Verursacher für hohen Traffic ausfindig machen, wie?

Hi, gibt es zu dem Thema inzwischen eine Lösung?
Wir haben das gleiche Problem, wir haben immer morgens gegen 9 Uhr einen erhöhten Download-Traffic. Da wir nur eine 5 Mbit-Leitung haben, ist das sehr ärgerlich, dass für 2-3 Stunden die Leitung komplett blockiert ist. 
Es handelt sich eigentlich immer um Traffic von "deploy.akamaitechnologies.com" - dies ist wohl nichts schlimmes, sondern können irgendwelche Apple-, Adobe-, Microsoft- oder auch Virenscanner-Updates sein. Ich würde aber natürlich trotzdem gerne wissen, welcher PC genau diesen Traffic verursacht. 
Wenn ich einen normalen Download von meinem PC aus starte, so kann ich dies auf der Eth0-Schnittstelle bei "Ausgehend" wunderbar sehen, aber diese Downloads zeigt er mir da komischerweise nicht an - Fast so als würde die Sophos selbst den Traffic erzeugen?!
Hinweis: Wir haben in der Sophos den Transpararenzmodus aktiviert. 

Über den Flow-Monitor bekomme ich keine genaue Aussage (siehe Screenshots).
Was können wir tun um den Verursacher ausfindig zu machen?

Schaut doch mal in die Proxylogs.

Schaut doch mal in die Proxylogs.

Hi, danke für den Tipp, 
du meinst in dem Webfilter Live-Protokoll oder?!
Habe ich noch nicht probiert - leider bzw. Gott sei Dank, ist der Download inzwischen beendet - ich werde dann nächstes mal versuchen in dem Webfilter-Protokoll nach der "akamaitechnologies.com"-Domain suchen.

Grüße

Die Einträge in das Webfilterlog werden übrigens erst getätigt, wenn der Download beendet ist.

Ich geb den Vorschreibern recht, dass üblicherweise proxyunfreundliche Updater die üblichen Amokläufer sind, wenn die WAN Bandbreite unverhältnismässig ansteigt, und kein Client der Verursacher zu sein scheint.

Allerdings ist es um die früheren Problemkinder Adobe Updater und co. seit den defaultmäsigen Exceptions in der UTM eher ruhig geworden. Im letzten Jahr hat sich in meinen Augen eher der NVIDIA (Grafikkarten) Updater den ersten Rang der besch...eidensten, Proxyunfreundlichen Updater gemacht. Da wird versucht Updates in der Grössenordnung 100...200MB runterzuladen, und wenn da nicht grad was kommt startet der erneut.

Am einfachsten findet man solche Übeltäter, indem man das http.log nach dem Begriff "update" durchsucht, und schaut, welche Updates mit dem selben Namen (normalerweise auch immer mit den selben Source/Client IP's) aufgerufen wird. Wenn so ein Download vom selben Client mehrmals auftaucht, würde ich dazu entsprechende Exceptions erstellen, was üblicherweise das Problem dann löst ;o)

Oft hilt es auch schon die Scansize auf eine vernünftige Grösse um 20MB  einzustellen (oder bei kleiner Bandbreite ggf. sogar 10MB). Aber wenn man die Zeit hat, ist eine angepasste Exception dem herabsetzen der Scansize zu bevorzugen...

/Sascha

Hallo,

Das geht ganz toll mit der Conosle:
Putty  (Shell Zugriff muss natürlich aktiv sein..)

bitte diese Befehle:

loginuser

su
 eingeben

iftop -i  eth0 

Nun bekommst du eingehenden und ausgehenden Traffic angezeigt. 
Natürlich mit der Aufgeschlüsselten IP-Adresse...
Ist auf den ersten Blick etwas verwirrend, die Pfeile geben die Richtung an und die weißen Balken sollen
wohl die "auslastung visualisieren".

Anstatt eth0 kannst du natürlich die Schnittstelle deiner Wahl eingeben.

Verlassen mit STRG+C

Hier findet Ihr sehr viele nützliche Consolenbefehle(komischer Seitenaufbau.. nicht wundern)
https://valentin-laett.ch/projekte/sophos-utm_tipps.php

Grüße

Ich geb den Vorschreibern recht, dass üblicherweise proxyunfreundliche Updater die üblichen Amokläufer sind, wenn die WAN Bandbreite unverhältnismässig ansteigt, und kein Client der Verursacher zu sein scheint.

Allerdings ist es um die früheren Problemkinder Adobe Updater und co. seit den defaultmäsigen Exceptions in der UTM eher ruhig geworden. Im letzten Jahr hat sich in meinen Augen eher der NVIDIA (Grafikkarten) Updater den ersten Rang der besch...eidensten, Proxyunfreundlichen Updater gemacht. Da wird versucht Updates in der Grössenordnung 100...200MB runterzuladen, und wenn da nicht grad was kommt startet der erneut.

Am einfachsten findet man solche Übeltäter, indem man das http.log nach dem Begriff "update" durchsucht, und schaut, welche Updates mit dem selben Namen (normalerweise auch immer mit den selben Source/Client IP's) aufgerufen wird. Wenn so ein Download vom selben Client mehrmals auftaucht, würde ich dazu entsprechende Exceptions erstellen, was üblicherweise das Problem dann löst ;o)

Oft hilt es auch schon die Scansize auf eine vernünftige Grösse um 20MB  einzustellen (oder bei kleiner Bandbreite ggf. sogar 10MB). Aber wenn man die Zeit hat, ist eine angepasste Exception dem herabsetzen der Scansize zu bevorzugen...

/Sascha

Danke für den Tipp, leider bringt mich das nicht weiter. 
Ich habe die http.log geöffnet und mal nach File-Size sortiert, die größten Files sind ca. 200-300 MB groß und alle Files zusammengenommen sind gerade mal 800-900 MB groß. Ich hatte gestern aber ein Download von mehreren GB.
Auch finde ich die Quell-Adresse "akamaitechnologies.com" nirgends wieder (außer da wo ich es gestern mal gegoogelt hatte).
Der Traffic ist in der http.log also nicht zu finden, vermutlich wird er mir deswegen auch in dem Flow-Monitor (für das interne Netzwerk) nicht angezeigt und nur im Flow-Monitor für das WAN.

Hallo,

Das geht ganz toll mit der Conosle:
Putty  (Shell Zugriff muss natürlich aktiv sein..)

bitte diese Befehle:

loginuser

su
 eingeben

iftop -i  eth0 

Nun bekommst du eingehenden und ausgehenden Traffic angezeigt. 
Natürlich mit der Aufgeschlüsselten IP-Adresse...
Ist auf den ersten Blick etwas verwirrend, die Pfeile geben die Richtung an und die weißen Balken sollen
wohl die "auslastung visualisieren".

Anstatt eth0 kannst du natürlich die Schnittstelle deiner Wahl eingeben.

Verlassen mit STRG+C

Hier findet Ihr sehr viele nützliche Consolenbefehle(komischer Seitenaufbau.. nicht wundern)
https://valentin-laett.ch/projekte/sophos-utm_tipps.php

Grüße

Hi, danke für den Tipp. Ich kannte mich bislang nicht mit dem Zugriff via Console aus - daher hatte ich etwas gebraucht, bis ich eingeloggt war. [:D]
Ich habe mal getan, was du gesagt hast, allerdings erscheint auch hier keine interne IP-Adresse, nur die externen IP's bzw. Domains werden angezeigt (siehe Screenshot 1). Eigentlich ist das nur eine andere Ansicht für den Flow-Monitor auf gleichen Schnittstelle (siehe Screenshot 2). 
Hat vielleicht noch jemand eine andere Idee für das Problem?! Was kann man sonst noch machen um den Traffic bezogen auf die internen IPs anzuzeigen?

Hallo,

wähle bitte die Schnittstelle aus die sich an das betroffene Netzwerk richtet.
Bei uns ist es eth0 (Firmennetz)... dann siehst du zwar auch traffic der von einem Netz ins andere wandert, aber dafür  die internen Adressen aufgeschlüsselt.

es ist eben nicht die gleiche Ansicht, da hier der Uncallsified Traffic nach Adressen aufgeschlüsselt wird auch jende die von der Protokollierung ausgeschlossen wurden
Im Flow Monitor geht das nur wenn die IP-Adressen in der UTM als Netzwerkhosts hinterlegt wurden. 
(Zumindest ist das mein Wissensstand)

Bitte die Schnittstellen durchprobieren und herausfinden wer den Traffic verursacht.


So wie mir das aussieht hast du direkt die DSL Schnittstelle gewählt.
Richtig ist es wenn links das entfernte Netzwerk steht und rechts die interne IP-Adresse

Gruß

Hallo,

wähle bitte die Schnittstelle aus die sich an das betroffene Netzwerk richtet.
Bei uns ist es eth0 (Firmennetz)... dann siehst du zwar auch traffic der von einem Netz ins andere wandert, aber dafür  die internen Adressen aufgeschlüsselt.

es ist eben nicht die gleiche Ansicht, da hier der Uncallsified Traffic nach Adressen aufgeschlüsselt wird auch jende die von der Protokollierung ausgeschlossen wurden
Im Flow Monitor geht das nur wenn die IP-Adressen in der UTM als Netzwerkhosts hinterlegt wurden. 
(Zumindest ist das mein Wissensstand)

Bitte die Schnittstellen durchprobieren und herausfinden wer den Traffic verursacht.


So wie mir das aussieht hast du direkt die DSL Schnittstelle gewählt.
Richtig ist es wenn links das entfernte Netzwerk steht und rechts die interne IP-Adresse

Gruß

Danke für deine Hilfe. Leider komme ich so immer noch nicht weiter. 
Wenn ich aber die Eth00-Schnittstelle, also für das interne Netz nehme, sehe ich auch nur "normale Downloads oder Internetverkehr", also das was ich sehe, wenn ich den Flow-Monitor auf Eth00 "Ausgehend" aktiviere. Ich habe ja das Problem, dass ich zwischen der Eth00 (internes Netz) und Eth01 (WAN) eine Differenz von 4-5 Mbit/sek. habe -und ich diesen Download nicht ausfindig machen kann. 
Nachfolgend mal der Screenshot von den beiden Netzwerkschnittstellen, zur gleichen Zeit, wo ein Download über WAN (von 4-5 Mbit) erfolgt ist.