This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hoher ausgehender DSL Traffic

Hallo,

auf unserer ASG220 (Version 9.105-9) haben wir jetzt seit einiger Zeit (vielleicht ein bis zwei Wochen) einen sehr hohen (1-8MBit/s), im Prinzip dauerhaften Outbound Traffic auf dem (default) DSL-Kanal, was der DSL-Router auch bestätigt.

Das seltsame ist, auf keinem anderen Anschluß kann ich entsprechenden eingehenden Traffic feststellen und auch im Flow Monitor taucht dieser Traffic nicht auf, da dümpelt der Anschluß mit ein paar kbit/s rum.

Irgendwie hat das den Anschein, als würde die UTM den Traffic ja selbst verursachen?!

Hat jemand eine Idee was das sein könnte oder wie ich herausfinden kann, was diesen Traffic verursacht?

Ich würde die Kiste ja mal durch starten, aber so einfach ist das leider nicht, da wird u.a. wichtiges Zeug bei und mit geroutet.

Danke & Ciao,
Alfred

This thread was automatically locked due to age.

0 predator2712 over 11 years ago in reply to predator2712

Hallo Datax, das ist eine gute Idee. Werde morgen mal bei QSC anfragen :-) Gruß Martin

Filter und Firewall-Dienste sind nicht im Vertrag enthalten.
Dann werd ich mal den Tipp von Sascha testen. Gestern 23 Millionen geblockte Pakete. Cpu 25,6 im Schnitt.
Firmware ist übrigens die aktuelle 9.109-1, nicht die aus meiner Signatur ;-)

Sent from my iPhone using Astaro.org
Cancel
Vote Up 0 Vote Down

Cancel
0 Sascha Paris over 11 years ago in reply to predator2712

Filter und Firewall-Dienste sind nicht im Vertrag enthalten.
Dann werd ich mal den Tipp von Sascha testen. Gestern 23 Millionen geblockte Pakete. Cpu 25,6 im Schnitt.
Firmware ist übrigens die aktuelle 9.109-1, nicht die aus meiner Signatur ;-)

Sent from my iPhone using Astaro.org

Hi Martin

Die NTP Anfragen nehmen mit der Zeit schon ab, wenn die bösen Jungs mal merken, dass der NTP nicht mehr auf ist. Ich tippe mal darauf, dass die Anfragen via BOT's kommen, und mit UDP daherkommen, was einfach zu spoofen ist (hiesse die Anfragen kommen von hunderten verschiedener IP Adressen). Die bösen Jungs prüfen wohl nicht regelmässig, ob deren "Bombardierung" mit Paketen auch erfolgreich ankommt...ist ja normalerweise weder deren Rechenleistung noch Bandbreite die da verschwendet wird...

Falls die Anfragen von wenigen Source IP Adressen herkommen - insbesondere falls es TCP wäre, kanst Du auch mal versuchen vor der ANY ANY ANY Block Regel eine spezifische Regel für die IP's zusetzen, wo die NTP Pakete für NTP nicht gedroppt, sondern rejected werden. Sofern die Pakete nicht gespooft waren (bei gespooften IP Adressen würdest Du Du mit rejectlediglich "unbeteiligte" Opfer IP's mit RST oder "port unreachable" ICMP Paketen fluten), könnten dem admin der betroffenen Firewall mit dem/den voraussichtlich infizierten Rechnern welche die Anfragen stellen auffallen, dass er plötzlich viele RST oder "port unreachable" Pakete für NTP Anfragen erhält, was ihn hoffentlich stutzig machen sollte...

Bei wenigen IP's (natürlich auch nur sofern nicht gespooft) kann man natürlich auch einfach versuchen via RDNS und WHOIS ggf. den Betreiber / Kunden mit der IP rausfinden, und versuchen diejenigen (ISP oder Kunde direkt) zu kontaktieren.

Mit den von mir erwähnten 2 "Last Rules" Regeln solltest Du zumindest das übermässige Wachstum vom Paketfilter log in den Griff kriegen ;o)

/Sascha
Cancel
Vote Up 0 Vote Down

Cancel