[LUGA] Mit freundlicher Unterstützung von:
Linux New Media AG

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] Load



hallo

> > ich habe snort auf einigen servern laufen. allerdings braucht der bei
> > angriffen ziemlich viel cpu.. so an di 90% und darueber..
> > ist das normal?
> kann schon sein. haengt von der leistung der maschine ab und was snort
> zu tun hat. ich hatte mal probleme mit einem 486, weil in
> den ipchains alles geloggt wurde was nicht akzeptiert wurde. damit
hmm.. ok also ipchains logging habe ich ausgeschaltet nachdem ich ja snort
habe, demnach duerfte das nicht so problematisch sein. die maschine ist ein
pentium der frueheren zeit, ist aber *nur* ein firewall hat also sonst nicht
viel zu tun.

> > gefaehrlich?
> da bietet sich ein syslog flooding an. es braucht dir ja nur wer packete
> schicken, die dein snort behandelt und deine maschine ist super langsam.
hm. naja.. ich verwende nur ids-rules und habe da einige rausgenommen die
meiner meinung nach bloedsinn sind.. wie die pings. (interessieren mich
eigentlich nicht so, auch wenn distributed pings (flood) doch recht
interessant waeren)
also loggt der eigentlich nicht sooo viel.
bei z.b einem portscan auf eine oder auf ein subnet, steigt der load schon
ziemlich beaengstigend. der load des snorts selber. syslog oder sonstiges
bleibt schoen ruhig.

> > kann das den netztraffic verlangsamen?
> ja.
> generell sollte man imho auf allzu aufwaendige logging tools verzichten.
> die ueberwachung wird schnell pathologisch.

tja wie schon gesagt.. es ist nicht so dass so viel gloggt wuerde, eher das
snort selber macht da probleme.. wenn das ueberhaupt probleme sind.

ich weiss nicht, vielleicht ist das ja auch nur ein bug in der aelteren
version die ich verwende,, denn die neueste ist sowiso instabil. stuerzt als
daemon regelmaessig ab, als non-daemon passts.

wir haben uns schliesslich jedoch darauf einigen muessen snort abzudrehen
weil wir eigentlich keinen stillstehenden firewall haben wollten trotz
sicherheitseinbussen *g*

der snort ist naemlich mit einem modifizierten guardian gekoppelt der per
ipchains zeitlich begrenzte "bans" setzt (รก la info.tuwien.ac.at) , was ich
eigentlich doch recht gern verwenden wuerde.

danke

peter







powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010