Я пытаюсь настроить производительность Snort на маршрутизаторе на базе Debian. Я видел такие вещи, как:
snort packet recv contents failure: No buffer space available
Поэтому я увеличил количество буферов до 8M, и когда это не сработало, я попробовал 16M, согласно руководству по настройке на http://fasterdata.es.net/fasterdata/host-tuning/linux/:
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
# Increase TCP Buffers to 16 MB
sysctl -w net.core.rmem_default='16777216'
sysctl -w net.core.wmem_default='16777216'
sysctl -w net.core.rmem_max='16777216'
sysctl -w net.core.wmem_max='16777216'
sysctl -w net.ipv4.tcp_wmem='1048576 4194304 16777216'
sysctl -w net.ipv4.tcp_rmem='1048576 4194304 16777216'
sysctl -w net.core.netdev_max_backlog='30000'
exit 0
Теперь я не вижу записи в журнале «нет буферного пространства», но у меня есть новая:
net_ratelimit: 44 callbacks suppressed
Единственные другие сообщения из того же периода - эти марсиане, может быть, это то, что подавляется?
Jun 4 07:09:36 ilium ntpd_intres[3575]: host name not found: 0.us.pool.ntp.org
Jun 4 14:17:36 ilium kernel: [25743.259951] net_ratelimit: 44 callbacks suppressed
Jun 4 14:17:36 ilium kernel: [25743.259955] martian source 216.59.11.21 from 127.0.0.1, on dev eth0
Jun 4 14:17:36 ilium kernel: [25743.259956] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun 4 14:17:58 ilium kernel: [25765.055449] martian source 216.59.11.21 from 127.0.0.1, on dev eth0
Jun 4 14:17:58 ilium kernel: [25765.055451] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun 4 14:18:43 ilium kernel: [25809.998978] martian source 216.59.11.21 from 127.0.0.1, on dev eth0
Jun 4 14:18:43 ilium kernel: [25809.998980] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun 4 14:24:11 ilium kernel: [26138.700143] martian source 216.59.11.71 from 127.0.0.1, on dev eth0
Jun 4 14:24:11 ilium kernel: [26138.700145] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
Jun 4 14:28:42 ilium kernel: [26409.130701] martian source 216.59.11.71 from 127.0.0.1, on dev eth0
Jun 4 14:28:42 ilium kernel: [26409.130703] ll header: 00:30:48:7c:f8:10:00:24:c4:49:8d:00:08:00
'net_ratelimit()'используется для ограничения сообщений системного журнала от ядра.
Это сообщение «обратные вызовы подавлены» означает, что подавлено 44 сообщения системного журнала.
Это попытка избежать загрузки пути ведения журнала системного журнала.
Вот ссылка на источник, если вам интересно,
Перекрестная ссылка ядра FreeBSD / Linux; системный / net / core / utils.c,
Он призывает sys / lib / ratelimit.c - ___ratelimit()
Возможно, вы захотите изучить свой "марсианский источник",
но если вы проигнорируете это, я думаю, ratelimit будет обрабатывать журналы
(Обычно рекомендуется исправить неизвестные источники журналов).
В вашем случае это похоже на ваш Марсианские пакеты являются,
Входящий или исходящий пакет, чей источник или адрес назначения находится в диапазоне 127.0.0.0/8, который зарезервирован для обратной связи внутри хоста.