Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.002][bug]P2P/IM Top Clients

When I look at my executive report, I am seeing as top protocol P2P client ares with 6 connections.  And the client IP is that of our DNS server.  Does that mean a P2Pprogram is passing through that DNS address or does that mean there is a P2P program installed on the machine?  I check for any instances of it on the server, and there is none to be found.  Or is the P2P traffic simply passing through our DNS server?  How do we find the exact transmission of the source?


This thread was automatically locked due to age.
Parents
  • Hi All

    on my executive report today I've noticed that on my top 10 P2P networks, I had connection from gnutella. However, I am not using any p2p protocl at the moment. Please see image attached

    Thanks
  • As i stated above, we need a special packet capture to find out what the classifier is really seeing. To enable this, you need to 

    • un-comment the PLUGIN_DEBUG and DUMP_PCAP lines in[FONT="Courier New"] /var/mdw/scripts/afc
    [/FONT]
    • restart the daemon (on the console do a [FONT="Courier New"]/var/mdw/scripts/afc restart
    [/FONT])
    • do some network traffic related to imp2p


    After that you need to send us the pcap file, the logs and your settings, ie. these files:

    • /tmp/afcd.pcap
    • /var/log/afc.log
    • /var/chroot-afc/etc/imfirewall/LanMonitor.cfg


    Since we are currently switching the responsibility over to the support, i'll try to get you a contact from the support team to take over this thread.
Reply
  • As i stated above, we need a special packet capture to find out what the classifier is really seeing. To enable this, you need to 

    • un-comment the PLUGIN_DEBUG and DUMP_PCAP lines in[FONT="Courier New"] /var/mdw/scripts/afc
    [/FONT]
    • restart the daemon (on the console do a [FONT="Courier New"]/var/mdw/scripts/afc restart
    [/FONT])
    • do some network traffic related to imp2p


    After that you need to send us the pcap file, the logs and your settings, ie. these files:

    • /tmp/afcd.pcap
    • /var/log/afc.log
    • /var/chroot-afc/etc/imfirewall/LanMonitor.cfg


    Since we are currently switching the responsibility over to the support, i'll try to get you a contact from the support team to take over this thread.
Children
No Data