Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 82 replies
  • Subscribers 5 subscribers
  • Views 236035 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro eating my bandwidth

emaart
Hi

I am sitting in South Africa where bandwidth is expensive, slow and limited.
I get 5GB a month, if that is finished I'm capped and have to buy more bandwidth.

In the last 30 days, Astaro blew 7.1GB of my precious bandwidth...
5.1GB went to ec2-175-41-169-159.ap-southeast-1.compute.amazonaws.com
2GB went to several mailshell.net servers.

Note: This is not traffic from my internal network, this is my Astaro box alone, wasting my bandwidth.

How do I stop mailshell and what is being done about the amazon thing (I know some other people is also experiencing this)

Thank is advance



This thread was automatically locked due to age.
Parents
  • 0
    Mrlew, Here's an observation from Alan Toews (Director of Astaro Support Americas) that likely explains what you're seeing, and the exception to create to solve the problem - thanks, Alan!

    It is possible that applications within a network can cause download traffic that only occurs on the external interface. For instance, I worked with a customer several weeks ago, where they would see their bandwidth usage peak every hour. It was clear that it was web traffic, bit there was no corresponding bandwidth usage in their web security report. Using the network accounting report, I could see many internet servers associated with the traffic, all owned by Google. When I searched the http log, for one of those IPs, I found repeated requests to something like pack.code.google.com. An application called Google Pack was downloading updates for a variety of applications every hour, on the hour. This app was also installed on numerous machines in their network. The web proxy’s AV filtering was scanning the downloads, and causing the update application on the client to timeout while waiting for AV scanning to finish. It would then wait for the next cycle, and try again.  The result was that bandwidth usage was seen between internet IPs, and the Astaro, but not it wasn’t immediately clear how it was connected to any internal trigger. This is simply because the http proxy initiates connections itself, so the source really was the Astaro’s IP. Because the internal client abandoned the downloads, the bandwidth usage did not get reflected in the HTTP logs.

    Creating a whitelist entry to skip the pack.code.google.com domain from AV scanning allowed the downloads to succeed, and stopped them from hammering the ASG bandwidth every hour


    Cheers - Bob
    PS This reminds me of an unrelated issue; the Yahoo-10MB-problem.  If you use the Astaro SMTP Proxy and send an email larger than 10MB, Yahoo drops the connection ungraciously, and the Astaro will try again.  It's a great way to fill up an outbound pipe! [;)]
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob,
    I don't run SMTP proxy. But it all sounds similar to what may be happening with my 110. 
    Attached are images of reports.
    Astaro support have said 
    "Looking at the data it is very strange and does not appear to be HTTP web requests or anything like that, it is one big long stream. Either someone has hacked your box and is doing wierd stuff with it or there is something else going on here."
    They have recommended reimaging the box but I am concerned if the problem is something similar to the Yahoo issue above that all that work will be a waste of time and will simply return again.
    Any ideas?
Reply
  • 0 in reply to BAlfson
    Bob,
    I don't run SMTP proxy. But it all sounds similar to what may be happening with my 110. 
    Attached are images of reports.
    Astaro support have said 
    "Looking at the data it is very strange and does not appear to be HTTP web requests or anything like that, it is one big long stream. Either someone has hacked your box and is doing wierd stuff with it or there is something else going on here."
    They have recommended reimaging the box but I am concerned if the problem is something similar to the Yahoo issue above that all that work will be a waste of time and will simply return again.
    Any ideas?
Children
No Data
Unfiltered HTML