Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 6671 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

What is this HUGE daily traffic?

rahman
Hi, 
I am seeing very huge trafic on network usage reports:

TOP ----------- IP---------- SERVER NAME-------CONNECTIONS -----TOTAL
1  ------- 79.***.***.2------- aaa.example.com-------1 658 092------ 39.6 GB

its my EXTERNAL ip of astaro and host name of astaro.

What the hell is this traffic? Last 7 days 242.1 GB traffic made by astaro. Can anybody explain me what exacly this traffic is?


This thread was automatically locked due to age.
  • 0
    Right, like Barry said, turning the web proxy off won't reduce the internet traffic perceptibly.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks, I understand now. But it is easy to misunderstand the report as there is also individual users proxy traffics are shown. And at the bottom there is a "total traffic" section which is misleading also. When you look ttal traffic you say "ah 100 gb daily" but its not true as the proxy traffic counted twice, one for external ip and ane of the sum of all individual users [:)]

    Thanks anyways
  • 0
    Hi.. 

    But Astaro wan traffic should not show in Topl 10 clients, because astaro is not a client, than why its is showing in top ten clients.
    its confused so much, because it's mean astaro using internet bandwidth or astaro sending data some where else.
  • 0 in reply to vivekrajput
    Hi.. 

    But Astaro wan traffic should not show in Topl 10 clients, because astaro is not a client, than why its is showing in top ten clients.
    its confused so much, because it's mean astaro using internet bandwidth or astaro sending data some where else.


    Indeed..

    I turned off the transparent proxy over the weekend which meant machines accessing web were just using NAT.. -the reports were perfect, showed exactly who used what traffic and none shown as used by the gateway itself..

    Unfortunately i cant work like this normally though as we need the filter rules offered by the web proxy...

    I think they really should find a way so that proxy'd traffic gets logged properly [:(]
  • 0
    What questions can't be answered by using the 'Accounting' tab of 'Reporting >> Network Security' or 'Web Usage' in 'Web Security'?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    well for example, last saturday 2-october-2010:

    transparant proxy is on, you can see the majority of traffic (3.3GB) is the top line, and this is against the ASG 220 itself:



    you can also see this is all port80 traffic:



    and it's all in google owned IP ranges:



    so presumably it's youtube/google video etc...

    but who on the inside is doing this? - all you can see is it is done by the ASG220 itself (unless the web proxy is off)..
    I dont see anyway to see who internally was using this traffic at the weekend...!??

    Mark
  • 0
    Those questions can be answered in the 'Reporting >> Web Security' section.  Also, in 'Accounting' above, try 'Top clients by service' on port 8080.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Those questions can be answered in the 'Reporting >> Web Security' section.  Also, in 'Accounting' above, try 'Top clients by service' on port 8080.

    Cheers - Bob


    Web security does not show what happened - presumably as the traffic and duration accounted here is based on http requests - but if for instance video is streamed over port 80 it wouldn't show. - if you see this report it doesnt account for the 3.3GB used:



    Clients by service for port 80 shows all the use as the ASG220 so doesn't revel anything:



    Port 8080 barely shows any traffic as all users are using transparent proxy via port 80..

    So still there is 3.3GB of traffic that I don't appear to have any way through the reporting/logging to see which user is attributable for it :-S
  • 0
    You are correct that the Astaro isn't accounting for the other traffic, but I think it wouldn't have this mystery traffic if you didn't have another problem.

    When you look at "Top servers by service" on port 80, what is the source of this traffic?  If it's akamai servers, then maybe you have the problem in this thread: https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/43835.

    Please let us know.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    You are correct that the Astaro isn't accounting for the other traffic, but I think it wouldn't have this mystery traffic if you didn't have another problem.

    When you look at "Top servers by service" on port 80, what is the source of this traffic?  If it's akamai servers, then maybe you have the problem in this thread: http://www.astaro.org/astaro-gateway-products/web-security-http-https-ftp-im-p2p-web-filtering-antivirus/23356-excessive-usage-akamai-ips.html.

    Please let us know.

    Cheers - Bob


    top servers for port 80 account for the outside world (totals to 3.3GB):

    all these IP addresses are owned by google.com, and if you type them in the browser they all resolve to the google.com homepage!