Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 92992 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

snort excessive cpu

aimeedev
Hi

I have just enables snort, and while investigating slow throughput, I discovered snort running at nearly 100%.

Is this a known issue?

UTM9 9.208-8
Pattern 70573

Tks
Aimee


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    Snort (and any IDS/IPS) is CPU-intensive...

    What is your current sustained bandwidth with the IPS on ?

    What system are you running the UTM on? include full CPU info (model and GHz)

    Barry
  • 0 in reply to BarryG
    Hi,

    Snort (and any IDS/IPS) is CPU-intensive...

    What is your current sustained bandwidth with the IPS on ?

    What system are you running the UTM on? include full CPU info (model and GHz)

    Barry

    Hi

    I am running on a dell with 1G memory, 2.4 G processor, native i.e. not in a VM, with two intel 1G interfaces, 1T disk 7200 rpm, 33mb cache SATA, in a domestic environment, 20 mb down / 1mb up adsl.

    Max mem 94% used, 25% swap.

    Without snort activated, the cpu is low to medium, with it activated it 100% for periods of about 30-60 seconds, at apparent random times. This stops network in its tracks.

    No intrusions detected apart from my nmap initiated one have occurred today, but I have had six high cpu peaks today.

    There is no correlation with peak network activity and high cpu usage.

    Speedtest IPS ON 12mb down 1mb up

    Speedtest IPS OFF 12mb down 1mb up

    i.e. pretty much the same.
  • 0 in reply to aimeedev
    Hi

    I am running on a dell with 1G memory, 2.4 G processor, native i.e. not in a VM, with two intel 1G interfaces, 1T disk 7200 rpm, 33mb cache SATA, in a domestic environment, 20 mb down / 1mb up adsl.

    Max mem 94% used, 25% swap.

    Without snort activated, the cpu is low to medium, with it activated it 100% for periods of about 30-60 seconds, at apparent random times. This stops network in its tracks.

    No intrusions detected apart from my nmap initiated one have occurred today, but I have had six high cpu peaks today.

    There is no correlation with peak network activity and high cpu usage.

    Speedtest IPS ON 12mb down 1mb up

    Speedtest IPS OFF 12mb down 1mb up

    i.e. pretty much the same.

    Which cpu?  how many users?  which modules are active in UTM?  
    if this is an old p-4 2.4 GHz cpu it's time for new hardware.
Reply
  • 0 in reply to aimeedev
    Hi

    I am running on a dell with 1G memory, 2.4 G processor, native i.e. not in a VM, with two intel 1G interfaces, 1T disk 7200 rpm, 33mb cache SATA, in a domestic environment, 20 mb down / 1mb up adsl.

    Max mem 94% used, 25% swap.

    Without snort activated, the cpu is low to medium, with it activated it 100% for periods of about 30-60 seconds, at apparent random times. This stops network in its tracks.

    No intrusions detected apart from my nmap initiated one have occurred today, but I have had six high cpu peaks today.

    There is no correlation with peak network activity and high cpu usage.

    Speedtest IPS ON 12mb down 1mb up

    Speedtest IPS OFF 12mb down 1mb up

    i.e. pretty much the same.

    Which cpu?  how many users?  which modules are active in UTM?  
    if this is an old p-4 2.4 GHz cpu it's time for new hardware.
Children
  • 0 in reply to William Warren
    Which cpu?  how many users?  which modules are active in UTM?  
    if this is an old p-4 2.4 GHz cpu it's time for new hardware.


    Four users, low usage, firewall, web protection and ips.

    Only occurs when IPS is enabled.

    Cant get the cpu at moment till I reboot it.
  • 0 in reply to aimeedev
    Four users, low usage, firewall, web protection and ips.

    Only occurs when IPS is enabled.

    Cant get the cpu at moment till I reboot it.


    yes because ips is highly cpu taxing.  login to the shell w/ssh as root and type in
    dmidecode 4|more

    you will have to hold down enter to advance but watch for the processor section and release the enter key.  It will tell you which cpu you have in there.
  • 0 in reply to William Warren
    yes because ips is highly cpu taxing.  login to the shell w/ssh as root and type in
    dmidecode 4|more

    you will have to hold down enter to advance but watch for the processor section and release the enter key.  It will tell you which cpu you have in there.


    Intel Pentium 4
  • 0 in reply to aimeedev
    Intel Pentium 4


    it's time for new hardware.
  • 0 in reply to William Warren
    it's time for new hardware.


    I don't think so, research has shown that snort, dependant on the rules can consume 100% cpu time, so buying a new more powerful processor will only cause more cpu to be utilised and give the same results.

    This 'problem' has been reported in this support board, pfsense and others, including an academic report on the snort excessive cpu usage.

    Snort rules have been changed in an attempt to reduce the problem.

    Snort needs to be sorted.

    Add. There was no peaks this morning after removing the malware rules, so I suggest there is a rule interpretation issue also.