Snort und DAQ auf RHEL/CentOS 5 erzeugen Fehler mit AF_PACKET

22. Oktober 2010 | Von | Kategorie: Firewalling | VPN | IDS

Die aktuelle Snort Version 2.9.0 bring mit DAQ eine neue Data Aquisition Library mit.  Diese kann neben der klassischen libpcap-Bibliothek auch über AF_PACKET die Pakete des Kernels entgegennehmen. Hier nutzt sie sogar einen Ringpuffer. Dieser konnte früher bei der libpcap nur mit der besonderen mmap-libpcap Version von Phil Wood genutzt werden. Während diese Funktionalität in der aktuellen libpcap 1.1.1 unter RHEL/CentOS 5 64Bit noch funktioniert weigert sich aber die AF_PACKET Schnittstelle den Puffer anzulegen:

Decoding Ethernet
ERROR: Can't start DAQ (-1) - create_rx_ring: Couldn't create kernel RX
ring on packet socket: Cannot allocate memory!
Fatal Error, Quitting..

The size of the requested ring buffer is 128M by default. When reducing the ring size to 49M it works:

snort --daq afpacket --daq-var buffer_size_mb=49

Working with Michael Altizer from Sourcefire the problem could be found and fixed. The fix will hopefully make it into the next version of the DAQ library.

Post to Twitter Post to Yahoo Buzz Post to Delicious Post to Digg Post to Facebook Post to Ping.fm Post to Reddit

Tags: | | | | |

Schreibe einen Kommentar

Fühle dich ermuntert einen Kommentar, Anmerkungen, Hinweise oder deine Ideen zum Thema zu hinterlassen. Wir freuen uns über deine Rückmeldung.