Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 5633 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Interesting Traffic on WAN Interface...

mrwebguy
Got a call from the site tonight telling me that they were having issues with their credit card server timing out.  The site has a T1 connection and there was virtually no traffic except point of sale traffic at the site when they contacted me. I looked at the "Network Usage" graphs under reporting and saw strange anomalies; or at least what I perceive to be anomalies.  There is essentially no traffic on the LAN interface and no real discernible outbound traffic on the WAN interface, but there is this strange blip on the Inbound side of the WAN interface.  I remoted into the server and checked on things and it was painfully slow to connect through our remote interface during this traffic storm.  In checking logs, I found that there seems to be a pattern to the traffic.  It lasts about the same time and seems to occur at about the same intervals.  I was watching the WAN interface traffic during the last occurence and there was virtually nothing happening -- in fact, the location is closed at the moment --  and the interface is spiked on the inbound and nothing is happening.

I have attached screenshots of the graphs and I'm looking for maybe some direction on where to look in the logs to find this traffic and determine where it's coming from.

Any insight you can provide would be great.

Thanks in advance,
Joe J


This thread was automatically locked due to age.
Parents
  • 0
    Now that we know it's port 80, you should be able to get more details from the web security section of reporting.  You'll also want to get the remote ip address for this traffic.  You can do a little information gathering on it (nslookup, whois, etc) to try and figure out what it is.  Since this is happening at regular intervals, if you are actively monitoring the situation, it wouldn't hurt to open up the web proxy live log to see what's happening while this traffic is taking place.

    BTW, what version of Astaro are you running?
Reply
  • 0
    Now that we know it's port 80, you should be able to get more details from the web security section of reporting.  You'll also want to get the remote ip address for this traffic.  You can do a little information gathering on it (nslookup, whois, etc) to try and figure out what it is.  Since this is happening at regular intervals, if you are actively monitoring the situation, it wouldn't hurt to open up the web proxy live log to see what's happening while this traffic is taking place.

    BTW, what version of Astaro are you running?
Children
  • 0 in reply to Scott_Klassen
    Now that we know it's port 80, you should be able to get more details from the web security section of reporting.  You'll also want to get the remote ip address for this traffic.  You can do a little information gathering on it (nslookup, whois, etc) to try and figure out what it is.  Since this is happening at regular intervals, if you are actively monitoring the situation, it wouldn't hurt to open up the web proxy live log to see what's happening while this traffic is taking place.

    BTW, what version of Astaro are you running?


    I'm running 8.103.

    Here's what's kind of odd. I'm seeing one of theses traffic spikes right now and have been watching the live web proxy and am only seeing some Teamviewer keep-alive traffic on our arcade POS servers so the vendor can get into it.  

    Another concerning element to me is that it's showing on the inbound side of the WAN interface but I'm not seeing that traffic transfer to either of the internal network interfaces.  

    With that said, I can't pick up a specific IP that's causing the traffic.

    Thanks Scott for the assistance thus far.

    Thanks,
    Joe J