Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Übermäßig hoher Traffic von außen

Mitglied: kkrause2011

kkrause2011 (Level 1) - Jetzt verbinden

20.07.2011 um 10:48 Uhr, 6357 Aufrufe, 14 Kommentare

Hallo zusammen,

ich habe seit einigen Tagen ein Problem mit einer zu hohen Auslastung der Bandbreite und würde gerne mal hören mit welchen Tools ihr übermäßigem Zugriff von außen auf die Schliche kommt.

Vorhanden ist eine 2MBIT SDSL Leitung und Windows Server 2003, die in den Abendstunden in den letzten Tagen komplett ausgereizt wird und somit irgendwann kein Zugriff mehr von außen möglich ist. Leider kann unser Provider QSC nur eine Angabe darüber machen wie stark die Leitung ausgereizt ist (der Router wird komplett von QSC Seite gesteuert). Nach einem Port Reset und dem "leerfegen" des Upstreams ist erst einmal wieder alles in Ordnung.

Kurios ist, dass es in den letzten zwei Wochen überhaupt keine Probleme gab und über den Tag verteilt auch nicht (hier greift der Großteil der Benutzer auf das System zu).

Optimal wäre es, wenn man monitoren könnte, welcher Zugriff über den jeweiligen Port von außen diesen Stress verursacht - habt ihr dort eine Empfehlung?

Wir haben zwar ohnehin ein Upgrade auf 4MBIT in Auftrag gegeben allerdings wäre mir schon lieb zu wissen, wer der Übeltäter ist, um zu vermeiden, dass nicht sofort die 4MBIT auch voll laufen.

Rückfragen gerne!

Viele Grüße und danke vorab für ein paar Anregungen und Hilfestellungen

Kim
Mitglied: Hitman4021
20.07.2011 um 10:51 Uhr
Hallo

was habt ihr für nen Router?

Bei Juniper und Cisco Routern gibt es da wirklich gute Auswertungen dafür.
J-Flow und so

Gruß
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 11:06 Uhr
hehe, das glaube ich gerne!

Leider steht hier ein Siemens SpeedStream 5950, auf den ich eben auch nicht drauf komme. Ich habe es mal mit Netflow Analyzer versucht aber so richtig kriege ich den Router dort nicht eingetragen - vermutlich genau aus dem Grund, dass der Router so direkt aus dem Netzwerk nicht erreichbar ist.

Vielleicht gibt es ja noch kleinere Tools, die das erledigen könnten.

Viele Grüße

Kim
Bitte warten ..
Mitglied: Hitman4021
20.07.2011 um 11:11 Uhr
Hast du irgendwelche managebaren Switches?

Gruß
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 11:24 Uhr
Ist zwar ein gutes Cisco Small Business 48 Port allerdings nicht managebar.
Bitte warten ..
Mitglied: gansa28
20.07.2011 um 12:00 Uhr
H,

Du hast doch sicherlich eine Firewall nach dem Router zeigt die nix an?
Ich hatte mal einen Kunden mit einem Ähnlichen Problem der wurde täglich mit so vielen Anfragen aus dem Ostblock zugebombt das die Leitung komplett Ausgelastet war.

So wie ich das grob überflogen habe musst du bei deinem Upgrade auf 4 M/bit auch den Router wechseln weil dieser nur 2,3M/bit kann.

MFG


Edit: Ok ist wohl ne firewall mit drin.
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 12:05 Uhr
Ja genau, mit dem Upgrade kommt auch ein neuer Router von daher.

Ich habe unterschwellig auch das Gefühl, dass es an irgendwelchen Attacken liegt, die so eine 2MBIT natürlich schnell ausreizen.

Was hat denn dein Kunde in diesem Fall gemacht?

Viele Grüße

Kim
Bitte warten ..
Mitglied: gansa28
20.07.2011 um 12:16 Uhr
Das Problem bei diesem Kunde war das er sein eigener Mail Provider war, 98% von dem Traffic auf der Leitung war SPAM.
Ich habe das so gelöst indem ein EMail Server bei einem Provider gemietet wurde, sich der Exchange die vom Provider gefilterten sauberen Emails nur noch holen musste. Fertig. Die Leitung war dann Sauber. Eine Firewall filterte hier nur noch den Üblichen Müll raus, oder Verwaltete die VPN Verbindungen.

Ich glaube aber das wird wohl nicht dein Problem sein. Wenn man bei dir nur identifizieren könnte wer so viel Traffic auf deiner Leitung fabriziert. Das wird man wohl nur in dem SpeedStream sehen können, oder in einer Firewall nach dem Router.
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 13:34 Uhr
Genau, der Mailserver läuft nicht vor Ort.

Ich hatte erst überlegt den QSC eigenen Firewall Service zu nutzen. Allerdings ist es ja so, dass ausschließlich der Upstream lahmgelegt wird - der Downstream ist komplett im Rahmen, was ja eher gegen DDoS oä. spricht und somit die Firewall eigentlich auch nichts bringt.

Der Traffic wird also definitiv beim Senden der Daten verursacht.

An den Speedstream Router komme ich ja leider nicht ran - alles sehr verzwickt :/
Bitte warten ..
Mitglied: SlainteMhath
20.07.2011 um 13:54 Uhr
Moin,

wenn du an den Router selber nicht rankommst, hast Du nur die Möglichkeit den Netzwerkverkehr zu sniffen.
Dazu spiegelst Du dir entweder den Switchport des Routers auf einen 2ten Port un haengst da einen Rechner mit Wireshark o.ä. dran, oder du haengst einen PC mit 2 Netzwerkkarten die gebridged werden zwischen den Router und dein LAN und lässt da dann Wireshark laufen.

lg,
Slainte

/EDIT:
Hoher Upstream deutet u.U. auf einen Filesharinlcient/Bittorrent client bei dir im Netz oder evtl. einen Trojaner/Botnetz das SPAM verschickt. Hast Du ausgehende FW Regeln definiert am Router?
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 14:09 Uhr
Hi Slainte,

danke für die Tipps!

Das mit dem Filesharing/Botnet ist eben auch genau das, was ich unterbewusst vermute, weil die normale Nutzerlast tagsüber ganz problemlos geschultert wird.

Gibt es hier einen Ansatz den Verdacht zu erhärten? Werde ansonsten mal die Wireshark Varianten versuchen.

LG,

Kim
Bitte warten ..
Mitglied: 64748
20.07.2011 um 14:24 Uhr
Hallo Kim,

wenn Du mit Wireshark gezielt nach bestimmtem Traffic suchen willst, z.B. Torrent, dann könnten dieses Tutorial hilfreich sein http://wiki.wireshark.org/BitTorrent
Es werden auch Beispiele angegeben. Wenn es kein bestimmter Port ist über den der Verkehr läuft, dann muss man mit Wireshark gezielt suchen, sonst findet man nix.

Markus
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 14:37 Uhr
Danke für die Anregungen! Ich werde mal 1-2 Dinge auf den Weg bringen und schauen, ob es heute Abend wieder passiert.

Melde mich wieder!
Bitte warten ..
Mitglied: Dirmhirn
20.07.2011 um 15:02 Uhr
Hi!

Häng dich mal mit einem Hub zwischen Firewall und Router. An den Hub hängst einen alten PC und loggst mit Wireshark mit. Dann siehst alles. Falls der Router = Firewall - dann frag mal bei deinem Provider nach. Wenn die das Ding "verwalten" dann müssen die da doch mehr machen können. Sollen sie dir halt die Zugangsdaten schicken.
EDIT: die Seite war ein Zeitl offen - da kamen zwischendurch paar Postings dazu
sg Dirm
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 15:17 Uhr
Danke!

Leider lässt sich von QSC Seite nichts machen. Ich hatte auch gehofft, dass die mehr protokollieren - deren Aussage ist aber nur, dass sie ausschließlich die Bandbreitennutzung abfragen dürfen...glaube ich zwar nicht so ganz dran aber muss ich jetzt erstmal.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Exchange 2016 hoher Traffic zu amupdatedl.microsoft.com

Frage von daChrisWindows Server4 Kommentare

Guten Morgen liebe Kollegen! Ich würde gerne wissen ob das ein normales Verhalten des Exchange 2016 auf Windows 2016 ...

Router & Routing

FIrewall Webfilter produziert extrem hohen Traffic

gelöst Frage von ketanest112Router & Routing22 Kommentare

Hallo zusammen, ich hab ne Sophos UTM 9 Home laufen. Bisher hat alles soweit super funktioniert. Nun habe ich ...

Windows Server

Hoher Wsus Traffic zu Microsoft IP 13.107.4.50

Frage von KnorkatorWindows Server

Hallo zusammen, seit einiger Zeit (hab mal bis zum 19.12) zurückgeblättert, protokolliert unsere Firewall, dass der WSUS Server jede ...

Server

Internet traffic

gelöst Frage von xani123Server6 Kommentare

Hallo Leute Ich möchte den Internet Datenverkehr analysieren. Gibt es eine Möglichkeit dies auf dem Server oder AD zu ...

Neue Wissensbeiträge
Linux Netzwerk

Installation eines Logservers mit Loganalyzer als Debian-VM auf Hyper-V

Anleitung von lcer00 vor 9 StundenLinux Netzwerk

Zuerst sei auf den schönen Beitrag von aqui hier im Forum verwiesen, in dem die loganalyzer-installation bereits beschrieben ist: ...

Humor (lol)
Antennagate 2018
Information von magicteddy vor 9 StundenHumor (lol)2 Kommentare

Da haut der angekaute Elektronikhersteller die teuersten Geräte auf den Markt und bekommt anscheinend die Basics mal wieder nicht ...

Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 1 TagDatenschutz3 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 2 TagenVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

Heiß diskutierte Inhalte
E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail24 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows Server
In-Place Upgrade von Windows Server 2008 R2 Datacenter zu Windows Server 2016 Datacenter (Zwischenschritt über 2012 R2)
gelöst Frage von TowerpleaseWindows Server16 Kommentare

Hallo Administratoren, Wir haben uns vor ein paar Monaten Windows Server 2016 Datacenter Lizenzen gekauft und wollen nun unsere ...

Firewall
Wesyb Offline
Frage von DkuehlbornFirewall14 Kommentare

Hallo Kollegen, ein Kunde hat von Wesyb die Sicherheitslösung im Einsatz. Seit August scheint deren Internetseite nicht mehr verfügbar ...

Video & Streaming
DVD auf Festplatte sichern
Frage von Thor01Video & Streaming13 Kommentare

Hallo, mittlerweile hat meine DVD Sammlung ein alter erreicht wo die eine oder andere DVD schon das Zeitliche gesegnet ...