Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Как оценить производительность pfSense + Snort?

    Russian
    2
    6
    1.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      antonbezkrovny
      last edited by

      Коллеги, привет!
      Есть задача оценить производительность сервера с связской pfSense + Snort.
      Имеется 2 машины на Ubuntu, трафик между ними пропускает и маршрутизирует через себя сервер pfSense.

      Пробовал нагружать канал с помощью:
      1. iperf для прогона загрузки канала по UDP
      2. Apache Server и Apache Benchmark для прогона по количеству сессий в секунду.

      Никак не смог найти решения для одновременного прогона, может кто решал такую задачу?

      Возможно пригодится:

      service apache2 run - run Apache web server for testing TCP sessions.
      iperf -s -u - run iperf server for test UDP.
      iperf -c IP-n 3000m -i5 -b 200m - run iperf client connect to IP with bandwitch 200Mb/s, stop after transfered 3000 Mb, inform every 5 seconds.
      ab -n 300000 -c 10000 http://IP:PORT/ - run apache benchmark with 10000 sessions per second, on server IP:PORT, stop after 300000 sessions.

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе.
        Посмотрите на Suricata. Отл. штука. Исп. и snort-правила.
        Пакет имеется.

        Зы. Snort - это ids\ips. Протестировать вы можете только на опред. виды атак - блочит или нет. Причем тут произ-ть ?

        1 Reply Last reply Reply Quote 0
        • A
          antonbezkrovny
          last edited by

          Werter,
          Спасибо, suricata - отличный продукт!
          Но, руководтво приняло решение использовать Snort.

          Я, наверно, немного неправильно выразился.

          Обработка каждого пакета в Snort требует ресурсов сервера, поэтому
          задача стоит в тестировании легитимной нагрузки, которую он может вытащить.

          Те средства, которыми я тестировал - я описал выше, интересно, какие средства есть еще?

          1 Reply Last reply Reply Quote 0
          • A
            antonbezkrovny
            last edited by

            Чтобы не быть голословным, начисто установленный и не тюненный pfSense+Snort с подключенными правилами:

            Snort Vulnerability Research Team (VRT) Rules
            Snort GPLv2 Community Rules
            Emerging Threats (ET) Rules
            Sourcefire OpenAppID Detectors

            на машине в 8 gb ram, 1х4 core 2 Ггц отлично держит нагрузку в 10к сессий в секунду и UDP траффик в 150mb\s - пиковая нагрузка достигает 80% по процу и 75% памяти.

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              Версия pf ? Разрядность ?

              1 Reply Last reply Reply Quote 0
              • A
                antonbezkrovny
                last edited by

                2.3-RELEASE (amd64)
                built on Mon Apr 11 18:10:34 CDT 2016
                FreeBSD 10.3-RELEASE

                Догадался до еще одного способа тестирования:
                гнать rsync ом гигабайт 10 небольших файлов, типа mp3, и замерять производительность.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.