This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High bandwidth usage

Hi all,

Yesterday we started getting high bandwidth usage showing on the external interface, almost all bandwidth taken.  It's coming from cloudfront.net servers and all I can see is the external interface is the client and its unclassified traffic on tcp/80.

I've throttled it based on the cloudfront IP ranges to stop the impact.

I can find a way to see if it's a user doing something as the logs show no high activity from specific internal clients.

Any idea what can be done to track this down?

Thanks


This thread was automatically locked due to age.
Parents
  • cloudfront=amazon AWS(the CDN part).  Put this as an exception skipping https and a/v and content filtering..etc etc etc..  You are NOT going to be able to do this via ip address. I would just exempt the entire cloudfront tld and all subs like this:

    ^https?://([A-Za-z0-9.-]*\.)?cloudfront\.net/

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • Haven't had much luck tracking it down, I did find some the IPs in logs but they were just random users browsing different sites that obviously use AWS.

    It stopped at 17:25 again which is odd,  so what you say Bob sounds right.  Just can't pin it down to any one user.

    William,  I could do that but would this not be a good idea from a scanning content point of view?  With regards to AWS could be hosting lots of malicious sites.
Reply
  • Haven't had much luck tracking it down, I did find some the IPs in logs but they were just random users browsing different sites that obviously use AWS.

    It stopped at 17:25 again which is odd,  so what you say Bob sounds right.  Just can't pin it down to any one user.

    William,  I could do that but would this not be a good idea from a scanning content point of view?  With regards to AWS could be hosting lots of malicious sites.
Children
No Data