Suricata
Добавлено: 2014-07-02 16:06:57
Есть ли кто нибудь кто имеет опыт работы с данной системой? Интересует несколько вопросов.
1. Требования по железу, на текущий момент развернул на старой железке (core2due e5400 + 2x em network cards) и отправил миррор трафика на нее но если с потоком 60-80 Mb и 10k pps она справляется то с кратковременными пиками в 600-800 Mb начинает дропать пакеты. Естественно потом будет куплена железка по мощнее но хотелось бы понять что нужно что бы прожевать 1Gb трафика.
2. Соответственно прикрутил barnyard2 и snorby но получаю очень много алертов а точнее тысячи, алерты на не полученный ack или неправильный сhecksum. Можно конечно отключить данные правила но хотелось бы понять почему так много таких алертов.
3. А так же если кто то использовал на freebsd данную систему то может подскажет что еще она поддерживает кроме pcap (так как на линуксе есть PF_RING, AF_PACKET, NFQUEUE)
1. Требования по железу, на текущий момент развернул на старой железке (core2due e5400 + 2x em network cards) и отправил миррор трафика на нее но если с потоком 60-80 Mb и 10k pps она справляется то с кратковременными пиками в 600-800 Mb начинает дропать пакеты. Естественно потом будет куплена железка по мощнее но хотелось бы понять что нужно что бы прожевать 1Gb трафика.
2. Соответственно прикрутил barnyard2 и snorby но получаю очень много алертов а точнее тысячи, алерты на не полученный ack или неправильный сhecksum. Можно конечно отключить данные правила но хотелось бы понять почему так много таких алертов.
3. А так же если кто то использовал на freebsd данную систему то может подскажет что еще она поддерживает кроме pcap (так как на линуксе есть PF_RING, AF_PACKET, NFQUEUE)