Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2817 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Urgent help needed on bandwidth reporting

ZenecadE
Hi all.  
I'm running a 3G connection for internet.  When I got home, to my shock and horror I had found that I have reached my 10 gig cap in 1 day!  when I look at the network usage report, it shows that the WAN interface moved 10 gigs over HTTP.  The thing I don't understand is that all my computers were turned off before I left home this morning.  I had no torrents running, did no updates or anything.  How can I see what used up my bandwidth?  The app monitor shows nothing out of the ordinary and as can be seen on the supplied screenshot, the connected clients don't show the heavy usage.  What could possibly have eaten up all my bandwidth?


This thread was automatically locked due to age.
  • 0
    Try changing the report to Top Servers and Top Services, see what it shows for those.
  • 0 in reply to ReD-MaN
    I did that and 2 IP's show up with about all the traffic going to them.  They are 165.165.47.33 and 165.165.47.26.  akamai-ip33.telkom-ipnet.co.za appears next to one of those IP's.  Below is a whois to the first IP.  I don't understand what is happening to my bandwidth and 3G is so expensive [:(]

    # The following results may also be obtained via:
    http://whois.arin.net/rest/nets;q=165.165.47.33?showDetails=true&showARIN=false&ext=netref2
    #

    NetRange:       165.165.0.0 - 165.165.255.255
    CIDR:           165.165.0.0/16
    OriginAS:
    NetName:        AFRINIC-165-165-0-0
    NetHandle:      NET-165-165-0-0-1
    Parent:         NET-165-0-0-0-0
    NetType:        Transferred to AfriNIC
    Comment:        This IP address range is under AFRINIC responsibility.
    Comment:        Please see AFRINIC - Welcome for further details,
    Comment:        or check the WHOIS server located at whois.afrinic.net.
    RegDate:        2005-02-21
    Updated:        2005-02-21
    Ref:            http://whois.arin.net/rest/net/NET-165-165-0-0-1

    OrgName:        African Network Information Center
    OrgId:          AFRINIC
    Address:        Level 11ABC
    Address:        Raffles Tower
    Address:        Lot 19, Cybercity
    City:           Ebene
    StateProv:
    PostalCode:
    Country:        MU
    RegDate:        2004-05-17
    Updated:        2010-06-28
    Comment:        AfriNIC - AFRINIC - Welcome
    Comment:        The African & Indian Ocean Internet Registry
    Ref:            http://whois.arin.net/rest/org/AFRINIC

    ReferralServer: whois://whois.afrinic.net:43

    OrgTechHandle: GENER11-ARIN
    OrgTechName:   Generic POC
    OrgTechPhone:  +230 4666616
    OrgTechEmail:  abusepoc@afrinic.net
    OrgTechRef:    http://whois.arin.net/rest/poc/GENER11-ARIN

    OrgAbuseHandle: GENER11-ARIN
    OrgAbuseName:   Generic POC
    OrgAbusePhone:  +230 4666616
    OrgAbuseEmail:  abusepoc@afrinic.net
    OrgAbuseRef:    http://whois.arin.net/rest/poc/GENER11-ARIN


    #
    # ARIN WHOIS data and services are subject to the Terms of Use
    # available at: https://www.arin.net/whois_tou.htm
  • 0
    Does anybody know if Sophos make use of akamai technologies for up2date? I ask as it was only the UTM that was connected from 7:30AM.  All other machines were turned off from then.
  • 0 in reply to ZenecadE
    Hi,
    what version of UTM are you running?
    Do you have any rules like this
    any -> any (port) -> any -> allow?

    If you are running the beta version, yes it has bug, otherwise you have a configuration issue.

    Ian
  • 0
    I'm running v9.106-17.

    If the traffic above was designated to one of the internal machines, wouldn't it show the destination?  Seeing it all going to the WAN interface is all well and dandy but I'd expect it to be going somewhere.

    Either way, I have logged a query with my ISP as I find it rather fishy that the above only happens with a specific SIM card.  The first half of the month another SIM card was used in the modem.  The above mentioned traffic does not show up for the time period that that SIM card was being used.

    At the end of the day, I don't expect my ISP to refund the data so I have gone through every setting and page and enabled every logging option I could find in the hope that I can get to the bottom of this.
  • 0
    I've heard of this with broken downloads that the UTM just keeps trying and trying.  Do you see anything strange in the Up2Date messages log?  What about the 'Bandwidth Usage' report - what was the "Top Application" that day?

    Cheers - Bob
  • 0
    Under Top Application usage it shows HTTP.  My up2date logs are clean with no errors and the update checks are set to daily for definitions and monthly for firmware updates.

    I have been going through each machine with a fine comb and I 'think' I have found the problem.  As soon as I enabled DNS on my mediacenter, the bandwidth usage skyrocketed.  Akamai* started showing up in top servers again so I opened up the Resource monitor on the mediacenter and had a look at the network section.  To my utter surprise, there was akamai* tied to daemonu.exe which is part of the nvidia updater.  After killing the process, network usage died down.

    I don't understand why the firewall reports that all the traffic is to the WAN interface but doesn't list the bandwidth usage under the IP of the mediacenter when that seems to be the guilty culprit.  I would expect to be able to find that information somewhere in the form of source (internet) to destination (local workstation) rather than it just showing WAN. (if that makes any sense)

    As a precautionary measure, I disabled the nvidia updater and added a Windows Firewall rule to completely block daemonu.exe. 

    It is saddening though as I can see that the problem is on my side and not the ISP so there is no way I will get my bandwidth topped up till the new month.
  • 0
    The other thing you can do is skip the proxy for those URLs.  When the UTM proxies traffic, its IPs appear as the client or server.  I think you'll find other threads here where an updating service hammered a UTM in the same fashion. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.