пожиратель траффика

mrGreenward

Добрый день коллеги, придя с отпуска,уткнувшись в rrd graph заметил непонятную ситуацию с траффиком в локальной сети, более меня ввело в ступор то, что, это непонятное поглощение происходит на моих глазах,глядя в Traffic Graph нет ip адреса который бы столько жрал,даже суммируя все локальные адреса.
Может быть что где-то у кого-то какой то протокол используется который неотображается скачкой в граффике?что посоветуете?

pfsense1.JPG_thumb

pfsense2.JPG_thumb

mrGreenward

возможно в локальной сети вредоносное по с устройства жрет траффик,но почему его не видно в traffic graph?там прекрасно видно что траффик набежал но IP не указан который жрет,в RRD тоже видно что траффис висит,в proxy state все корректно будто бы нагрузки нет,в iftop тоже не видно.Причем траффик набегет с 8 утра и так до 6 вечера,была тема подобная где один из вариантов был- сыпется мультикаст,как проверить пакеты на протоколы?

werter

Возможно , что локальный трафик добавляется.

dvserg

глядя в Traffic Graph нет ip адреса который бы столько жрал,даже суммируя все локальные адреса.

Возможно кто-то спамит к DHCP ?

werter

Включите логирование и смотрите что происходит.

mrGreenward

где именно это логирование?в логах сквида не отображается,будто все нормально :o

dvserg

@mrGreenward:

где именно это логирование?в логах сквида не отображается,будто все нормально :o

Логи правил файрвола.

mrGreenward

в логах не нашел то по какой причине бежит такой траффик,и видно что он бегает по лану,пр вану не так много трафика бежит,в прокси стэйт тоже видно что юзеры много не качают,но вот эти ~10мб бегут капитально,по графикам видно что примерно с 8 утра это начинается…есть еще какие нибудь нюансы,коллеги?

1.JPG_thumb

mrGreenward

еще

lan.JPG_thumb

mrGreenward

proxy states

states.JPG_thumb

mrGreenward

вот wan, на нем такой нагрузки нету

wan.JPG_thumb

mrGreenward

Ребят,кому интересно,через утилиту bandwidthD заметил активность на одном ип,оказалось,1 комп досит pfsense и в state это хорошо видно,как убиваю его соединение траффик сразу падает

state.JPG_thumb

werter

О, спасибо. На будущее запомню.

dvserg

А причина на этом хосте какая?
В правилах есть опция по количеству соединений с хоста.
Сделайте 100 соединений на хост, и этого должно хватить для клиентских подключений.

mrGreenward

причина на хосте даже не ясна,последний раз я закрывал соц сети у сотрудников, возможно этот работник качал проги анонимайзеры ,как наведаюсь к работнику отпишу здесь что там с пк

mrGreenward

Выяснил причину,оказывается все дело в mail агенте,эта дурная программа на ОС windows 7 в netstat дает тоже самое что и выше по скрину,т.е. кучу запросов от 192.168.1.85:65121 –> 192.168.1.1:80(шлюз).Дело в том что когда только включаешь этот маил агент,то запрос идет 192.168.1.85:65112 -->IP_сервер_маила, проходит время и спамит на шлюз..вот так этот гент спамил мой шлюз с 2х ПК сотрудников