[Feature Request] Mitigate bandwidth theft

Using the http proxy and not allowing those ports through the packetfilter should help.

Barry

But, Barry, if he blocks those ports, either his users will be blocked, or Scott will have to make the HTTP Proxy scan streaming content.  Or have I misunderstood your suggestion?

CHeers - Bob

I suspect that if the proxy isn't allowing TCP CONNECT, that the sharing isn't going to work through the proxy.

And yes, the (incoming) streaming needs to be coming through the proxy.

Barry

Thanks guys for the discussion.
 
As mentioned, I've got a workaround that will do the job for now.  Now, I implemented my solution after the feeds were already running.  I'll find out in the morning if it disallows the ability to make the initial connection and go from there.  I may just have to try to fight tooth and nail to make this a policy based solution more than a technology one. 
 
There's got to be a better way of doing so though that wouldn't be quite so labor intensive and I'm just requesting Astaro look into the situation and consider this for the future. Just today, between a handful of users, I found 8 internet radio feeds that appear to be doing this (all of which are selections in the Windows Media Player media guide) and I see it to be a real and growing threat to operating costs and productivity.

Scott,

How are you determining that this is actually happening? What logs are you looking at?

Sorry for the noob question but I suspect that this is happening at some of my clients and I would like to investigate it myself.

Thanks,
RR

My thought is that such traffic could be considered "peer to peer"... I would think the AFC engine may be a good place to implement a filter for these bad video / audio streaming protocols.

runningrhino:
 
Mostly I'm using the Reporting section of WebAdmin as opposed to the raw logs.
 
1)  My first stop is to Reporting>Network Usage>Accounting.  For Top Clients I can see the amount of data passed since midnight.  In my case, it's fairly easy to tell that something is out of whack when I see a standard employees workstation has passed hundreds of MB.
 
2)  From that information, I check the top services by client for any workstations that I'm concerned about.  Most of the ones I'm seeing are using HTTP-ALT, but I've seen others as well, such as 8004 and RTSP.  What I was seeing was a few MB inbound and hundreds up to over a gig outbound.
 
3)  If the feed is using 80 or 8080, you can now go to Reporting>Web Security.  Here you can look up the domains visited from any particular system and see the amount of traffic passed, which should correlate with what you saw in Network Usage.  You would use the domain listed in here, if you decide to create a packet filter and block the traffic.  If you need to, check the domain name by trying to go to their website and do a whois if your not certain what it is for.  Some of the ones I'm now blocking are spacialnet.com, voxcdn.net, di.fm, non-standard.net, luckysevenradio.com, akamaistream.net.  These are the hosts that the streams are served from.
 
4)  I like to make certain that I'm not blocking something valid for business purposes, so I'll also do a netstat on the workstations using P***ec, so I can see that the traffic is actually coming from Windows Media Player.  I haven't yet hit a stream using an embedded player, but I'll cross that bridge when/if I need to.
 
5)  Finally, you can watch real time connections through your Astaro using iftop.  I SSH into mine to do this, but it can also be done from the console, if your setup for this.
 
Hope this helps.

runningrhino:
 
Mostly I'm using the Reporting section of WebAdmin as opposed to the raw logs.
 
1)  My first stop is to Reporting>Network Usage>Accounting.  For Top Clients I can see the amount of data passed since midnight.  In my case, it's fairly easy to tell that something is out of whack when I see a standard employees workstation has passed hundreds of MB.
 
2)  From that information, I check the top services by client for any workstations that I'm concerned about.  Most of the ones I'm seeing are using HTTP-ALT, but I've seen others as well, such as 8004 and RTSP.  What I was seeing was a few MB inbound and hundreds up to over a gig outbound.
 
3)  If the feed is using 80 or 8080, you can now go to Reporting>Web Security.  Here you can look up the domains visited from any particular system and see the amount of traffic passed, which should correlate with what you saw in Network Usage.  You would use the domain listed in here, if you decide to create a packet filter and block the traffic.  If you need to, check the domain name by trying to go to their website and do a whois if your not certain what it is for.  Some of the ones I'm now blocking are spacialnet.com, voxcdn.net, di.fm, non-standard.net, luckysevenradio.com, akamaistream.net.  These are the hosts that the streams are served from.
 
4)  I like to make certain that I'm not blocking something valid for business purposes, so I'll also do a netstat on the workstations using P***ec, so I can see that the traffic is actually coming from Windows Media Player.  I haven't yet hit a stream using an embedded player, but I'll cross that bridge when/if I need to.
 
5)  Finally, you can watch real time connections through your Astaro using iftop.  I SSH into mine to do this, but it can also be done from the console, if your setup for this.
 
Hope this helps.