Snort <==> hardware

**host3000** · 26/01/06 15:57

Wie heeft er ervaring met Snort en weet, welke hardware voldoende is voor het loggen van zo'n 100Mbit aan pakketjes? Dus CPU/HDD/MEM ?

**mrleejohn** · 26/01/06 16:37

Misschien heb je wat aan http://www.mrleejohn.nl/snortx.htm ?

Ik gebruikte een eenvoudige P4, 2.8Ghz met 512 Mb RAM en 4 3com-100Mbnics

**rayden** · 26/01/06 16:38

Ik zou 100mbit niet met Snort gaan doen, Maximale wat je met snort redelijk kunt blijven doen en wat ook accuraat is iets van 20-30Mbit maar dan houdt het ook vrij snel op.

Mocht je toch nog opzoek zijn naar een goed IPS/IDS probeer dan eens TippingPoint van 3Com.

**host3000** · 26/01/06 16:50

Waar zit de bottleneck het meest? Is dat het schrijfwerk van de hdd of is het een software/kernel probleem?

Tipping Point zit natuurlijk een aardig prijskaartje aan ...

**rayden** · 26/01/06 16:56

Het is meer de architectuur van snort naar mijn inzage, wij hadden in onze ervaring dat snort na 30 Mbit/s gewoon ineens packets gaat 'missen' (P4 2,4, 512Mb. Intel NIC)

Tevens draaiden we de tests op Linux, misschien kan je het eens op FreeBSD of een BSD variant proberen.

TippingPoint zit inderdaad een aardig prijskaartje aan, mijn advies is probeer het gewoon eens icm. met een rappe FreeBSD 6 machine en of deze wel gewoon ~100mbit kan verwerken. Op destijds Linux 2.4 met snort kwamen we niet verder dan 30Mbit/s.

**host3000** · 26/01/06 17:03

Dank voor de info. Laat ik dan een wat snellere bak nemen voor een test.

Enig idee hoe snel de hdd vol gaat?

**rayden** · 26/01/06 17:10

Met 20-40Gb kom je wel uit. Ga je het opslaan in logfiles of een MySQL database?

**host3000** · 26/01/06 17:10

Db

**rayden** · 26/01/06 17:14

hmm..20-40GB ? Afhankelijk natuurlijk van hoeveel 'attacks' je binnen verwacht te krijgen.

**host3000** · 26/01/06 17:29

Nou ja, dat was in ieder geval de bedoeling... Maar ik kan mij voorstellen dat het wat heavy wordt.

**rayden** · 26/01/06 17:45

Okay

Je kan het ook goed werken met ACID, dat is een goede frontend. Indien je trouwens hulp ermee zoekt kun je me altijd PM'en.

**host3000** · 26/01/06 17:55

Dank je. Ik zal eerst even zelf wat aanrommelen

Is het niet zo dat Acid niet meer verder ontwikkeld wordt?

**Mikey** · 26/01/06 18:03

Origineel geplaatst door rayden
Okay Je kan het ook goed werken met ACID, dat is een goede frontend. Indien je trouwens hulp ermee zoekt kun je me altijd PM'en.

acid is mooi idd, maar wordt zo snel als dikke strond op moment je beetje aardige database krijgt....

**rayden** · 26/01/06 18:04

Klopt dat is ook weer zo.

Ik bedenk me trouwens net dat er nog een andere zeer goede console bestond:
http://www.aanval.com/

**host3000** · 26/01/06 18:10

Origineel geplaatst door rayden
Klopt dat is ook weer zo.

Ik bedenk me trouwens net dat er nog een andere zeer goede console bestond:
http://www.aanval.com/

Die heb ik vandaag al een paar keer geprobeerd, maar is steeds down (of niet meer bestaand).

Trouwens, zou het niet helpen om de sniffer apart te houden en zo die configuratie licht te kunnen houden? Dan via een extra nic of zo naar de database server, waar je ook je apache zooi kan doen, zodat de sniffer daar niet mee lastig gevallen wordt?

Edit; geeft natuurlijk wel weer meer belasting van de pci bus van de sniffer omdat er een extra nic bij moet.

Onderwerp Gereedschap

Toon

Onderwerp: Snort <==> hardware

Snort <==> hardware

Webhostingtalk.nl

Link met ons

Partners

Contact