IDS Problem CPU Auslastung [Core 108]

Post Reply
User avatar
iSit
Posts: 40
Joined: May 28th, 2016, 5:43 pm

IDS Problem CPU Auslastung [Core 108]

Post by iSit » February 24th, 2017, 10:27 am

Hallo ,
ich habe folgendes Problem , IDS aktiviert auf GRUEN (LAN) , BLAU (WLAN) und ROT (WAN) soweit alles ok .
Gruen = 2 Geräte
Blau = 20 Geräte
Auslastung CPU max 5-10 % .
manschmal steigt die CPU Auslastung auf 50 % und bleibt bis zum Neustart oder deaktivierung IDS auf Gruen, auch wenn ich alle Geräte ( Gruen ) ausschalte nützt das nichts .
Hat jemand eine Idee warum das so ist ?

iSit
Image

User avatar
twilson
Posts: 457
Joined: October 31st, 2014, 9:26 am
Location: Germany

Re: IDS Problem CPU Auslastung [Core 108]

Post by twilson » February 28th, 2017, 10:42 am

Hallo,

hm, so eine Lastspitze kann an vielem liegen.

Wenn snort beispielsweise gerade mit Attacken aus dem Internet zu kämpfen hat, nützt es wenig, wenn die paar Geräte in BLUE/GREEN offline gegangen sind.

Sind die IDS-Regeln aktuell? Manchmal schleichen sich da beim Entwicklungsprozess Fehler ein.

Gruß,
Timmothy Wilson

User avatar
iSit
Posts: 40
Joined: May 28th, 2016, 5:43 pm

Re: IDS Problem CPU Auslastung [Core 108]

Post by iSit » February 28th, 2017, 11:53 am

Hallo Timmothy,

ja das ist mir schon klar , aber es liegt an dem GRUENen Interface , wenn ich IDS für GRUEN deaktiviere ist wieder alles normal .
Ich würde ja verstehen wenn sich das auf das ROTe Interface beziehen würde.
Ja IDS -Regeln sind aktuell .

iSit
Image

User avatar
twilson
Posts: 457
Joined: October 31st, 2014, 9:26 am
Location: Germany

Re: IDS Problem CPU Auslastung [Core 108]

Post by twilson » February 28th, 2017, 4:12 pm

Hallo iSit,

dann konzentrieren wir uns doch mal auf Green.

(1) In deinem ersten Post schriebst du "manchmal". Geht das ein bisschen genauer? Kannst du die hohe Last provozieren, z.B. indem du auf den Clients Updates einspielst?
(2) Was machen die Clients eigentlich? (Netzwerkverkehr, Anwendungen, etc.)
(3) Im WebIF unter Status|Dienste findest du Details zur Speicherauslastung, bei Snort wird da auch nach Netzwerk-Zonen differenziert. Poste doch mal Screenshots davon, vielleicht findet sich da ja was, das weiterhilft.
(4) Die Frage hast du dir wahrscheinlich auch schon gestellt: Irgendwas im Systemprotokoll? Abstürze?

Gruß,
Timmothy Wilson

User avatar
iSit
Posts: 40
Joined: May 28th, 2016, 5:43 pm

Re: IDS Problem CPU Auslastung [Core 108]

Post by iSit » March 1st, 2017, 10:17 am

Hallo Timmothy,

zu 1.
nein, leider nicht , sieht dann so aus , wie du siehst beginn 19:00 uhr bis 1:00 Uhr
system.cgi.png
System CGI
zu 2.
normaler verkehr , nichts gesonderes ,
zu 3.
Intrusion Detection System (BLUE) LÄUFT 3484 193892 kB
Intrusion Detection System (GREEN) LÄUFT 3501 191588 kB
Intrusion Detection System (RED) LÄUFT 3518 196088 kB
prozesse.png
Prozesse Diagramm
zu 4.
nein keine Einträge , alles ok

Noch ein Hinweis :
wenn die CPU auf 50% geht und ich dann IDS auf GRUEN deaktiviere geht die CPU gleich runter .

DAnke
iSit
Image

User avatar
FischerM
Community Developer
Community Developer
Posts: 970
Joined: November 2nd, 2011, 12:28 pm

Re: IDS Problem CPU Auslastung [Core 108]

Post by FischerM » March 1st, 2017, 6:07 pm

Ahmt,

wenn z.B. 'htop' oder 'top' bestätigen, dass 'snort' der Übeltäter ist, bleibt Dir u.U. nur das schrittweise Deaktivieren der momentan aktiven 'snort'-Rules, bis der Fehler nicht mehr auftritt. Eingrenzen ist jetzt das Problem.

HTH,
Matthias

User avatar
iSit
Posts: 40
Joined: May 28th, 2016, 5:43 pm

Re: IDS Problem CPU Auslastung [Core 108]

Post by iSit » March 2nd, 2017, 12:25 pm

Hallo Matthias,

erstmal danke .
ich werde es versuchen einzugrenzen.

iSit
Image

User avatar
iSit
Posts: 40
Joined: May 28th, 2016, 5:43 pm

Re: IDS Problem CPU Auslastung [Core 108]

Post by iSit » April 3rd, 2017, 6:48 pm

Hallo ,

Habe IDS jetzt nur noch auf Rot aktiviert .
Jetzt tritt das Problem nicht mehr auf .
Auch das eingrenzen bzw abschalten von regeln hat nicht bewirkt .

Jetzt lass ich es einfach so .

iSit
Image

User avatar
twilson
Posts: 457
Joined: October 31st, 2014, 9:26 am
Location: Germany

Re: IDS Problem CPU Auslastung [Core 108]

Post by twilson » April 13th, 2017, 8:10 am

Hallo,

bei mir haben irgendwann mal die "bottcc-portgrouped"-Regeln für Probleme gesorgt. Allerdings läuft die Einbruchsdetektierung auf ARM-Boards sowieso mehr schlecht als recht, insofern weiß ich nicht, wie aussagekräftig das ist.

Falls es was nützt, kann ich noch die Seite empfehlen: http://doc.emergingthreats.net/bin/view ... mergingFAQ

Warum die Last von der Aktivierung auf Grün abhängt, erschließt sich mir nicht. Bei Gelegenheit (und mit anderer Hardware, Danke an Bug #10770) teste ich das mal und schreibs dann hier rein.

Generell ist es natürlich sicherheitsmäßig kontaproduktiv, das IDS nicht auf internen Netzwerken laufen lassen zu können.

Gruß,
Timmothy Wilson

User avatar
iSit
Posts: 40
Joined: May 28th, 2016, 5:43 pm

Re: IDS Problem CPU Auslastung [Core 108]

Post by iSit » April 13th, 2017, 8:24 am

Hallo Timmothy,

erstmal Danke ,
ich habe noch herausgefunden das es definitiv die IDS ist und dass das Verhalten nur auf der Hardware vorkommt.
Ich habe die gleiche Konfig auf eine virtuellen Maschine laufen und hier tritt das nicht auf .

gruß
iSit
Image

User avatar
iSit
Posts: 40
Joined: May 28th, 2016, 5:43 pm

Re: IDS Problem CPU Auslastung [Core 108]

Post by iSit » December 12th, 2017, 1:10 pm

Was ist das den ??....
Image

5p9
Mentor
Mentor
Posts: 1853
Joined: May 1st, 2011, 3:27 pm

Re: IDS Problem CPU Auslastung [Core 108]

Post by 5p9 » December 14th, 2017, 8:03 am

Moin,

nur mal so, wenn auf der VMWare alles gut ist und auf der anderen Box nicht, mit den gleichen Werten würde ich mal mit einem Griff ins blaue mal das BIOS in Betracht ziehen. Mach doch mal ein BIOS-Update, dies kann auch schon helfen. Prüf doch auch einmal deine Hardware als solches, HDD wie auch RAM auf Fehler.

Vielleicht ist hier etwas zu finden?!

VG, 5p9
Mail Gateway: mail proxy

Image

Image

Post Reply