Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 10256 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

9.204-19 possible bug relating to Office 365 traffic

benzene
Hi,

UTM 9.204-19 - I noticed crazy spikes in traffic. Not just reported in UTM but verified at the switch, so it's not phantom traffic that just gets mis-reported. It's real traffic. 

UTM reports it to be Office 365 related and it sucks up to 100Mbit/s connecting to various IP addresses such as 

165.254.202.211
165.254.202.203

These do not have reverse DNS entries and WHOIS doesn't show them to be related to Microsoft but UTM reports this traffic as MS Office 365. 

When I check in flow monitor I see no client involved in this traffic. It just shows the external interface talking to one of these IP addresses at up to 100Mbit/s.

Making an Application Control Rule in UTM to block Office 365 traffic stops this but obviously blocks legitimate use of Office 365 altogether.

I normally average 1-2 Mbit/s on that box but as shown here the issue is quite extreme:



This thread was automatically locked due to age.
Parents
  • 0
    Yes but my average over a year is 1-2 Mbit. This produces sustained traffic of up to 100Mbit/s until I block it or throttle it. I have less than 5 seats on the LAN side with Office 365. They cannot possibly need 1TB worth of updates. Something is up with this.
  • 0 in reply to benzene
    Yes but my average over a year is 1-2 Mbit. This produces sustained traffic of up to 100Mbit/s until I block it or throttle it. I have less than 5 seats on the LAN side with Office 365. They cannot possibly need 1TB worth of updates. Something is up with this.


    I would put the two ip ranges into the exceptions or the bypass list..maybe they are getting hung up by the a/v engines.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Reply
  • 0 in reply to benzene
    Yes but my average over a year is 1-2 Mbit. This produces sustained traffic of up to 100Mbit/s until I block it or throttle it. I have less than 5 seats on the LAN side with Office 365. They cannot possibly need 1TB worth of updates. Something is up with this.


    I would put the two ip ranges into the exceptions or the bypass list..maybe they are getting hung up by the a/v engines.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Children
No Data
Unfiltered HTML