Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1060 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Massive Unknown Unaccounted Downloads

MCurrie
Hi, For 3 weeks in a row a client has seen massive downloads http/80 (15Gb+ in 3 hrs on a ADSL2 link) from akamai caches occuring after hours. The downloads seem to occur around the some time and day each week. Astaro SW is 7.011. The data is seen on the daily reports, in the form of the data total, biggest download sources and WAN traffic, but it is not being delivered to the local network as there is no matching flow or proxy data. The client's office is only small and has about 10 pc's and none are on when the download occurs. I have gone thru all the logs with a fine tooth comb to no avail. ARM does not report the data. I have approached akamai, but they cannot help unless I give them firewall logs, but there are none to give them.  Anyone got any ideas, as I am stumped!
Thanks,
Mark Currie


This thread was automatically locked due to age.
Parents
  • 0
    Hi MCurrie, 

    Akamai is a CDN, a Content Distribution Nework, means they serve any kind of download like Microsoft or Apple updates, Streaming Data or Webcast. They are hosted on their data centers around the world. 
    Than you get one URL for the content and depending on where you come from, you get automatically sent to the nearest Data center to guarantee a fast download.

    There are two ways how to identify the internal IP address that actually creates the traffic. 

    1) HTTP Proxy disabled.
    In this case, the http traffic is allowed using a packet filter rule. 
    Please create a new packet filter rule that allows HTTP traffic (src: Internal Network, svc: HTTP, dst: Any action: Allow), move it to position 1 of the ruleset and enable logging for that rule.
    Than the packet filter.log will show you the internal ip address of the system that creates  connection to these ip addresses. 
    You than should check this client. 

    2) If the HTTP Proxy is enabled, 
    you can take a look at the http proxy log files or better, the integrated Web Security Reporting. THere you should see the akamai domain in the Top Domains list if you sort it by traffic. 
    If you know the domain, just cut'n'paste it and select the Report 'Top Clients by Domain' and paste the domain there. 
    Than you get all clients that accessed this domain and you can sort it by traffic.

    This way you get either the ip adress or the username (if you have authentication enabled) of the systems that create traffic. 

    I hope this helps you to find out who creates these bandwidth.

    best regards
    Gert
Reply
  • 0
    Hi MCurrie, 

    Akamai is a CDN, a Content Distribution Nework, means they serve any kind of download like Microsoft or Apple updates, Streaming Data or Webcast. They are hosted on their data centers around the world. 
    Than you get one URL for the content and depending on where you come from, you get automatically sent to the nearest Data center to guarantee a fast download.

    There are two ways how to identify the internal IP address that actually creates the traffic. 

    1) HTTP Proxy disabled.
    In this case, the http traffic is allowed using a packet filter rule. 
    Please create a new packet filter rule that allows HTTP traffic (src: Internal Network, svc: HTTP, dst: Any action: Allow), move it to position 1 of the ruleset and enable logging for that rule.
    Than the packet filter.log will show you the internal ip address of the system that creates  connection to these ip addresses. 
    You than should check this client. 

    2) If the HTTP Proxy is enabled, 
    you can take a look at the http proxy log files or better, the integrated Web Security Reporting. THere you should see the akamai domain in the Top Domains list if you sort it by traffic. 
    If you know the domain, just cut'n'paste it and select the Report 'Top Clients by Domain' and paste the domain there. 
    Than you get all clients that accessed this domain and you can sort it by traffic.

    This way you get either the ip adress or the username (if you have authentication enabled) of the systems that create traffic. 

    I hope this helps you to find out who creates these bandwidth.

    best regards
    Gert
Children
No Data