Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3494 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange Traffic

Raggamax
I Have a little Problem with a my Astaro SG120 (V5.x)
I can see traffic peaks on the external interface (eth1) that come repeatedly every full hour and last for about 20 Minutes. Thhis traffic takes almost all of the available bandwith and i have no idea what it is. i have a daily traffic volume of abou 5GB a day where i had about 500MB before.  I am not able to trace what kind of traffic it is and where it comes from. 

The only ports i have opened are 80/443 for a webserver and 25 for Mail. But this is not the cause of the traffic. Otherwise i would see something in the packetfilter logs i guess...

Could anybody give me a hint how i could find out where this traffic comes from? Any help and ideas would be appreciated...


This thread was automatically locked due to age.
  • 0
    It would show up in the PF logs if it were something you DON'T allow.
    If it's not showing up as blocked, it could be http worms or mail spam.

    Do you have network accounting setup? Look at it.

    Barry
  • 0 in reply to BarryG
    I have an Accounting Setup but it does not show anything at all :-(

    By the way you my first post has an attachment where you can see the graphs of my box...
  • 0 in reply to Raggamax
    the attachment only seems to show your INT interface, and ASL's loopback which shouldn't be relevant to this problem.

    I'd recommend getting accounting working.

    Barry
  • 0 in reply to BarryG
    To see allowed traffic in the packetfilter log you would need to set loging for the specific rules (it's the icon between the "Comment" column).
    But I also recommend to use the accounting. Because by using the packetfilter log you would get tons of logings which are hard to analyze.

    Xeno
  • 0 in reply to Xeno
    Another option since it is happening at regular times would be to put a machine with Ethereal (or other packet capture tool) on the external network to see what is going on. Since you know when it's happening, you wouldn't have a huge packet capture log to sift through.
  • 0 in reply to doug_p
    Thanks for your hints so far...

    i turned accounting on  now and got the following information:

    All queried networks  . . . . . . . . . . . . 100% (28895 MB)
    ::     |-213.155.xxx.xxx/255.255.255.255 . . . . . .  99% (28665 MB)
    ::     |  |-incoming  . . . . . . . . . . . . . . .  95% (27630 MB)
    ::     |  |  |-tcp  . . . . . . . . . . . . . . . .  95% (27618 MB)
    ::     |  |  |  |-http  . . . . . . . . . . . . . .  95% (27486 MB)
    ::     |  |  |  `-https . . . . . . . . . . . . . .   0% (109 MB)
    ::     |  |  `-udp  . . . . . . . . . . . . . . . .   0% (11 MB)
    ::     |  |     |-domain  . . . . . . . . . . . . .   0% (5739 kB)
    ::     |  |     |-ipsec-msft  . . . . . . . . . . .   0% (5658 kB)
    ::     |  |     `-ntp . . . . . . . . . . . . . . .   0% (45 kB)
    ::     |  `-outgoing  . . . . . . . . . . . . . . .   3% (1035 MB)
    ::     |     |-tcp  . . . . . . . . . . . . . . . .   3% (1022 MB)
    ::     |     |  |-http  . . . . . . . . . . . . . .   2% (787 MB)
    ::     |     |  |-smtp  . . . . . . . . . . . . . .   0% (139 MB)
    ::     |     |  |-https . . . . . . . . . . . . . .   0% (60 MB)
    ::     |     |  |-imap  . . . . . . . . . . . . . .   0% (24 MB)
    ::     |     |  `-x11 . . . . . . . . . . . . . . .   0% (4582 kB)
    ::     |     |-udp  . . . . . . . . . . . . . . . .   0% (12 MB)
    ::     |     |  |-ipsec-msft  . . . . . . . . . . .   0% (10202 kB)
    ::     |     |  |-domain  . . . . . . . . . . . . .   0% (1655 kB)
    ::     |     |  `-ntp . . . . . . . . . . . . . . .   0% (65 kB)
    ::     |     `-icmp . . . . . . . . . . . . . . . .   0% (24 kB)
    ::     `-213.155.xxx.xxx/255.255.255.255 . . . . . .   0% (179 MB)
    ::        |-outgoing  . . . . . . . . . . . . . . .   0% (99 MB)
    ::        |  |-tcp  . . . . . . . . . . . . . . . .   0% (99 MB)
    ::        |  |  |-https . . . . . . . . . . . . . .   0% (49 MB)
    ::        |  |  |-http  . . . . . . . . . . . . . .   0% (47 MB)
    ::        |  |  `-smtp  . . . . . . . . . . . . . .   0% (3457 kB)
    ::        |  `-icmp . . . . . . . . . . . . . . . .   0% (1307 Bytes)
    ::        `-incoming  . . . . . . . . . . . . . . .   0% (79 MB)
    ::           |-tcp  . . . . . . . . . . . . . . . .   0% (79 MB)
    ::           |  |-smtp  . . . . . . . . . . . . . .   0% (64 MB)
    ::           |  |-http  . . . . . . . . . . . . . .   0% (10 MB)
    ::           |  |-https . . . . . . . . . . . . . .   0% (4734 kB)
    ::           |  `-microsoft-ds  . . . . . . . . . .   0% (52 kB)
    ::           `-udp  . . . . . . . . . . . . . . . .   0% (43 kB)
    ::              |-cap . . . . . . . . . . . . . . .   0% (21 kB)
    ::              |-turbonote-2 . . . . . . . . . . .   0% (1191 Bytes)
    ::              |-netbios-ns  . . . . . . . . . . .   0% (1014 Bytes)
    ::              |-ms-sql-m  . . . . . . . . . . . .   0% (808 Bytes)
    ::              |-unknown (34509->1027/udp) . . . .   0% (794 Bytes)
    ::              |-unknown (32987->1027/udp) . . . .   0% (794 Bytes)
    ::              |-unknown (13602->34977/udp)  . . .   0% (656 Bytes)
    ::              |-unknown (13568->41422/udp)  . . .   0% (656 Bytes)
    ::              |-unknown (13405->41701/udp)  . . .   0% (656 Bytes)
    ::              |-unknown (51671->1027/udp) . . . .   0% (499 Bytes)
    ::              |-unknown (51616->1027/udp) . . . .   0% (499 Bytes)
    ::              |-unknown (34845->1027/udp) . . . .   0% (454 Bytes)
    ::              `-sdproxy . . . . . . . . . . . . .   0% (404 Bytes)


    This means that incoming http is cauisng the traffic. But to be honest i don't know what this means :-(

    Is this the traffic people are causing by surfing the web or is this the traffic caused by people visiting my webserver behind the astaro box?

    How can such a huge amount of traffic be caused just by http?
  • 0 in reply to Raggamax
    [ QUOTE ]
     Is this the traffic people are causing by surfing the web or is this the traffic caused by people visiting my webserver behind the astaro box? 

    [/ QUOTE ] 
    I can't tell as I don't know how your network is set up.
    Do you have a separate DMZ, or is your web server on the INT network?

    Either way, you could add a separate accounting rule for the server.

    Is one of the IPs your server, or are those both your EXT addresses?

    Have you looked at the HTTPd logs on the server?

    Are you using ASLs proxy for your internal clients?
    If so, have you looked at the proxy log?

    You also have a good amount of mail traffic. How many users do you have?

    Is it possible you have machines that are trying to download updates every hour or something like that?

    Barry
  • 0 in reply to BarryG
    It's from users surfing the web. Not from your webserver.
    Reasons can be:

    - Filesharing (but then outgoing traffic should be also high)
    - Webradio
    - Also it's possible that an automatic update script or something like that is not able to handle the way Astaro processes downloads and so gets an error and tries to download again and again. This might result in a lot of traffic.

    Maybe best would be to start have a look into the proxy log, if the proxy is used. Otherwise use tcpdump or iftop (which is not on the firewall by default) to locate the source of the traffic.
    Or just set an Accept Rule for that traffic which is set to log and which is on the first position (does not work, if traffic is caused by proxy).

    Xeno
  • 0 in reply to Xeno
    At first i like to thank every body that helped me on this one...

    Yesteday i found the solution and wanted to know you what it was:

    On one server behind the astaro box is running trend micro server protect. It was set up to update signatures and scan engine on a hourly basis and exactly as assumed by xeno the update routine did not work togehter with the astaro firewall.

    I switched it to use socks proxy and now everything works just fine and traffic is back to normal.

    Thanx everybody....
  • 0 in reply to Xeno
    At first i like to thank every body that helped me on this one...

    Yesteday i found the solution and wanted to let you know what it was:

    On one server behind the astaro box is running trend micro server protect. It was set up to update signatures and scan engine on a hourly basis and exactly as assumed by xeno the update routine did not work togehter with the astaro firewall.

    I switched it to use socks proxy and now everything works just fine and traffic is back to normal.

    Thanx everybody....