Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 3544 views
  • Users 0 members are here
Options
Suggested

[8.281][DUPLICATE][NOT A BUG] Snort memory usage

Billybob
I believe I had this problem starting with 8.1 and then I stopped using snort altogether and didn't test it for 8.2 beta so here is the problem again for 8.3 beta.

Reloading snort uses significantly more ram compared to a normal start.

1.The first screenshot below shows the memory usage after regular start by enabling IPS in webadmin.

2 & 3. Reload IPS by adding another interface or change an attack pattern rule and two instances of snort spawn. This consumes large amounts of cpu and ram and finally only one instance is left. But the memory consumption increases dramatically after the reload.

Regards
Bill.
Parents
  • 0
    Snort is memory intensive as the rulesets are loaded into ram to minimize packet processing delays.  As the rulesets get more complex the usage goes up.  Also as noted above the reload procedure also takes ram.  If you are going to use snort make sure you have plenty of ram.  If you are going to use http proxy and snort 2 gigs is the absolute minimum.  This requirement is going to be going up..that much you can count on.  Right now if i can swing it i now deploy default 4 gigs and 64 bit.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Reply
  • 0
    Snort is memory intensive as the rulesets are loaded into ram to minimize packet processing delays.  As the rulesets get more complex the usage goes up.  Also as noted above the reload procedure also takes ram.  If you are going to use snort make sure you have plenty of ram.  If you are going to use http proxy and snort 2 gigs is the absolute minimum.  This requirement is going to be going up..that much you can count on.  Right now if i can swing it i now deploy default 4 gigs and 64 bit.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Children
No Data
Unfiltered HTML