div><div><br></div><div>Best,</div><div>magmi</div></div></div></div></div>