Background Intelligent Transfer Service (BITS)

Hi, anneal, and welcome to the User BB!

You can create a DNS Host or DNS Group definition for an FQDN, but not for a domain name like 1e100.net.  With a DNS Host definition, you could throttle traffic like '{DNS Host definition} -> Any -> Any'.

Cheers - Bob
PS Since we can't know that external links, like the imgur.com URL you used in your post, are not infected with malware, please edit your post, click on [Go Advanced], attach your picture to the post and use the URL here in your IMG.  Thanks.

Thank you for the welcome, and the assist. I removed the picture because you got the idea. I tried as you suggested and it seems to be working just fine with throttling a dns host of 1e100.net. I am not sure why I didn't try that in the first place. This is my first Sophos UTM. Still confused why it would change to unclassified for no reason. No reason as in I checked the logs and there was no update installed or reboot around the time the network usage went through the roof. Either way thanks again for your help.

-Brad

I jumped the gun, and now see why you said it would not work with that non FQDN. It was just a lull in the traffic. I think my next step will be contacting support. Or as a last ditch effort to try and fix it myself see if I can prioritize gmail and web browsing over other traffic. My UTM is pretty new and I still have support. I just prefer figuring things out. I wish 1e100.net had at leist one domain I could use for a group dns entry that listed all their a records.

As an update I have contacted support who told me to request a recategorization through their web page which I did. Until then I am watching the flow monitor and adding any out of control address like ord30s21-in-f0.1e100.net, adding it to a traffic selector, and then adding that to the shared download throttling pool I made for it. Hopefully this is fixed soon, constantly watching this is eating into my time.

This is really getting into areas that I don't know (and Bob knows better I'm sure).

I *think* if you are doing throttling based on a Traffic Selector, application, you are running into an issue where the App Control is no longer recognizing the application (BITS) correctly.

This is different from website categorization, which is part of the Reassessment Request in the link that you posted.

If this is the case, I would go back to Support and make sure that App Control is working.

As an aside, if you look at the traffic in http.log you should see application=.  If this is not coming back as BITS when you think it should be, then (I think) that is where the issue is.

You are correct, and my assumption was that a categorization reassessment request would not fix my problem. But it was what Sophos Support suggested. I was not ruling anything out because the timing made no sense. It started the 24th of November we had no updates or reboots around that time. So it confused me how something that was categorized as BITS was now unclassified. I don't need to pull up my http.log because I have stared at it many times this month and these are not showing up as BITS. What do you suggest I tell or ask support. To make sure they fully understand what's needed. Thanks in advance for your suggestion.

(again, not my area of expertise)
App Control is turned on/off explicitly under Web Protection.
App Control is also used (and turned on) behind the scenes for some other feature (such as yours).


- is app control running?
- is it categorizing or controlling anything?
- is application= set anytime
- Can you look at old logs from when it was working, show that for a specific URL the application= was set and now for the same one it is not

This should help determine if you have an overall appcontrol issue or a specific detection issue.  Either way, I hope Support can help.

Note: say "application detection" rather than "categorization" so they don't think you mean website categories.

Note: The above partly assumes that BITS goes through the webproxy (eg port 80/443).  If not then I think it is afc.log.

I apologize for the lateness of my reply, I have been busy. 

App Control is on and in use. There are no exceptions in the firewall. I have no rules and no skipped hosts. It is categorizing everything else. 

But it seems to not categorize a few bits or content delivery servers. Like *.1e100.net (google), *.akamaitechnologies.com, *.ord.Llnw.net. The past few days we have been taken to our knees by windows updates delivered by *.ord.Llnw.net. 

Also for clarity the BITS category is still there and there are pages categorized to it. It just seems that some have lost this categorization.

If there is not a way to throttle, block, or categorize the uncategorized apps from the App Control flow monitor is there a way to partition half of our bandwidth to be used for web browsing only? 

I have not contacted support yet because I try until I have exhausted everything. That is how I learn.

There's a trick to preferring some download traffic over other.  Use the Flow Monitor on the External interface to configure Download Throttling for the traffic you want to prefer, but set the limit at 1Gb.  After you've done that for your preferred traffic, go to the 'Download Throttling' tab and create a rule at the bottom limiting all the rest of the traffic (Any -> Any -> Any).

BITS is supposed to be recognized.  What happens if you make a rule in Application Control blocking BITS traffic - does it block?

Cheers - Bob

I will try your suggestion.

BITS is still a category on the Flow Monitor. BITS was the first thing I throttled and that worked great until november. I still have it like that, but some of the servers are listed as unclassified now. So when I see one get out of hand I throttle it individually.