Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 9935 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

9.204-19 possible bug relating to Office 365 traffic

benzene
Hi,

UTM 9.204-19 - I noticed crazy spikes in traffic. Not just reported in UTM but verified at the switch, so it's not phantom traffic that just gets mis-reported. It's real traffic. 

UTM reports it to be Office 365 related and it sucks up to 100Mbit/s connecting to various IP addresses such as 

165.254.202.211
165.254.202.203

These do not have reverse DNS entries and WHOIS doesn't show them to be related to Microsoft but UTM reports this traffic as MS Office 365. 

When I check in flow monitor I see no client involved in this traffic. It just shows the external interface talking to one of these IP addresses at up to 100Mbit/s.

Making an Application Control Rule in UTM to block Office 365 traffic stops this but obviously blocks legitimate use of Office 365 altogether.

I normally average 1-2 Mbit/s on that box but as shown here the issue is quite extreme:



This thread was automatically locked due to age.
Parents
  • 0
    I can't comment on your fix, I can just point out that this bandwidth beating was taking place with my previous security appliance (not Sophos) which had NO waf and NO pf rules preventing any of this. It just couldn't keep up with the insane traffic.

    This was what prompted me to get the Sophos UTM in the first place. I used WireShark to isolate the original workstation that was misbehaving. This led me to thinking I had an advanced self aware rootkit. Every time I would fire up tcpview I could see for the briefest of moments multiple connections all collapsing in an instant.

    After an embarrassing amount of time throwing every sweep and sfccheck known to man (all clean), I finally got a screencap at the first instant of launching tcpview. I was oh so pleased to discover that this horror was just Office updates. For what Microsoft was doing to our network, it may as well have been a team of cybercriminals.

    Snipping the ONE IP I posted above at the workstations ceased all of this bandwidth robbing behavior and I made NO changes on the UTM. Office updates normally now.
Reply
  • 0
    I can't comment on your fix, I can just point out that this bandwidth beating was taking place with my previous security appliance (not Sophos) which had NO waf and NO pf rules preventing any of this. It just couldn't keep up with the insane traffic.

    This was what prompted me to get the Sophos UTM in the first place. I used WireShark to isolate the original workstation that was misbehaving. This led me to thinking I had an advanced self aware rootkit. Every time I would fire up tcpview I could see for the briefest of moments multiple connections all collapsing in an instant.

    After an embarrassing amount of time throwing every sweep and sfccheck known to man (all clean), I finally got a screencap at the first instant of launching tcpview. I was oh so pleased to discover that this horror was just Office updates. For what Microsoft was doing to our network, it may as well have been a team of cybercriminals.

    Snipping the ONE IP I posted above at the workstations ceased all of this bandwidth robbing behavior and I made NO changes on the UTM. Office updates normally now.
Children
No Data