Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 5633 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Interesting Traffic on WAN Interface...

mrwebguy
Got a call from the site tonight telling me that they were having issues with their credit card server timing out.  The site has a T1 connection and there was virtually no traffic except point of sale traffic at the site when they contacted me. I looked at the "Network Usage" graphs under reporting and saw strange anomalies; or at least what I perceive to be anomalies.  There is essentially no traffic on the LAN interface and no real discernible outbound traffic on the WAN interface, but there is this strange blip on the Inbound side of the WAN interface.  I remoted into the server and checked on things and it was painfully slow to connect through our remote interface during this traffic storm.  In checking logs, I found that there seems to be a pattern to the traffic.  It lasts about the same time and seems to occur at about the same intervals.  I was watching the WAN interface traffic during the last occurence and there was virtually nothing happening -- in fact, the location is closed at the moment --  and the interface is spiked on the inbound and nothing is happening.

I have attached screenshots of the graphs and I'm looking for maybe some direction on where to look in the logs to find this traffic and determine where it's coming from.

Any insight you can provide would be great.

Thanks in advance,
Joe J


This thread was automatically locked due to age.
Parents
  • 0
    Anything in Reporting>>Web Security>>Web Usage Tab>>Top Users?  Also, Reporting>>Network Usage>>Accounting Tab reports.  Notice that with these reports, you can click on the host, or ip address, or service (depending on which report), to get more info. Check the Packet Filter live log too, since this is happening right now.

    We're trying to get an ip address for the remote host.
Reply
  • 0
    Anything in Reporting>>Web Security>>Web Usage Tab>>Top Users?  Also, Reporting>>Network Usage>>Accounting Tab reports.  Notice that with these reports, you can click on the host, or ip address, or service (depending on which report), to get more info. Check the Packet Filter live log too, since this is happening right now.

    We're trying to get an ip address for the remote host.
Children
  • 0 in reply to Scott_Klassen
    Reporting>>Network Usage>>Accounting Tab yields the External WAN IP address as the "top client".  "Top Server" comes back as a Google IP (74.125.212.114) But it's still 6x less than this total I'm seeing.  The External WAN IP comes in at the #6 position with over 20,000 connections and the next closest is in the 120 connection range.. Top Services shows HTTP still being the highest traffic but strangely it's on the outbound side and not inbound like the graphs would suggest.

    Packet Filter Live is uneventful.  I turned on logging of Web Surfing traffic and there is quite a bit of SSL traffic from the expected places, based on what we do, but the traffic wasn't ridiculous for the time of day.  

    Total Traffic when I add it by hand from Web Security Top Users comes to 838.69MB but the http traffic for the day so far is 4.5GB.  Huge mismatch.

    Does any of that make sense to you?  I checked 3 of our other locations and we're not seeing traffic skewed like this; and certainly don't have these regular and explainable spikes.