пожиратель траффика



  • Добрый день коллеги, придя с отпуска,уткнувшись в rrd graph заметил непонятную ситуацию с траффиком в локальной сети, более меня ввело в ступор то, что, это непонятное поглощение происходит на моих глазах,глядя в Traffic Graph нет ip адреса который бы столько жрал,даже суммируя все локальные адреса.
    Может быть что где-то у кого-то какой то протокол используется который неотображается скачкой в граффике?что посоветуете?





  • возможно в локальной сети вредоносное по с устройства жрет траффик,но почему его не видно в traffic graph?там прекрасно видно что траффик набежал но IP не указан который жрет,в RRD тоже видно что траффис висит,в proxy state все корректно будто бы нагрузки нет,в iftop тоже не видно.Причем траффик набегет с 8 утра и так до 6 вечера,была тема подобная где один из вариантов был- сыпется мультикаст,как проверить пакеты на протоколы?



  • Возможно , что локальный трафик добавляется.



  • глядя в Traffic Graph нет ip адреса который бы столько жрал,даже суммируя все локальные адреса.

    Возможно кто-то спамит к DHCP ?



  • Включите логирование и смотрите что происходит.



  • где именно это логирование?в логах сквида не отображается,будто все нормально :o



  • @mrGreenward:

    где именно это логирование?в логах сквида не отображается,будто все нормально :o

    Логи правил файрвола.



  • в логах не нашел то по какой причине бежит такой траффик,и видно что он бегает по лану,пр вану не так много трафика бежит,в прокси стэйт тоже видно что юзеры много не качают,но вот эти ~10мб бегут капитально,по графикам видно что примерно с 8 утра это начинается…есть еще какие нибудь нюансы,коллеги?




  • еще




  • proxy states




  • вот wan, на нем такой нагрузки нету




  • Ребят,кому интересно,через утилиту bandwidthD заметил активность на одном ип,оказалось,1 комп  досит pfsense и в state это хорошо видно,как убиваю его соединение траффик сразу падает




  • О, спасибо. На будущее запомню.



  • А причина на этом хосте какая?
    В правилах есть опция по количеству соединений с хоста.
    Сделайте 100 соединений на хост, и этого должно хватить для клиентских подключений.



  • причина на хосте даже не ясна,последний раз я закрывал соц сети у сотрудников, возможно этот работник качал проги анонимайзеры ,как наведаюсь к работнику отпишу здесь что там с пк



  • Выяснил причину,оказывается все дело в mail агенте,эта дурная программа на ОС windows 7 в netstat дает тоже самое что и выше по скрину,т.е. кучу запросов от 192.168.1.85:65121 –> 192.168.1.1:80(шлюз).Дело в том что когда только включаешь этот маил агент,то запрос идет 192.168.1.85:65112 -->IP_сервер_маила, проходит время и спамит на шлюз..вот так этот гент спамил мой шлюз с 2х ПК сотрудников