Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 6394 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Excessive usage

trippank
Hi All,
I need help.  Over the last two weeks, my executive reports shows a tremendous increase of network usage.  It all seems to be coming from Akamiatechnology server.   Below is a snippet of the daily exec report.  It is just lunch time.

TOP10 Servers
Total packets: 14 374 397
Total traffic: 12.8 GB
      IP  Hostname  Packets  Traffic  % of total
1  us  204.245.162.17  a204-245-162-17.deploy.akamaitechnologies.com  6 677 123  6.3 GB  49.18 %
2  us  204.245.162.19  a204-245-162-19.deploy.akamaitechnologies.com  5 868 271  5.5 GB  43.23 %

TOP10 Services
Total packets: 14 374 397
Total traffic: 12.8 GB
   Service Name  Protocol  Service Port  Connections  Traffic  % of total
1  HTTP  TCP  80  13 241 758  12.4 GB  96.55 %


When I scroll down to see who is using this inside the network, no one is even close.
TOP10 Clients by traffic
Total traffic: 156.8 MB
   Client  Traffic  % of total
1  192.168.2.237  76.3 MB  48.68 %

What report or how can I find out who and how to stop it.

Tripp


This thread was automatically locked due to age.
  • 0 in reply to William Warren
    Hi William,
    based on the assumption that putting part of the name in the exception list works (assuming you block port 80) you will still need to add a packet filter rule to allow the bypass to work.

    So what you are saying is that the bypass rule will work on sub parts of a url? Will this depend on web browser eg IE (which version), firefox etc?

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi William,
    based on the assumption that putting part of the name in the exception list works (assuming you block port 80) you will still need to add a packet filter rule to allow the bypass to work.

    So what you are saying is that the bypass rule will work on sub parts of a url? Will this depend on web browser eg IE (which version), firefox etc?

    Ian M

    We may be tlaking about two different areas and my terminology could be off..allow me to clarify:

    web security-http-exceoptions tab.  In there i have added a new exceoptions list with all the skiped checks activated.  then I put a check next to or mathcing these urls and then put the following into the list exactly as noted:
    adobbe.com
    quicken.com
    intuit.com
    quickbooks.com
    grisoft.com
    avg.com
    grisft.cz

    I was having similar issues that are mentioned in this htread.  adding these to the existing exceptions list as configured solved all the downloading/usage issues i have hit.  When i hit another one i add it to the above newly created list..and things work fine.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    William,
    I think you and I are saying the same thing. I have all ports below 1030 blocked, so I have to add PF rules to allow the blocked urls out.

    Ian M
  • 0 in reply to RFCat_vk_01
    if you use the proxy in transparent mode you don't need to add pf rule for port 80 and the exceptions work fine.  If you use the proxy in standard mode the pf already has the hole for the proxy and this exception list still works so i'm not sure what is going on.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Unfiltered HTML