Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 159296 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos IPS Kill My internet speed

okaenrique
Hello!

I have UTM VERSION 9.314-13 on my ESXI 

ssd HARDIDSK
CPU intel core i5-4690k cpu 3.50GHZ  4 cpu 

in Vmware i have 4 virtualsockets and 5120MB memory .

every think is work but when i active Attack Patterns on IPS my internet speed change from 950Mbit/s to 300Mbit/s , 

i have tried active just ( Operating system specific attacks  ) and get same issue .

in my Sophos FW i have 
FW is active with 7 rules.
webfiltering is active with 0 requestes.
remote access .
Web Aplication Firewall is active .
Antivirus .
Antispyware .








Any help please ?


This thread was automatically locked due to age.
  • 0
    Hi There O  [:)]
    Take a printscreen of "Attack Patterns" and post here.
  • 0 in reply to Jens Heidling
    Hello okaenrique

    300MBit for a VM isn't too bad and is expected behaviour due how UTM scales IPS performance. This is, as I expect you doing the perftest from a single site. As UTM starts multiple snort instances (in your case with 4 cores most likely 3 snort instances) you only will get full throughput with multiple streams / connections.

    If you press in top "1", it will show CPU's in per CPU mode, where you most likely will see, that one core is saturated around 100%, and same, if you search for your snort processes, most likely one of them will run at 100% during that download / perftest.

    /Sascha
  • 0 in reply to Sascha Paris
    [QUOTE=Sascha Paris;301295]Hello okaenrique

    300MBit for a VM isn't too bad and is expected behaviour due how UTM scales IPS performance. This is, as I expect you doing the perftest from a single site. As UTM starts multiple snort instances (in your case with 4 cores most likely 3 snort instances) you only will get full throughput with multiple streams / connections.

    If you press in top "1", it will show CPU's in per CPU mode, where you most likely will see, that one core is saturated around 100%, and same, if you search for your snort processes, most likely one of them will run at 100% during that download / perftest.

    /Sascha[/QUOTE






    Thanks Sacha

    300 is so bad i have 950 without IPS ,i changed from 4 cores to 1 and the same problem ,




  • 0 in reply to Jens Heidling
    Hi There O  [:)]
    Take a printscreen of "Attack Patterns" and post here.


    nothing is active RIGHT NOW but when i active anything i get 300 speed


  • 0
    As Sasha said, that's how the IPS (Snort) works currently.  It is single threaded, so for a single stream, IPS can only use one core, which will limit the throughput.
  • 0 in reply to Scott_Klassen
    As Sasha said, that's how the IPS (Snort) works currently.  It is single threaded, so for a single stream, IPS can only use one core, which will limit the throughput.




    Is there a solution ?
  • 0
    Not currently (except you find a CPU with ~8 - 10GHz per core)...
  • 0 in reply to scorpionking
    Lowering # of CPU's or snort instances doesn't help / change anything in that matter.

    With 4 cores you should be able to start 3 downloads / perftests / different connections from different sites ~300MBit per each of them summing up to a total of ~900 MBit. But you will not be able to get that throughput in a single connection due that "snort instances bound to a CPU core" limitation. That's how UTM and snort works.

    That's maybe one of the biggest differentiator / limitation between a x86 base compared to ASIC / purpose specialized hardware appliances. In normal company usage as border gateway this usually isn't a issue, but that limitation may occur in such special cases as yours where a single connection may use the full bandwidth. This is also true for IPSEC tunnels or other stuff in the UTM too.

    There are multithreaded alternatives out there to the singlethreaded snort as Suricata for example. But they usually still aren't as mature as snort today, even if they may offer some benefits in higher throughput for single connections or specific tests, but due multithreading overhead finally reaches lower cumulated top bandwidths with lots of connections compared to multiple snort instances.
  • 0
    thanks for reply 

    so if i install sophos on separate PC which hardware should i use?
  • 0
    You'll find many advices about custom hardware in this Forum, please look arround youself. 
    In general, there are specific Core i3 processors which have the best performance per core.