Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2435 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Crazy traffic every day at 10am

Astaronator
So every day at 10:30-10:35am we're reporting our full bandwidth usage up to 10Mb/s. I ran tcpdump and captured all of the traffic from 9:59-10:36am (complete packets).

Looking at the traffic in Wireshark I found that at this time the most common IP address I could find. 

I made a packet rule to:
any > any > badIP = drop 
and 
badIP > any > any = drop. 
Both set to log traffic. 

I'm still getting usage spikes. Going to run another tcpdumpp today to figure out if it's the same IP, but I'm not finding that IP in any packet filter logs. Did I do something wrong? I would assume that by setting it to "log traffic" I would see the violations in the packet filter logs.

Thanks for any help


This thread was automatically locked due to age.
  • 0
    It's been a long winter, you guys up in Northern Canada are lookin' for any excuse for a party - eh, Kingbuzzo? [;)]

    Astaronator, you said you made a rule 'badIP > any > any = drop'.  If the packets you want to drop are ones that came from IPs outside your network, then this rule won't work.  You need to have one like 'badIP > any > External (Address) = drop' instead.

    Still, that won't stop them from filling your pipe.  It sounds like you have enough evidence to submit an abuse report to their ISP, but if it's from China, you probably won't have any luck.  Your best bet may be to ask your ISP to null-route them for you so that they never get into your pipe.

    Cheers - Bob
  • 0
    If you don't mind to do it unofficial way, use:

    iptables -I AUTO_INPUT -i eth1 -p all -s BAD_IP -j DROP

    I have experienced some port scan daily before. This is what I do.
  • 0
    Hsinan, can you explain that command for us?  I mean, what do the parameters mean?

    Thanks! - Bob
  • 0
    If you look at "iptables" closely in Astaro, this can be done in terminal, which is un-official support as Astaro already said that.

    iptables -I AUTO_INPUT -i eth1 -p all -s BAD_IP -j DROP
    --> This means all incoming access from BAD_IP will be blocked for all protocals.

    To remove it, you can do:
    iptables -D AUTO_INPUT 1
    --> This means remove the top #1 blocked IP. Note, I assume the top#1 is the BAD_IP here. 

    To understand and do this way, you need to know Linux "iptables" command.
  • 0
    Thanks, Hsinan,

    OK, I think you achieve the same thing inside WebAdmin with a packet filter rule:

    Internet -> Any -> External (Address) : Drop


    "Anything from the outside world that was sent to the External interface is dropped."  In essence, using the "Interface (Address)" object (instead of a Host definition with an IP) means selecting all packets that enter the FORWARD chain.  Is that the same thing?

    Cheers - Bob
  • 0
    Hi Bob,

    Yes, but using command lines for me is much faster way although it's a hack way.
    That's why I asked for a "blacklist" feature in Astaro. Users just need to add/delete the bad IP address, that's it.

    Hsinan