Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 9925 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

9.204-19 possible bug relating to Office 365 traffic

benzene
Hi,

UTM 9.204-19 - I noticed crazy spikes in traffic. Not just reported in UTM but verified at the switch, so it's not phantom traffic that just gets mis-reported. It's real traffic. 

UTM reports it to be Office 365 related and it sucks up to 100Mbit/s connecting to various IP addresses such as 

165.254.202.211
165.254.202.203

These do not have reverse DNS entries and WHOIS doesn't show them to be related to Microsoft but UTM reports this traffic as MS Office 365. 

When I check in flow monitor I see no client involved in this traffic. It just shows the external interface talking to one of these IP addresses at up to 100Mbit/s.

Making an Application Control Rule in UTM to block Office 365 traffic stops this but obviously blocks legitimate use of Office 365 altogether.

I normally average 1-2 Mbit/s on that box but as shown here the issue is quite extreme:



This thread was automatically locked due to age.
  • 0 in reply to William Warren
    @William

    your solution will only work for transparent proxy mode or tell me how to do that for standard proxy mode... As far as I know the execption list is only for transparent proxy...

    If you have standard proxy and Office 2013 click 2 run versions you'll run into this issue

    regards
  • 0
    I can't comment on your fix, I can just point out that this bandwidth beating was taking place with my previous security appliance (not Sophos) which had NO waf and NO pf rules preventing any of this. It just couldn't keep up with the insane traffic.

    This was what prompted me to get the Sophos UTM in the first place. I used WireShark to isolate the original workstation that was misbehaving. This led me to thinking I had an advanced self aware rootkit. Every time I would fire up tcpview I could see for the briefest of moments multiple connections all collapsing in an instant.

    After an embarrassing amount of time throwing every sweep and sfccheck known to man (all clean), I finally got a screencap at the first instant of launching tcpview. I was oh so pleased to discover that this horror was just Office updates. For what Microsoft was doing to our network, it may as well have been a team of cybercriminals.

    Snipping the ONE IP I posted above at the workstations ceased all of this bandwidth robbing behavior and I made NO changes on the UTM. Office updates normally now.
  • 0 in reply to SWeissflog
    @William

    your solution will only work for transparent proxy mode or tell me how to do that for standard proxy mode... As far as I know the execption list is only for transparent proxy...

    If you have standard proxy and Office 2013 click 2 run versions you'll run into this issue

    regards


    so few foiks have run standard i forgot to ask about that..[[:)]]  Then make an exception with every box checked...[[:)]]
  • 0
    This Problem is solved with one of the latest 9.3 releases (it had worsened with the first 9.3x releases).
    You still need the proxy exceptions as per Technet, though, to avoid massive problems.

    We had crazy amounts of Office 365 traffic before the fix in UTM 9.3x, more than 3x normal.