Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Tráfego misterioso na WAN do PfSense

    Scheduled Pinned Locked Moved Portuguese
    16 Posts 10 Posters 7.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      johnnybe
      last edited by

      Já deu uma pesquisada na internet sobre a akamai?
      https://pt.wikipedia.org/wiki/Akamai_Technologies

      Verificou os hosts de sua rede?
      A print abaixo é de um Windows 7. Este serviço costuma ficar em automático. Deixo ele em manual por questões pessoais.

      akamai.png
      akamai.png_thumb

      you would not believe the view up here

      1 Reply Last reply Reply Quote 0
      • F
        FabianVitali
        last edited by

        Se for Torrent vai ter um monte de conexões de um mesmo ip de origem (isso na lan) em uma mesma porta de origem (podendo variar um pouco) usando UDP.

        "Do que vale um mar de conhecimento com um palmo de profundidade…"

        1 Reply Last reply Reply Quote 0
        • marcellocM
          marcelloc
          last edited by

          Esta usando algum proxy?

          Seu pfsense esta com algum acesso exposto na Internet (ssh, https,…)?

          Treinamentos de Elite: http://sys-squad.com

          Help a community developer! ;D

          1 Reply Last reply Reply Quote 0
          • edugiants4xE
            edugiants4x
            last edited by

            @johnnybe:

            Já deu uma pesquisada na internet sobre a akamai?
            https://pt.wikipedia.org/wiki/Akamai_Technologies

            Verificou os hosts de sua rede?
            A print abaixo é de um Windows 7. Este serviço costuma ficar em automático. Deixo ele em manual por questões pessoais.

            ola amigos… aqui na faculdade .. vendo os logs de acesso e o realtime no squid ... verifico essas conexoes desse akamai ai tbm..

            1 Reply Last reply Reply Quote 0
            • E
              ekalil
              last edited by

              @eumesmoluiz:

              Boa tarde pessoal. Tenho tido diversos problemas de lentidão na minha internet ultimamente e monitorando a interface local não descobri quem estava fritando a mesma. Quando comecei a monitorar uma interface WAN que percebi um tráfego misterioso de servidores dos EUA chupando toda a minha internet. Tenho 2Mbps neste link e as vezes ele consome os 2Mbps. Detalhe, o IP muda constantemente … Gostaria da ajuda da comunidade para identificar o que realmente esta acontecendo. Suspeito de ter algo malicioso no meu servidor PfSense. Segue uma imagem com alguns endereços IP que chupam minha banda. Agradeço qualquer ajuda.

              Luiz, qual o nome dessa ferramenta que você utilizou?

              1 Reply Last reply Reply Quote 0
              • E
                eumesmoluiz
                last edited by

                Pessoal, problema é intermitente mais ainda continua. Efetuando testes com pessoal do ISP no qual estava sendo fritado, aumentaram minha banda para 5Mbps e automaticamente foi fritado tb …, utilizei o BandwithD para verificar conexões P2P mais nada de downloads, as conexões são HTTP mesmo.

                marcelloc, utilizo Squid+SquidGuard, com DDNS e SSH habilitado, até mesmo conectei ontem a noite de casa mais nenhuma conexão, ou seja, a noite nada de utilização e banda.

                Hoje notei um fato estranho. Meu PC que tinha formatado ontem estava baixando atualizações do Windows e em um exato momento em que a internet estava lenta, verifiquei com o proxy reverse que a conexão com o akamaitechnologies.com estava vindo do meu computador e o status de atualização estava travado em um tal porcentagem.

                ekalil, utilizo o iftop para monitorar o consumo de banda real .., mais o tal fato estranho, na interface WAN vejo os 2Mbps sendo consumido, ja na LAN somando td nao da 1Mbps.

                Agradeço qualquer sugestão

                Grato a todos

                1 Reply Last reply Reply Quote 0
                • L
                  LFCavalcanti
                  last edited by

                  Olá!

                  Primeiro passo é melhorar a segurança do PFSense em si:
                  1 - Passe a utilizar acesso via VPN, nunca redirecione o acesso da interface ou SSH via NAT.
                  2 - Mude a porta do SSH.
                  3 - Mude a interface Web para HTTPS em uma porta fora da padrão(443), use 10000 por exemplo.
                  4 - Troque as senhas dos usuários do PFSense por senhas de boa complexidade.

                  Com isso, abra o 'top" pelo Shell e verifique todos os processos ativos, se há algo fora do padrão para os pacotes que você tem instalado.

                  Existem ainda outras coisas para serem verificadas:

                  • Se existe algum Loop na rede(Verifique se a topologia da rede coloca o PFSense realmente como gateway entre a rede do ISP e a sua interna).
                  • Na WebGUI do PFSense, vá no PfTop e selecione o parametro como "Destination Port". Verifique se há conexões estranhas.

                  Outra solução seria utilizar o "Packet Capture" e Sniffar a rede durante os picos de utilização da internet. Faça esse Sniffer no PFSense, depois jogue o arquivo no Wireshark e analise de onde está vindo o excesso de trafego.

                  –

                  Luiz Fernando Cavalcanti
                  IT Manager
                  Arriviera Technology Group

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    Só um detalhe, o akamai é um serviço de alta disponibilidade para site, onde o seu site fica disponível em uma infinidade de ips.

                    Normalmente só é utilizado por quem tem $$$ para bancar. Nunca vi ferramentas maliciosas com um serviço destes.

                    Será que seu proxy só não está tentando fazer o cache do vídeo/pagina/atualização/qualquer coisa?

                    Este documento pode te ajudar em alguma coisa
                    http://doc.pfsense.org/index.php/Squid_Package_Tuning#Tweaking_Update_Caching_.2F_Squid_seems_to_download_on_its_own

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • B
                      broonu
                      last edited by

                      Quantas máquinas você tem atrás deste pfSense?
                      Dependendo da quantidade isso é normal, com dezenas de atualizações de software que as máquinas windows fazem constantemente.

                      1 Reply Last reply Reply Quote 0
                      • E
                        eumesmoluiz
                        last edited by

                        Pessoal, retirei alguns sites da lista branco do proxy server e ainda por coincidencia, trocaram o radio da minha internet. Aparentemente esta resolvido, nao tenho tido mais este tráfego intenso na WAN …, porém tb por coincidência, esta semana, um notebook que eu desconfiava com Win8 nao esta aki na empresa. Vou esperar até semana q vem e posto novamente se realmente esta resolvido. Mais desde ja agradeço a participaçao de todos.

                        1 Reply Last reply Reply Quote 0
                        • J
                          jbcorsini
                          last edited by

                          Olá colega, você conseguiu solucionar definitivamente o problema? 
                          Era mesmo o serviço do Akamai ?
                          Estou com mesmo problema, porém IPs microsoft nos Estados Unidos, com certeza então deverá ser updates do Windows - mas o engraço que eu também pelo States não consegui identificar da LAN, mostra apenas fritando na WAN 1 ,

                          Até mais colega ..

                          Att..

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.