Olhando para avançar na implantação do IDS / IPS em vários firewalls do FreeBSD e fiquei curioso sobre a diferença entre o snort e o suricata. Eu sei que o Suricata é multi-threaded, mas em termos de processamento de regras e outros como eles funcionam, existe alguma diferença real que deve influenciar-me a escolher um do outro?
A principal diferença é que o Suricata usa GPU no modo IPS. Tem modo IPS mais avançado em geral, inclui multitarefa, e como resultado você obtém alto desempenho permitindo processar até 10Gb de tráfego em um hardware comum. E suporta totalmente as regras do Snort. Você pode saber mais sobre os recursos do Suricata aqui: link
Eu tentei executar ambos os sistemas em um sistema integrado de um único núcleo (gateway IOT) e eles estão fazendo as mesmas coisas. Uma grande diferença é que o Suricata pronto para uso exigia muito mais recursos da CPU do que o SNORT para processar a mesma quantidade de tráfego.
Tags networking firewall snort ids ips