focus-ids 메일링 리스트에서 10Gbps 인라인 장비 얘기가 나오다가
스노트 9800 모델 (10Gbps) 얘기가 나오고 잘 돌아간다고 하니까
누군가 고객사 두 군데서 9800 돌려봤는데 시망이라면서 비웃고 -_-;
Martin Roesch가 나타나서 국토보안부가 국민 혈세 가져다가 OISF 재단 만들어놨는데
얘네는 스노트 기능을 베껴 suricata 만들었는데 성능은 더 안 나온다고 까고
개판 ㅇㅇ..
사실 하드웨어나 들이는 비용을 같은 기준으로 놓고 성능 비교해야 의미가 있지 않겠음..?
스노트가 10G가 나올 수는 있겠으나 Suricata 까는건 이해하기 힘듬..
이제 갓 1.0 버전 나온걸 성능 가지고 까봤자..
시간 좀 더 지나고 보면 어떻게 될지..? ㅋㅋㅋ
미 국토보안부 입장에서는 IDP 쪽에 이노베이션이 더이상 안 일어나는걸로 보여서 답답했던 것 같음..
하긴 스노트 나온지가 벌써 12년 됐다고 하니..
VRT 블로그에도 suricata 얘기가 나왔다. 멀티스레드 가지고 할 말 많나보다 -_-
논리적으로 다 맞는 얘긴데.. 일반 사용자가 그 커널레벨에서 로드밸런싱 하는 버전은 못 쓰잖어..
물론 그걸로 자네들 장사하는거지만.. -_-;;
음.. suricata 지금 버전 까이는건 할 말이 없다..
백만 달러 쓰고 50% loss가 뭐냐 테스트도 안 하면서 만들었나..
하긴 5200MB/s가 맞다면 40Gbps로 로드를 걸었다는 얘기니 빡세긴 하네..
그렇지만 저기 언급된게 맞다면 200Mbps에서 300Mbps 밖에 커버 안 된다는 얘긴데 뭘 한거지..?
If the top level worst case of Snort performance is an optimization target then a new detection engine architecture should be investigated. The current model that buffers and processes packets has memory management and processing overhead that has worst-case performance implications that are noticeable to the user of the system. A new processing architecture that utilized in-sequence packet processing via finite state machines (FSM) and reduced or eliminated buffering could see significant performance gains over the current detection architecture.
Marty가 언급한 이 부분이 홈형이 한 일이다. 말린 센서는 버퍼링 전혀 안 한다.. 대신 일부 유연성은 포기해야 하지.. 스트림 버퍼 대상으로 하는 정규표현식 매칭 같은거.. 그나저나 .so 룰은 생각 못 했던 부분인데 마침 잘 봤네..
아무튼 나도 스노트 멀티기가 박스나 만들어서 팔아볼까 싶다..
이것도 올라온지 얼마 안 되는 글이군.. 시간이 약..
덧글
matt 2010/07/22 17:38 # 삭제 답글
스노트 처음엔 거의 실험적인 요소가 강했는데 요즘 좀 좋아 졌나요? 차라리 우리 회사 제품 같은게 요즘 강세던데...웹 해킹이 주류니.
xeraph 2010/07/22 18:51 #
이게 싱글 스레드라 가속 카드 끼고 멀티 인스턴스로 돌려야 처리 가능해지는 것 같더라고요...뭐 근데 룰은 거의 스노트 룰이 대세 아닌가요 벤더 장비도 일부분이라도 스노트 룰 호환 가능하게 만드는게 대부분이라.. 대응 팀이 취약점 나오면 긴급 대응 받쳐줘야 되는데 제대로 안 되는 경우에는 룰 문법 호환이라도 되어야 장비를 쓸 수 있는 분위기다보니까 말이죠..
홈쥬인 2010/07/23 09:51 # 답글
말린 최적화는 더 할수도 있는데 시간이 업ㅂ어서 못함...;;