Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1405 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Figuring Out a Client'sOutbound HTTP Traffic

SouperGrover
Hi All,

Yesterday, I had a client whose outbound HTTP traffic was over 300MB according to the Top Services By Client report. When I look at Top Applications by Client is shows that 250MB of outbound traffic were to Rapleaf. After researching, it seems they are a major player in the web user tracking and selling info game. I have isolated the time window based on a few other reports. Also, we screen capture all of our clients, so I was able to go back and replay her desktop session during this time, and the only thing of note she had open was a page from 123greetings.com. As expected, during this window there was lots of download traffic for all of the embedded video ads and content. But how do I track where the HTTP outbound traffic was going? My gut tells me that the Radleaf classification is not correct. When I look at the server oriented reports, they all show total bandwidth and don't break it down by in and out. Any ideas?

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Sounds like you might want to go to the 'Websites' tab in 'Filtering Options' to override the categorization for Rapleaf.  I would also inform 123greetings.com and suggest a change at TrustedSource / XL.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Sounds like you might want to go to the 'Websites' tab in 'Filtering Options' to override the categorization for Rapleaf.  I would also inform 123greetings.com and suggest a change at TrustedSource / XL.

    Cheers - Bob


    Yes, that's a valid solution for this particular instance. But, what about something like this:

    3 clients each show 100MB HTTP upload on the above report. When you look at a report of servers, none of the servers show 100MB of traffic. In fact, you might see 10 servers with HTTP traffic ranging between 5 - 10 MB each. There is no wy to correlate which client went to which server that I can find. And, even if you do see a server who had 100MB of HTTP traffic sent to it, there is no way to prove which clients sent it the information. Do you know of a way to get this info?
Reply
  • 0 in reply to BAlfson
    Sounds like you might want to go to the 'Websites' tab in 'Filtering Options' to override the categorization for Rapleaf.  I would also inform 123greetings.com and suggest a change at TrustedSource / XL.

    Cheers - Bob


    Yes, that's a valid solution for this particular instance. But, what about something like this:

    3 clients each show 100MB HTTP upload on the above report. When you look at a report of servers, none of the servers show 100MB of traffic. In fact, you might see 10 servers with HTTP traffic ranging between 5 - 10 MB each. There is no wy to correlate which client went to which server that I can find. And, even if you do see a server who had 100MB of HTTP traffic sent to it, there is no way to prove which clients sent it the information. Do you know of a way to get this info?
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?