extremer Upload & Download ins WAN

1. offizieller Beitrag

    Hello Everyone,


    wir haben ein ziemliches Problem:
    Kunde von uns hat einen SBS2003 mit 20 Clients.
    Drauf läuft der Exchange und der Webserver.
    Der SBS routed dann weiter auf einen LinkSys-Router, der auch Firewall darstellt - und von dort ins WAN.


    Soweit so gut - aber:
    Seit einigen Tagen ist die Up&Donwload-Rate explodiert. Vor Allem die Upload-Rate ist enorm --> zwischen 8-10GB pro Tag.


    VPN haben wir abgedreht, User haben kein Filesharing installiert (haben wir so gut wie geht gecheckt), und am Wochenende ist nahezu kein Traffic (also kein Virus denke ich), sodass die Vermutung doch naheliegt, dass ein User dies initiziert.


    Wir haben noch zusätzlich einen Terminal-Server installiert, der aber nur von 2 usern - und dass auch nur spärlich - verwendet wird.


    Gibt es IRGENDWIE eine Möglichkeit die Aktivitäten zu protokollieren? Hat der WebServer vielleicht eine Protokollierungsmöglichkeit? Oder habt Ihr sonst eine Idee wie man dem Übeltäter auf die Schliche kommen könnte!!!


    Wäre toll, wenn Ihr Ideen hättet!


    1000dank,
    mex

    Hi Nobby,


    thx für die rasche Antwort.
    Aber wie vermutet is es nicht ein open Relay. Der Test-Report hat ergeben, dass alle Versuche fehlgeschlagen haben:
    All tests performed, no relays accepted.


    Wir haben das relaying zwar erlaubt - aber nur für 2 authentifizierte Benutzer (die den Server als pop&smtp verwenden).


    ausserdem hätten wir das im SysManager gesehen, wenn da 1000ende mails in der Schlange stehen, oder?


    Protokollierung gibts nicht? MailVerkehr ist bei weiterm nicht dermassen intensiv, dass das Volume zustande kommen könnte...


    Das Hauptproblem ist ja, dass das GW jedes PC´s direkt auf den Router geht - damit is ein Protokoll serverseitig unmöglich, korrekt?


    Müssen wir nun eine FW installieren um das in den Griff zu bekommen?? nehm ich mal an??!


    Danke nochmals,
    mex

    hi backdoor,


    thx auch für deinen beitrag - hab das tool auf dem kundenserver installiert und bekomme auch ganz gute Statistiken.
    Habe auch 2 PC die überdurchschnittlich viel an TCP-Traffic aufweisen. ABer genaugenommen kann ich mit der Anzahl an IP-Paketen nix anfangen - wieviel MB sind 1000 Pakete??


    Sogesehen komme ich der Ursache eigentlich nicht näher!


    trotzdem danke
    lg
    mex

    • Offizieller Beitrag

    Hallo,


    wegen der Paket schau mal hier


    http://de.wikipedia.org/wiki/Transmission_Control_Protocol


    Da ist es mit der Grösse besser erklärt als ich es auf die schnelle erklären kann.


    Du kannst doch im Sniffer erkennen von welchen Rechner (IP-Adresse) sehr viel traffic kommt, mal abgesehen von dem Datenvolumen.
    Dann kanst du diser Rechner doch mal genauer unter die Lupe nehmen
    Schau auf den PC's mal unter den eigenschaften der NIC, dort findest Du den Traffic :)

    Hello,


    ich wollte nur kurz bescheid geben was die Ursache war:


    Ein User hat ein FileSharing installiert und den Upload erlaubt.
    Gesamtschaden: ? 1.100,- wegen 36GB Datenvolumenüberschreitung!!


    Draufgekommen bin ich über das von euch erwähnte Tool ethereal!! das ist gut!


    Am Router ist leider keine Protokollierung gelaufen --> ist nun aber aktiviert!! (kann ich nur empfehlen wenn keine FW)


    Danke für Eure Beiträge,
    lg
    mex