Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Tráfego misterioso na WAN do PfSense

    Scheduled Pinned Locked Moved Portuguese
    16 Posts 10 Posters 7.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      eumesmoluiz
      last edited by

      Boa tarde pessoal. Tenho tido diversos problemas de lentidão na minha internet ultimamente e monitorando a interface local não descobri quem estava fritando a mesma. Quando comecei a monitorar uma interface WAN que percebi um tráfego misterioso de servidores dos EUA chupando toda a minha internet. Tenho 2Mbps neste link e as vezes ele consome os 2Mbps. Detalhe, o IP muda constantemente … Gostaria da ajuda da comunidade para identificar o que realmente esta acontecendo. Suspeito de ter algo malicioso no meu servidor PfSense. Segue uma imagem com alguns endereços IP que chupam minha banda. Agradeço qualquer ajuda.
      xl1.jpg
      xl1.jpg_thumb

      1 Reply Last reply Reply Quote 0
      • F
        FabianVitali
        last edited by

        Olá eumesmoluiz,

        Teria como postar um print com os Traffic Graphs (pode ser da dash) de Lan e Wan?

        chegou a dar uma olhada na tabela de estados para ver se tem alguma conexão estranha, tipo muitas conexões na mesma porta?

        Seu pfSense faz nat para algum serviço hospedado por você tipo DNS, WWW, E-mail?

        "Do que vale um mar de conhecimento com um palmo de profundidade…"

        1 Reply Last reply Reply Quote 0
        • P
          pedrolima88
          last edited by

          ja considerou a possibilidade de ser um ususario fazendo torrent? Aqui teve disso, chupava tudo e mudava o ip constantemente.

          1 Reply Last reply Reply Quote 0
          • E
            eumesmoluiz
            last edited by

            Como disse FabianVitali, o engraçado é q monitorando a interface wan com o iftop eu vejo uma conexao com o ip da interface WAN fritando, porem esta conexao nao consigo ver na LAN o que da por entender que esta conexão nao é com nenhum ip da minha LAN e sim do meu PfSense. Em Traffic Graph se eu monitorar a WAN vejo ela sendo fritada, ja na LAN nao vejo muito tráfego. No momento não tenho nenhum NAT e  na tabela de estados vi sim uma conexão com o IP 208.29.69.163 e outros parecidos, além do dns akamaitechnologies.com e alguns subdominios.

            Pedrolima, o engraçado tb é q tenho um controle de banda para todas as maquinas na rede limitando em 500kbps .., mais pode ser sim alguem fritando com torrent .., sabe como posso filtrar isso e talvez chegar no chupador de internet ???

            Grato

            1 Reply Last reply Reply Quote 0
            • P
              pedrolima88
              last edited by

              Faz o teste mais certo de todos.
              Derruba a rede lan por 2 minutos e ve se pára. Sei que parece absurdo, faca na hora do almoco. Se ja der uma estabilizada vai ter que ir caçar o maldito sugador de net.
              O problema do torrent é que el muda de porta, complexo demais para bloquear, melhor matar os trackers e seed list. Tem varias na net, nao tenta matar por porta que é furada.

              Aproveitando, a noite tmb fica assim ?

              abcs e boa sorte!

              1 Reply Last reply Reply Quote 0
              • J
                johnnybe
                last edited by

                Já deu uma pesquisada na internet sobre a akamai?
                https://pt.wikipedia.org/wiki/Akamai_Technologies

                Verificou os hosts de sua rede?
                A print abaixo é de um Windows 7. Este serviço costuma ficar em automático. Deixo ele em manual por questões pessoais.

                akamai.png
                akamai.png_thumb

                you would not believe the view up here

                1 Reply Last reply Reply Quote 0
                • F
                  FabianVitali
                  last edited by

                  Se for Torrent vai ter um monte de conexões de um mesmo ip de origem (isso na lan) em uma mesma porta de origem (podendo variar um pouco) usando UDP.

                  "Do que vale um mar de conhecimento com um palmo de profundidade…"

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    Esta usando algum proxy?

                    Seu pfsense esta com algum acesso exposto na Internet (ssh, https,…)?

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • edugiants4xE
                      edugiants4x
                      last edited by

                      @johnnybe:

                      Já deu uma pesquisada na internet sobre a akamai?
                      https://pt.wikipedia.org/wiki/Akamai_Technologies

                      Verificou os hosts de sua rede?
                      A print abaixo é de um Windows 7. Este serviço costuma ficar em automático. Deixo ele em manual por questões pessoais.

                      ola amigos… aqui na faculdade .. vendo os logs de acesso e o realtime no squid ... verifico essas conexoes desse akamai ai tbm..

                      1 Reply Last reply Reply Quote 0
                      • E
                        ekalil
                        last edited by

                        @eumesmoluiz:

                        Boa tarde pessoal. Tenho tido diversos problemas de lentidão na minha internet ultimamente e monitorando a interface local não descobri quem estava fritando a mesma. Quando comecei a monitorar uma interface WAN que percebi um tráfego misterioso de servidores dos EUA chupando toda a minha internet. Tenho 2Mbps neste link e as vezes ele consome os 2Mbps. Detalhe, o IP muda constantemente … Gostaria da ajuda da comunidade para identificar o que realmente esta acontecendo. Suspeito de ter algo malicioso no meu servidor PfSense. Segue uma imagem com alguns endereços IP que chupam minha banda. Agradeço qualquer ajuda.

                        Luiz, qual o nome dessa ferramenta que você utilizou?

                        1 Reply Last reply Reply Quote 0
                        • E
                          eumesmoluiz
                          last edited by

                          Pessoal, problema é intermitente mais ainda continua. Efetuando testes com pessoal do ISP no qual estava sendo fritado, aumentaram minha banda para 5Mbps e automaticamente foi fritado tb …, utilizei o BandwithD para verificar conexões P2P mais nada de downloads, as conexões são HTTP mesmo.

                          marcelloc, utilizo Squid+SquidGuard, com DDNS e SSH habilitado, até mesmo conectei ontem a noite de casa mais nenhuma conexão, ou seja, a noite nada de utilização e banda.

                          Hoje notei um fato estranho. Meu PC que tinha formatado ontem estava baixando atualizações do Windows e em um exato momento em que a internet estava lenta, verifiquei com o proxy reverse que a conexão com o akamaitechnologies.com estava vindo do meu computador e o status de atualização estava travado em um tal porcentagem.

                          ekalil, utilizo o iftop para monitorar o consumo de banda real .., mais o tal fato estranho, na interface WAN vejo os 2Mbps sendo consumido, ja na LAN somando td nao da 1Mbps.

                          Agradeço qualquer sugestão

                          Grato a todos

                          1 Reply Last reply Reply Quote 0
                          • L
                            LFCavalcanti
                            last edited by

                            Olá!

                            Primeiro passo é melhorar a segurança do PFSense em si:
                            1 - Passe a utilizar acesso via VPN, nunca redirecione o acesso da interface ou SSH via NAT.
                            2 - Mude a porta do SSH.
                            3 - Mude a interface Web para HTTPS em uma porta fora da padrão(443), use 10000 por exemplo.
                            4 - Troque as senhas dos usuários do PFSense por senhas de boa complexidade.

                            Com isso, abra o 'top" pelo Shell e verifique todos os processos ativos, se há algo fora do padrão para os pacotes que você tem instalado.

                            Existem ainda outras coisas para serem verificadas:

                            • Se existe algum Loop na rede(Verifique se a topologia da rede coloca o PFSense realmente como gateway entre a rede do ISP e a sua interna).
                            • Na WebGUI do PFSense, vá no PfTop e selecione o parametro como "Destination Port". Verifique se há conexões estranhas.

                            Outra solução seria utilizar o "Packet Capture" e Sniffar a rede durante os picos de utilização da internet. Faça esse Sniffer no PFSense, depois jogue o arquivo no Wireshark e analise de onde está vindo o excesso de trafego.

                            –

                            Luiz Fernando Cavalcanti
                            IT Manager
                            Arriviera Technology Group

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              Só um detalhe, o akamai é um serviço de alta disponibilidade para site, onde o seu site fica disponível em uma infinidade de ips.

                              Normalmente só é utilizado por quem tem $$$ para bancar. Nunca vi ferramentas maliciosas com um serviço destes.

                              Será que seu proxy só não está tentando fazer o cache do vídeo/pagina/atualização/qualquer coisa?

                              Este documento pode te ajudar em alguma coisa
                              http://doc.pfsense.org/index.php/Squid_Package_Tuning#Tweaking_Update_Caching_.2F_Squid_seems_to_download_on_its_own

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • B
                                broonu
                                last edited by

                                Quantas máquinas você tem atrás deste pfSense?
                                Dependendo da quantidade isso é normal, com dezenas de atualizações de software que as máquinas windows fazem constantemente.

                                1 Reply Last reply Reply Quote 0
                                • E
                                  eumesmoluiz
                                  last edited by

                                  Pessoal, retirei alguns sites da lista branco do proxy server e ainda por coincidencia, trocaram o radio da minha internet. Aparentemente esta resolvido, nao tenho tido mais este tráfego intenso na WAN …, porém tb por coincidência, esta semana, um notebook que eu desconfiava com Win8 nao esta aki na empresa. Vou esperar até semana q vem e posto novamente se realmente esta resolvido. Mais desde ja agradeço a participaçao de todos.

                                  1 Reply Last reply Reply Quote 0
                                  • J
                                    jbcorsini
                                    last edited by

                                    Olá colega, você conseguiu solucionar definitivamente o problema? 
                                    Era mesmo o serviço do Akamai ?
                                    Estou com mesmo problema, porém IPs microsoft nos Estados Unidos, com certeza então deverá ser updates do Windows - mas o engraço que eu também pelo States não consegui identificar da LAN, mostra apenas fritando na WAN 1 ,

                                    Até mais colega ..

                                    Att..

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.