Как оценить производительность pfSense + Snort?



  • Коллеги, привет!
    Есть задача оценить производительность сервера с связской pfSense + Snort.
    Имеется 2 машины на Ubuntu, трафик между ними пропускает и маршрутизирует через себя сервер pfSense.

    Пробовал нагружать канал с помощью:
    1. iperf для прогона загрузки канала по UDP
    2. Apache Server и Apache Benchmark для прогона по количеству сессий в секунду.

    Никак не смог найти решения для одновременного прогона, может кто решал такую задачу?

    Возможно пригодится:

    service apache2 run - run Apache web server for testing TCP sessions.
    iperf -s -u - run iperf server for test UDP.
    iperf -c IP-n 3000m -i5 -b 200m - run iperf client connect to IP with bandwitch 200Mb/s, stop after transfered 3000 Mb, inform every 5 seconds.
    ab -n 300000 -c 10000 http://IP:PORT/ - run apache benchmark with 10000 sessions per second, on server IP:PORT, stop after 300000 sessions.



  • Доброе.
    Посмотрите на Suricata. Отл. штука. Исп. и snort-правила.
    Пакет имеется.

    Зы. Snort - это ids\ips. Протестировать вы можете только на опред. виды атак - блочит или нет. Причем тут произ-ть ?



  • Werter,
    Спасибо, suricata - отличный продукт!
    Но, руководтво приняло решение использовать Snort.

    Я, наверно, немного неправильно выразился.

    Обработка каждого пакета в Snort требует ресурсов сервера, поэтому
    задача стоит в тестировании легитимной нагрузки, которую он может вытащить.

    Те средства, которыми я тестировал - я описал выше, интересно, какие средства есть еще?



  • Чтобы не быть голословным, начисто установленный и не тюненный pfSense+Snort с подключенными правилами:

    Snort Vulnerability Research Team (VRT) Rules
    Snort GPLv2 Community Rules
    Emerging Threats (ET) Rules
    Sourcefire OpenAppID Detectors

    на машине в 8 gb ram, 1х4 core 2 Ггц отлично держит нагрузку в 10к сессий в секунду и UDP траффик в 150mb\s - пиковая нагрузка достигает 80% по процу и 75% памяти.



  • Версия pf ? Разрядность ?



  • 2.3-RELEASE (amd64)
    built on Mon Apr 11 18:10:34 CDT 2016
    FreeBSD 10.3-RELEASE

    Догадался до еще одного способа тестирования:
    гнать rsync ом гигабайт 10 небольших файлов, типа mp3, и замерять производительность.


Log in to reply