Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Übermäßig hoher Traffic von außen

Mitglied: kkrause2011

kkrause2011 (Level 1) - Jetzt verbinden

20.07.2011 um 10:48 Uhr, 6289 Aufrufe, 14 Kommentare

Hallo zusammen,

ich habe seit einigen Tagen ein Problem mit einer zu hohen Auslastung der Bandbreite und würde gerne mal hören mit welchen Tools ihr übermäßigem Zugriff von außen auf die Schliche kommt.

Vorhanden ist eine 2MBIT SDSL Leitung und Windows Server 2003, die in den Abendstunden in den letzten Tagen komplett ausgereizt wird und somit irgendwann kein Zugriff mehr von außen möglich ist. Leider kann unser Provider QSC nur eine Angabe darüber machen wie stark die Leitung ausgereizt ist (der Router wird komplett von QSC Seite gesteuert). Nach einem Port Reset und dem "leerfegen" des Upstreams ist erst einmal wieder alles in Ordnung.

Kurios ist, dass es in den letzten zwei Wochen überhaupt keine Probleme gab und über den Tag verteilt auch nicht (hier greift der Großteil der Benutzer auf das System zu).

Optimal wäre es, wenn man monitoren könnte, welcher Zugriff über den jeweiligen Port von außen diesen Stress verursacht - habt ihr dort eine Empfehlung?

Wir haben zwar ohnehin ein Upgrade auf 4MBIT in Auftrag gegeben allerdings wäre mir schon lieb zu wissen, wer der Übeltäter ist, um zu vermeiden, dass nicht sofort die 4MBIT auch voll laufen.

Rückfragen gerne!

Viele Grüße und danke vorab für ein paar Anregungen und Hilfestellungen

Kim
Mitglied: Hitman4021
20.07.2011 um 10:51 Uhr
Hallo

was habt ihr für nen Router?

Bei Juniper und Cisco Routern gibt es da wirklich gute Auswertungen dafür.
J-Flow und so

Gruß
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 11:06 Uhr
hehe, das glaube ich gerne!

Leider steht hier ein Siemens SpeedStream 5950, auf den ich eben auch nicht drauf komme. Ich habe es mal mit Netflow Analyzer versucht aber so richtig kriege ich den Router dort nicht eingetragen - vermutlich genau aus dem Grund, dass der Router so direkt aus dem Netzwerk nicht erreichbar ist.

Vielleicht gibt es ja noch kleinere Tools, die das erledigen könnten.

Viele Grüße

Kim
Bitte warten ..
Mitglied: Hitman4021
20.07.2011 um 11:11 Uhr
Hast du irgendwelche managebaren Switches?

Gruß
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 11:24 Uhr
Ist zwar ein gutes Cisco Small Business 48 Port allerdings nicht managebar.
Bitte warten ..
Mitglied: gansa28
20.07.2011 um 12:00 Uhr
H,

Du hast doch sicherlich eine Firewall nach dem Router zeigt die nix an?
Ich hatte mal einen Kunden mit einem Ähnlichen Problem der wurde täglich mit so vielen Anfragen aus dem Ostblock zugebombt das die Leitung komplett Ausgelastet war.

So wie ich das grob überflogen habe musst du bei deinem Upgrade auf 4 M/bit auch den Router wechseln weil dieser nur 2,3M/bit kann.

MFG


Edit: Ok ist wohl ne firewall mit drin.
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 12:05 Uhr
Ja genau, mit dem Upgrade kommt auch ein neuer Router von daher.

Ich habe unterschwellig auch das Gefühl, dass es an irgendwelchen Attacken liegt, die so eine 2MBIT natürlich schnell ausreizen.

Was hat denn dein Kunde in diesem Fall gemacht?

Viele Grüße

Kim
Bitte warten ..
Mitglied: gansa28
20.07.2011 um 12:16 Uhr
Das Problem bei diesem Kunde war das er sein eigener Mail Provider war, 98% von dem Traffic auf der Leitung war SPAM.
Ich habe das so gelöst indem ein EMail Server bei einem Provider gemietet wurde, sich der Exchange die vom Provider gefilterten sauberen Emails nur noch holen musste. Fertig. Die Leitung war dann Sauber. Eine Firewall filterte hier nur noch den Üblichen Müll raus, oder Verwaltete die VPN Verbindungen.

Ich glaube aber das wird wohl nicht dein Problem sein. Wenn man bei dir nur identifizieren könnte wer so viel Traffic auf deiner Leitung fabriziert. Das wird man wohl nur in dem SpeedStream sehen können, oder in einer Firewall nach dem Router.
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 13:34 Uhr
Genau, der Mailserver läuft nicht vor Ort.

Ich hatte erst überlegt den QSC eigenen Firewall Service zu nutzen. Allerdings ist es ja so, dass ausschließlich der Upstream lahmgelegt wird - der Downstream ist komplett im Rahmen, was ja eher gegen DDoS oä. spricht und somit die Firewall eigentlich auch nichts bringt.

Der Traffic wird also definitiv beim Senden der Daten verursacht.

An den Speedstream Router komme ich ja leider nicht ran - alles sehr verzwickt :/
Bitte warten ..
Mitglied: SlainteMhath
20.07.2011 um 13:54 Uhr
Moin,

wenn du an den Router selber nicht rankommst, hast Du nur die Möglichkeit den Netzwerkverkehr zu sniffen.
Dazu spiegelst Du dir entweder den Switchport des Routers auf einen 2ten Port un haengst da einen Rechner mit Wireshark o.ä. dran, oder du haengst einen PC mit 2 Netzwerkkarten die gebridged werden zwischen den Router und dein LAN und lässt da dann Wireshark laufen.

lg,
Slainte

/EDIT:
Hoher Upstream deutet u.U. auf einen Filesharinlcient/Bittorrent client bei dir im Netz oder evtl. einen Trojaner/Botnetz das SPAM verschickt. Hast Du ausgehende FW Regeln definiert am Router?
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 14:09 Uhr
Hi Slainte,

danke für die Tipps!

Das mit dem Filesharing/Botnet ist eben auch genau das, was ich unterbewusst vermute, weil die normale Nutzerlast tagsüber ganz problemlos geschultert wird.

Gibt es hier einen Ansatz den Verdacht zu erhärten? Werde ansonsten mal die Wireshark Varianten versuchen.

LG,

Kim
Bitte warten ..
Mitglied: 64748
20.07.2011 um 14:24 Uhr
Hallo Kim,

wenn Du mit Wireshark gezielt nach bestimmtem Traffic suchen willst, z.B. Torrent, dann könnten dieses Tutorial hilfreich sein http://wiki.wireshark.org/BitTorrent
Es werden auch Beispiele angegeben. Wenn es kein bestimmter Port ist über den der Verkehr läuft, dann muss man mit Wireshark gezielt suchen, sonst findet man nix.

Markus
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 14:37 Uhr
Danke für die Anregungen! Ich werde mal 1-2 Dinge auf den Weg bringen und schauen, ob es heute Abend wieder passiert.

Melde mich wieder!
Bitte warten ..
Mitglied: Dirmhirn
20.07.2011 um 15:02 Uhr
Hi!

Häng dich mal mit einem Hub zwischen Firewall und Router. An den Hub hängst einen alten PC und loggst mit Wireshark mit. Dann siehst alles. Falls der Router = Firewall - dann frag mal bei deinem Provider nach. Wenn die das Ding "verwalten" dann müssen die da doch mehr machen können. Sollen sie dir halt die Zugangsdaten schicken.
EDIT: die Seite war ein Zeitl offen - da kamen zwischendurch paar Postings dazu
sg Dirm
Bitte warten ..
Mitglied: kkrause2011
20.07.2011 um 15:17 Uhr
Danke!

Leider lässt sich von QSC Seite nichts machen. Ich hatte auch gehofft, dass die mehr protokollieren - deren Aussage ist aber nur, dass sie ausschließlich die Bandbreitennutzung abfragen dürfen...glaube ich zwar nicht so ganz dran aber muss ich jetzt erstmal.
Bitte warten ..
Ähnliche Inhalte
Router & Routing

FIrewall Webfilter produziert extrem hohen Traffic

gelöst Frage von ketanest112Router & Routing22 Kommentare

Hallo zusammen, ich hab ne Sophos UTM 9 Home laufen. Bisher hat alles soweit super funktioniert. Nun habe ich ...

Windows Server

Hoher Wsus Traffic zu Microsoft IP 13.107.4.50

Frage von KnorkatorWindows Server

Hallo zusammen, seit einiger Zeit (hab mal bis zum 19.12) zurückgeblättert, protokolliert unsere Firewall, dass der WSUS Server jede ...

Server

Internet traffic

gelöst Frage von xani123Server6 Kommentare

Hallo Leute Ich möchte den Internet Datenverkehr analysieren. Gibt es eine Möglichkeit dies auf dem Server oder AD zu ...

Netzwerkgrundlagen

Traffic OpenVZ

gelöst Frage von ProtectedNetzwerkgrundlagen5 Kommentare

Hallo, ich habe eine Verständnisfrage: ich messe den Traffic via IP-Tables bei den openVZ Container. Jetzt zeigt dieser mir ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 16 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 22 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 1 TagSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server25 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless22 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

SAN, NAS, DAS
Qnap TS-453S Pro - Anbindung Active Directory
Frage von JuckieSAN, NAS, DAS13 Kommentare

Hallo zusammen, ich habe hier eine Qnap TS-453S Pro die sich mal so absolut gar nicht in das Active ...