This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High bandwidth usage

Hi all,

Yesterday we started getting high bandwidth usage showing on the external interface, almost all bandwidth taken.  It's coming from cloudfront.net servers and all I can see is the external interface is the client and its unclassified traffic on tcp/80.

I've throttled it based on the cloudfront IP ranges to stop the impact.

I can find a way to see if it's a user doing something as the logs show no high activity from specific internal clients.

Any idea what can be done to track this down?

Thanks


This thread was automatically locked due to age.
Parents
  • You need to find some way to ahve the users log into the UTM otherwise the utm has no way to figure this out.

    You can either manually install every user into the utm and then activate the login feature of the http proxy so folks will be forced to log into the firewall when they try to hit the net or join the utm to your AD domain and then use a number of ways available to get SSo working.  If you are a business get a hold of your reseller..if home user please elaborate on your network setup so we can advise you further.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Reply
  • You need to find some way to ahve the users log into the UTM otherwise the utm has no way to figure this out.

    You can either manually install every user into the utm and then activate the login feature of the http proxy so folks will be forced to log into the firewall when they try to hit the net or join the utm to your AD domain and then use a number of ways available to get SSo working.  If you are a business get a hold of your reseller..if home user please elaborate on your network setup so we can advise you further.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Children
  • Hi William,

    I should have mentioned, I'm using AD SSO in transparent mode but I cannot see anything suspicious from the user end it's only telling me the WAN interface and the cloudservers no high traffic to internal interface.  It's not continuous and stopped yesterday when everyone went home which makes me believe it is a user.  This morning everything was OK,  then around lunchtime it started again.

    Thanks
    Ross