Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 6386 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Excessive usage

trippank
Hi All,
I need help.  Over the last two weeks, my executive reports shows a tremendous increase of network usage.  It all seems to be coming from Akamiatechnology server.   Below is a snippet of the daily exec report.  It is just lunch time.

TOP10 Servers
Total packets: 14 374 397
Total traffic: 12.8 GB
      IP  Hostname  Packets  Traffic  % of total
1  us  204.245.162.17  a204-245-162-17.deploy.akamaitechnologies.com  6 677 123  6.3 GB  49.18 %
2  us  204.245.162.19  a204-245-162-19.deploy.akamaitechnologies.com  5 868 271  5.5 GB  43.23 %

TOP10 Services
Total packets: 14 374 397
Total traffic: 12.8 GB
   Service Name  Protocol  Service Port  Connections  Traffic  % of total
1  HTTP  TCP  80  13 241 758  12.4 GB  96.55 %


When I scroll down to see who is using this inside the network, no one is even close.
TOP10 Clients by traffic
Total traffic: 156.8 MB
   Client  Traffic  % of total
1  192.168.2.237  76.3 MB  48.68 %

What report or how can I find out who and how to stop it.

Tripp


This thread was automatically locked due to age.
  • 0
    If you're using the HTTP proxy, the bandwidth probably won't show up on the internal TOP10.

    This is probably some software updater.

    Barry
  • 0
    Hi,
    Hi All,
    I need help.  Over the last two weeks, my executive reports shows a tremendous increase of network usage.  It all seems to be coming from Akamiatechnology server.   Below is a snippet of the daily exec report.  It is just lunch time.


    Most like this is caused by Automatic Update clients that aren't able to handle the Astaro Downloader page. I've seen this sometimes with Adobe and other vendors.

    If you're using ASG 7.100, you can check if /var/log/http.log contains access log lines like 'download aborted by client' or 'download status refresh timeout'. If yes check the URLs and src ips logging in those lines - it is probably a good hint what programm/client is causing the traffic.

    Cheers,

    Sven.
  • 0 in reply to svens
    Do you use Automatic Update for your Windows clients? 
    If so, try to start it manually on a client (wuauclt /detectnow) and look what happens in the HTTP-log.

    The best way to stop that (depending on the count of the clients):
    Set up WSUS to download and deploy updates.

    regards,
    thomas
  • 0 in reply to tbrandl
    Hey!

    We had the same problem you mentioned for more than a few days...
    After checking all logfiles and statistics without any results I had a deeper look into the traffic on our external interface by using my notebook, a hub and Wireshark.
    It seemed to be the Adobe Online Updater which comes into action whenever you use the Adobe Acrobat Reader. Most of the packets came from a server situated at Akamai Technologies which is a download hoster for some bigger companies. Somehow, the Adobe Acrobat Reader starts downloading it's updates and then stops without completing them. The http proxy continues downloading until the end but the client computers seem to re-request the download and so forth.

    After putting adobe.com and adobe.co.uk in http-proxy the exception list for all of the security features the excessive bandwith usage stopped immediately... Just give it a try!

    Very uncool thing... :/ We've had full bandwith usage about two weeks without beeing able to locate the source in any of the Astaro logfiles...
  • 0 in reply to neoblf
    Thank you for this ! We had the same Problem today. CPU Usage went to over 90% (Normal 15%). After putting also swupmf.adobe.com to the list, everything is back to normal
  • 0 in reply to Koddi
    Sorry to come back again to you. Since this morning, I have the same problems again. Again more than 3 Workstations are trying the abobe upddates again : 
    http://swupmf.adobe.com/manifest/50/win/AdobeUpdater.upd
    I already put in the excetion list, but now the usage is again about 90 %, which is not normal.
  • 0 in reply to Koddi
    We have the same trouble here with Adobe Reader 8:
    We have a Astaro V6 with its Proxy in Standard Mode. Our Users must give User Name and Passwort for Internet Access. The trouble is: Some Users abort the Update Popup Message of the Adobe Updater, but the "%//§&/( thing trys get his updates anyway... So it bombardes the Astaro Proxy with many request a second, but without Username or Passwort for the Proxy. Today there were only two clients who wanted to get their Adobe Updates and our Astaro was for hours at 90% CPU [:(] The Taskmanager shows 8-10 adobe update processes on the clients? After aborting the $!"%&/ Adobe Update on the two clients everything went back to normal again. WTF?!? How many request does that Adobe Updater send to the Proxy?!? When i tried the Adobe Upate with Username and Passwort for the Proxy, the update aborts... Great!
  • 0 in reply to Widde
    Hi Koddi,
    you need to put the bypassed sites into every web browser on every desktop as well for it to work successfully. Don't forget to create packet filter rules for the bypassed sites if you are blocking port 80.

    Ian M
  • 0 in reply to neoblf
    Just want to say thanks for the solution given in this thread.  Our firewall here was pegged solid on the external interface for phantom connections to Windows Update that had really been cancelled.  After adding it to the http-proxy exception list, the flood stopped.   Thanks!
  • 0 in reply to RFCat_vk_01
    Hi Koddi,
    you need to put the bypassed sites into every web browser on every desktop as well for it to work successfully. Don't forget to create packet filter rules for the bypassed sites if you are blocking port 80.

    Ian M

    actually you don't.  Just put the adobe.com not (whatever).adobe.com in the exception area and have it bypass everything.  I usually just add new exceptions to the pre made windows update exception.  either put the root domain in there and that will work.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Unfiltered HTML