Tráfego misterioso na WAN do PfSense



  • Boa tarde pessoal. Tenho tido diversos problemas de lentidão na minha internet ultimamente e monitorando a interface local não descobri quem estava fritando a mesma. Quando comecei a monitorar uma interface WAN que percebi um tráfego misterioso de servidores dos EUA chupando toda a minha internet. Tenho 2Mbps neste link e as vezes ele consome os 2Mbps. Detalhe, o IP muda constantemente … Gostaria da ajuda da comunidade para identificar o que realmente esta acontecendo. Suspeito de ter algo malicioso no meu servidor PfSense. Segue uma imagem com alguns endereços IP que chupam minha banda. Agradeço qualquer ajuda.



  • Olá eumesmoluiz,

    Teria como postar um print com os Traffic Graphs (pode ser da dash) de Lan e Wan?

    chegou a dar uma olhada na tabela de estados para ver se tem alguma conexão estranha, tipo muitas conexões na mesma porta?

    Seu pfSense faz nat para algum serviço hospedado por você tipo DNS, WWW, E-mail?



  • ja considerou a possibilidade de ser um ususario fazendo torrent? Aqui teve disso, chupava tudo e mudava o ip constantemente.



  • Como disse FabianVitali, o engraçado é q monitorando a interface wan com o iftop eu vejo uma conexao com o ip da interface WAN fritando, porem esta conexao nao consigo ver na LAN o que da por entender que esta conexão nao é com nenhum ip da minha LAN e sim do meu PfSense. Em Traffic Graph se eu monitorar a WAN vejo ela sendo fritada, ja na LAN nao vejo muito tráfego. No momento não tenho nenhum NAT e  na tabela de estados vi sim uma conexão com o IP 208.29.69.163 e outros parecidos, além do dns akamaitechnologies.com e alguns subdominios.

    Pedrolima, o engraçado tb é q tenho um controle de banda para todas as maquinas na rede limitando em 500kbps .., mais pode ser sim alguem fritando com torrent .., sabe como posso filtrar isso e talvez chegar no chupador de internet ???

    Grato



  • Faz o teste mais certo de todos.
    Derruba a rede lan por 2 minutos e ve se pára. Sei que parece absurdo, faca na hora do almoco. Se ja der uma estabilizada vai ter que ir caçar o maldito sugador de net.
    O problema do torrent é que el muda de porta, complexo demais para bloquear, melhor matar os trackers e seed list. Tem varias na net, nao tenta matar por porta que é furada.

    Aproveitando, a noite tmb fica assim ?

    abcs e boa sorte!



  • Já deu uma pesquisada na internet sobre a akamai?
    https://pt.wikipedia.org/wiki/Akamai_Technologies

    Verificou os hosts de sua rede?
    A print abaixo é de um Windows 7. Este serviço costuma ficar em automático. Deixo ele em manual por questões pessoais.




  • Se for Torrent vai ter um monte de conexões de um mesmo ip de origem (isso na lan) em uma mesma porta de origem (podendo variar um pouco) usando UDP.



  • Esta usando algum proxy?

    Seu pfsense esta com algum acesso exposto na Internet (ssh, https,…)?



  • @johnnybe:

    Já deu uma pesquisada na internet sobre a akamai?
    https://pt.wikipedia.org/wiki/Akamai_Technologies

    Verificou os hosts de sua rede?
    A print abaixo é de um Windows 7. Este serviço costuma ficar em automático. Deixo ele em manual por questões pessoais.

    ola amigos… aqui na faculdade .. vendo os logs de acesso e o realtime no squid ... verifico essas conexoes desse akamai ai tbm..



  • @eumesmoluiz:

    Boa tarde pessoal. Tenho tido diversos problemas de lentidão na minha internet ultimamente e monitorando a interface local não descobri quem estava fritando a mesma. Quando comecei a monitorar uma interface WAN que percebi um tráfego misterioso de servidores dos EUA chupando toda a minha internet. Tenho 2Mbps neste link e as vezes ele consome os 2Mbps. Detalhe, o IP muda constantemente … Gostaria da ajuda da comunidade para identificar o que realmente esta acontecendo. Suspeito de ter algo malicioso no meu servidor PfSense. Segue uma imagem com alguns endereços IP que chupam minha banda. Agradeço qualquer ajuda.

    Luiz, qual o nome dessa ferramenta que você utilizou?



  • Pessoal, problema é intermitente mais ainda continua. Efetuando testes com pessoal do ISP no qual estava sendo fritado, aumentaram minha banda para 5Mbps e automaticamente foi fritado tb …, utilizei o BandwithD para verificar conexões P2P mais nada de downloads, as conexões são HTTP mesmo.

    marcelloc, utilizo Squid+SquidGuard, com DDNS e SSH habilitado, até mesmo conectei ontem a noite de casa mais nenhuma conexão, ou seja, a noite nada de utilização e banda.

    Hoje notei um fato estranho. Meu PC que tinha formatado ontem estava baixando atualizações do Windows e em um exato momento em que a internet estava lenta, verifiquei com o proxy reverse que a conexão com o akamaitechnologies.com estava vindo do meu computador e o status de atualização estava travado em um tal porcentagem.

    ekalil, utilizo o iftop para monitorar o consumo de banda real .., mais o tal fato estranho, na interface WAN vejo os 2Mbps sendo consumido, ja na LAN somando td nao da 1Mbps.

    Agradeço qualquer sugestão

    Grato a todos



  • Olá!

    Primeiro passo é melhorar a segurança do PFSense em si:
    1 - Passe a utilizar acesso via VPN, nunca redirecione o acesso da interface ou SSH via NAT.
    2 - Mude a porta do SSH.
    3 - Mude a interface Web para HTTPS em uma porta fora da padrão(443), use 10000 por exemplo.
    4 - Troque as senhas dos usuários do PFSense por senhas de boa complexidade.

    Com isso, abra o 'top" pelo Shell e verifique todos os processos ativos, se há algo fora do padrão para os pacotes que você tem instalado.

    Existem ainda outras coisas para serem verificadas:

    • Se existe algum Loop na rede(Verifique se a topologia da rede coloca o PFSense realmente como gateway entre a rede do ISP e a sua interna).
    • Na WebGUI do PFSense, vá no PfTop e selecione o parametro como "Destination Port". Verifique se há conexões estranhas.

    Outra solução seria utilizar o "Packet Capture" e Sniffar a rede durante os picos de utilização da internet. Faça esse Sniffer no PFSense, depois jogue o arquivo no Wireshark e analise de onde está vindo o excesso de trafego.



  • Só um detalhe, o akamai é um serviço de alta disponibilidade para site, onde o seu site fica disponível em uma infinidade de ips.

    Normalmente só é utilizado por quem tem $$$ para bancar. Nunca vi ferramentas maliciosas com um serviço destes.

    Será que seu proxy só não está tentando fazer o cache do vídeo/pagina/atualização/qualquer coisa?

    Este documento pode te ajudar em alguma coisa
    http://doc.pfsense.org/index.php/Squid_Package_Tuning#Tweaking_Update_Caching_.2F_Squid_seems_to_download_on_its_own



  • Quantas máquinas você tem atrás deste pfSense?
    Dependendo da quantidade isso é normal, com dezenas de atualizações de software que as máquinas windows fazem constantemente.



  • Pessoal, retirei alguns sites da lista branco do proxy server e ainda por coincidencia, trocaram o radio da minha internet. Aparentemente esta resolvido, nao tenho tido mais este tráfego intenso na WAN …, porém tb por coincidência, esta semana, um notebook que eu desconfiava com Win8 nao esta aki na empresa. Vou esperar até semana q vem e posto novamente se realmente esta resolvido. Mais desde ja agradeço a participaçao de todos.



  • Olá colega, você conseguiu solucionar definitivamente o problema? 
    Era mesmo o serviço do Akamai ?
    Estou com mesmo problema, porém IPs microsoft nos Estados Unidos, com certeza então deverá ser updates do Windows - mas o engraço que eu também pelo States não consegui identificar da LAN, mostra apenas fritando na WAN 1 ,

    Até mais colega ..

    Att..


Log in to reply