Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 5633 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Interesting Traffic on WAN Interface...

mrwebguy
Got a call from the site tonight telling me that they were having issues with their credit card server timing out.  The site has a T1 connection and there was virtually no traffic except point of sale traffic at the site when they contacted me. I looked at the "Network Usage" graphs under reporting and saw strange anomalies; or at least what I perceive to be anomalies.  There is essentially no traffic on the LAN interface and no real discernible outbound traffic on the WAN interface, but there is this strange blip on the Inbound side of the WAN interface.  I remoted into the server and checked on things and it was painfully slow to connect through our remote interface during this traffic storm.  In checking logs, I found that there seems to be a pattern to the traffic.  It lasts about the same time and seems to occur at about the same intervals.  I was watching the WAN interface traffic during the last occurence and there was virtually nothing happening -- in fact, the location is closed at the moment --  and the interface is spiked on the inbound and nothing is happening.

I have attached screenshots of the graphs and I'm looking for maybe some direction on where to look in the logs to find this traffic and determine where it's coming from.

Any insight you can provide would be great.

Thanks in advance,
Joe J


This thread was automatically locked due to age.
Parents
  • 0
    One last shot to attempt information gathering.  In WebAdmin>>Network Security>>Packet Filter>>Advanced Tab, click on start Traffic Monitor.  Then you can click on the interface "bars" on the dashboard to get some information on current traffic passing through.  You can also get this information if you get away from the WebAdmin Gui.  There is a tool for viewing traffic from the shell in real time.  This would get you some info, next time the event occurs.  Iftop.  


    Other than this, since your not seeing anything that makes sense in the various reporting sections/logs, it may be time to open up a support ticket.  Either way, please post back.
  • 0 in reply to Scott_Klassen
    I put in a ticket with a summary and referencing this thread so they can see what we have already gone through for testing.  I will report back after we find out the issue.  Thanks!
  • 0 in reply to mrwebguy
    Just to wrap up this thread...

    The support engineer found that it was the Google Pack trying to phone home and update itself.  We added an exception for it and the crazy slow down and graphic log patterns went away. I have since moved that exception to all of our firewalls (5xASG120s)

    Amazing that something as simple as the update engine pounding the firewall could all but shut down the network throughput. 

    Thanks for the assistance!

    Joe J
Reply
  • 0 in reply to mrwebguy
    Just to wrap up this thread...

    The support engineer found that it was the Google Pack trying to phone home and update itself.  We added an exception for it and the crazy slow down and graphic log patterns went away. I have since moved that exception to all of our firewalls (5xASG120s)

    Amazing that something as simple as the update engine pounding the firewall could all but shut down the network throughput. 

    Thanks for the assistance!

    Joe J
Children
No Data