Exploding Traffic

Try and install a network sniffer in your internal network to find the source for the traffic. If you enabled network accouning, you might be able to see the source in there.

I activated network accounting and the this months count is showing up with 1958 MB that would be ok. Thats a number that makes sense. i installed a network sniffer, bu the one i used showes only my own traffic. we have a dmz, and an internal network connected to the firewall, where should i install the network sniffer. 
in the network-reprot, the maximum inbound/outbound on the internet-interface (eth0) ist showen with 44M. a jump to this level comes regularly every day at about 10 am in DMZ(eth1), LAN (eth2) and Internet (eth0). our internet connecion is only a 2,3 mbit. so how does the level rech 44M

Strange, I too, got exploding traffic, but that was last week. I found some weasels had r00ted my sun box. I also see that they came in as "admin" and the only place that has that account name is on my ASL box....

Anyway, your sniffer has to go on your No-Man's LAN (usually a wire between your border router and your fw but you can break it out to a hub) or you can put it immediately on the inside of your fw. Make sure the fw and sniffer are on a hub, not a switch. I recommend ethereal.

[ QUOTE ]
Help! Whats going wron, i just called my Provider and they told me, that i produced  54 gb of traffic last week. Normaly we produce 5 gb in a whole month. my traffic is showen in the network-report whith 400 k inbound an 402 k outbound AVERAGE! ...nerver under 150. Even from 6 pm to 8 am, wehen nobody is at work and nobody uses any internet connections. PLEASE HELP!! 

[/ QUOTE ]

Almost every time we've seen this the cause has been one or more computers inside the network that's infected with some form of spyware or a virus or worm.  An accounting report may help, but depending on the size, topology, and operating systems on your internal network you may be well-served to start doing internal sweeps for spyware, etc.

-Steve

ok, i´m checking all machines. i just watched tcpdump a while and got hundrets of ServFail (45). I deleted the dns-proxy forwarder an now everything seems to work fine. my inbound and outbound on eth0 is now heading to 0. could the dns proxy setting produce such al lot of traffic?

[ QUOTE ]
ok, i´m checking all machines. i just watched tcpdump a while and got hundrets of ServFail (45). I deleted the dns-proxy forwarder an now everything seems to work fine. my inbound and outbound on eth0 is now heading to 0. could the dns proxy setting produce such al lot of traffic? 

[/ QUOTE ]

I've seen some weirdness when the DNS Proxy can't resolve correctly, usually due to the target DNS server being unavailable somehow or suffering performance problems.  If you deleted the forwarder, what you're doing is resolving to the Internet root servers, which is perfectly fine and often preferred if your ISP's DNS servers are troublesome.  We often end up doing that for customers who use Worldcom, because the Worldcom DNS servers are bad news (here on the U.S. East Coast, anyway).  So, I definitely wouldn't rule out DNS troubles as a potential culprit here.

Never a dull day, eh?

-Steve

I've had major traffic issues when my internal Windows DNS server has been set to look at ASL's proxy for name resolutions it can't find.  Unsure why, but one weekend I did this and maxed my 2mbit connect for the whole weekend costing us about $1200

Cruton, is your provider able to give you some info or stats about the traffic - http, ftp, smtp, whatever .. ?

I have got the stats out of my Astaro and it showed 27 GB DNS outbound and 22 GB DNS inbound for August!!! After stopping the callout funciton of the smtp proxy everything is normal now. Our provider seems to have problems to resolve several domains ending up in ServFail. Astaro is not able to stop asking for such domains after a adjustable number of retries. So this is a problem of astaro too. If this is not going to be fixed one cannot use the callout function of the smtp proxy because it may cost lots of money.

You sure that's the issue?  I had same thing happen but it was traffic from internal DNS server -> ASL DNS Proxy -> ISP DNS (And back)