Courbes de trafic laissant présager le pire ??

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Courbes de trafic laissant présager le pire ??

Messagepar phaby » 06 Déc 2004 12:57

Bonjour,

JE suis tres inquiet, ce matin dans mes courbes de traffic j'ai deux crenaux où le traffic sortant sur le RED (et entrant sur le green) est aux max (c'est une connexion 2Mo symetrique!! donc du 2Mo en upload)

creanaux 17h-23h le 05/12 et 02h-09h le 06/12 à 2Mo on peut en telecharger des trucs !!! :-(

ça m'inquiete car ce sont donc des donnees qui sortent de mon reseau !!

j'ai cherché dans les logs mais je ne sais pas comment trouvé la trace de la connexion qui correspond à ce traffic.

Pourriez-vous me guider et m'aider ?

Quelles mesures puis-je prendre rapidement ?

merci d'avance à tous !

edit: je suis en Ipcop 1.4.1, Copfilter, Dhcp, 5 alias IP publiques,
Dernière édition par phaby le 06 Déc 2004 13:05, édité 1 fois au total.
Avatar de l’utilisateur
phaby
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 04 Nov 2003 01:00
Localisation: Pas tres loin

Messagepar tomtom » 06 Déc 2004 13:00

- Verouille le traffic sortant (utilise un proxy par exemple pour le web).
- Archive tes logs (/var/log/messages en particulier)

Ca sent le p2p un truc comme ca, ou alors un user qui a monte un ftp pour recuperer des trucs et ainsi profitter des 2Megas...

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar phaby » 06 Déc 2004 14:59

Si je verouille le trafic sortant avec un proxy si quelqu'un de l'exterieur vient telecharger chez moi ça ne se verra pas si ?

Pas de p2p, peu de poste dans le LAN j'ai verifié, si quelqu'un à monter un FTP en local comment peut-il faire pour s'y connecter sans avoir une ouverture et redirection de ports vers sa machine


Voici mon graph, ce sera plus explicite :

http://olargues.free.fr/2004/grafgw.jpg
Avatar de l’utilisateur
phaby
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 04 Nov 2003 01:00
Localisation: Pas tres loin

Messagepar kinkey » 06 Déc 2004 15:15

C'est pas forcement mauvais, je suppose que la partie qui t'inquiete est la plage de 2h00 à 8h00, j'ai remarqué ce matin que XP sp2 avait comme plage horaire, pour ce connecter à windows update, 3h00.

Pour les logs regarde dans l'interface http > Journaux > Journal du par-feu. Base toi sur la date et l'heure pour te retrouver ou si tu a l'ame d'un guerrier tu peux le faire en console :

Code: Tout sélectionner
cat messages | grep -i "dec\ \ 6\ 02:*" | grep -i "kernel" | grep -i "eth1"

C'est pas ce que j'ai fais de plus propre mais ca marche :) Tu a juste à adpater ton eth pour filtrer par la red.
! Meme pas peur !
FAQ
Avatar de l’utilisateur
kinkey
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 292
Inscrit le: 09 Avr 2003 00:00
Localisation: Lyon

Messagepar carbone » 06 Déc 2004 15:32

Bonjour,

et pourquoi pas installer ipfmla
http://www.fesch.lu/ipfmla
qui te permettra de voir quel machine dl/ul dans ton réseau (si le problème vient de l'intérieur)
Big Brother is watching you!
G. Orwell, 1984
Avatar de l’utilisateur
carbone
Contre-Amiral
Contre-Amiral
 
Messages: 490
Inscrit le: 11 Sep 2002 00:00
Localisation: Wavre (Be)

Messagepar tomtom » 06 Déc 2004 16:00

kinkey a écrit:C'est pas forcement mauvais, je suppose que la partie qui t'inquiete est la plage de 2h00 à 8h00, j'ai remarqué ce matin que XP sp2 avait comme plage horaire, pour ce connecter à windows update, 3h00.


Windows update, je veux bien...

130 Ko de traffic SORTANT pendant 6 heures, heu ???? je sais pas ce qu'il ferait windows update, mais ca me semble quand même inquietant.

C'est typiquement quelqu'un du lan qui s'est connecté à un ftp et qui a uploadé un truc (ca fait quand même quasi 3 Go de données !), ou alors un p2p (mais tu sembles avoir ecarté l'hypothèse).

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar phaby » 06 Déc 2004 18:46

si on regarde sur mon graphe le petit pic en fin du graphe c'est un telechargement que j'ai fais sur le net depuis un poste du LAN
donc si je comprends bien les crenaux sont des telechargement de donnees du LAN vers l'exterieur.

Si un poste du LAN avait telechargé sur un FTP ce serait representé comme mon telechargement (en vert sur le RED graphique)

toi tu dirais que c'est quelqu'un qui a deposé des donnees sur un FTP exterieur ? ça , ça correspondrait ?

carbone>je connais pas ipfmla, je vais allé voir, ça prend beaucoup de ressources ?
Avatar de l’utilisateur
phaby
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 04 Nov 2003 01:00
Localisation: Pas tres loin

Messagepar tomtom » 06 Déc 2004 18:52

Bien sur !

En ftp, tu peux faire des gets et des puts.

Si tu fais un put, tu consommes la bande dans l'autre sens ;)

Vu la continuité du débit, je suis quasi sur qu'il s'agit d'un ftp.

130 Ko, ca fait un peu plus qu'1 Mbit/s, c'est un taux de download très courant de nos jours sur les offres haut débit. Même que si en fait c'est 128 Ko, ca nous fait pile 1 Mbit/s .

Si le telechargement a été lancé de l'interieur, c'est surement un user qui a voulu s'enoyer de la donnée chez lui (vu le volume, des iso par exemple !)*

S'il a été lancé depuis l'exterieur, ca veut dire d'une part que quelqu'un a monté un ftp dans ton lan et d'autre part qu'il a créé les règles qui vont bien sur le firewall pour acceder à ce ftp.

TU dis que tu as 5 ip publiques : Commetn sont elles traitées par IPCop ? tout une addresse est renvoyée à tout un serveur ? Ou c'est un transfert par port ?

Qu'as tu comme serveur dans tes dmz ?

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar phaby » 06 Déc 2004 20:11

en ce qui concerne les adresse IP, il y a differentes redirections (web, ssh, filemaker,..... pas de FTP) vers differents serveurs. En general une adresse vers un serveur sur ports necessaires (sauf 2 @ qui pointent vers le meme serveur)

Dans mes regles de transfert de ports j'ai uniquement celles necessaires (pas de ftp), est-il possible que la regle n'apparaissent pas sur interface web. Faut aussi avoir eu l'acces en root au firewall !!
En plus je vois pas grand monde qui soit capable de faire ça dans la boite !!


Je n'ai malheureusement pas de DMZ, je suis arrivé dans la boite ya 6 mois j'ai du faire avec ce qui existait (pas de firewall et architecture complexe j'entends par là que les 3/4 des liens entre site web, bases Filemaker, scripts s'ont fait sur des @IP privees, la moindre petite modif peut entrainer de nombreux dysfonctionnement), c'est dans mes projets d'installer une DMZ mais faut tout bien remettre à plat. enfin pour l'instant c'est comme ça....

Est ce qu'il est possible de retrouver l'adresse vers laquelle ou depuis laquelle les telechargements ont été faits.

ipfmla a l'air bien sympa mais sur la 1.4.1 je sais pas si ça a été testé. Je pense que je vais faire quelques recherches et le tester si je peux
Avatar de l’utilisateur
phaby
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 04 Nov 2003 01:00
Localisation: Pas tres loin

Messagepar Belphegor » 06 Déc 2004 20:18

Salut,

Après consultation de tes graph et comparaison avec les miens j'ai aussi ce genre de pics :

:arrow: en ce qui me concerne il s'agit de streaming audio.

j'écoute beaucoup la radio par internet ...
Peut-être est-ce une piste à suivre ?!

Bon courage pour tes recherches.

@+
BeLpHeGoR
Avatar de l’utilisateur
Belphegor
Second Maître
Second Maître
 
Messages: 31
Inscrit le: 28 Sep 2004 17:18
Localisation: 53

Messagepar phaby » 06 Déc 2004 20:38

ça me parait possible car il y a du monde jusqu'a 2 h du mat' qui bosse (1 ou 2 max on la possibilité d'ecouter la radio sur le net les autres pas d'enceintes !!).

mais dans la journee 4 à 5 personnes sont susceptibles de l'ecouter, je sais que 2 ou 3 l'ecoute et je n'ai pas ces graphes. Ecouter la radio me saturerait ma connexion (130ko) !!

je n'ecarte aucune hypthese... j'ai noté 'streaming radio' je ferais un test demain avec 1/2h de radio et on verra, mais je doute
Avatar de l’utilisateur
phaby
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 04 Nov 2003 01:00
Localisation: Pas tres loin

Messagepar tomtom » 06 Déc 2004 23:33

....

Le streaming, c'est du download ! Les lflux audio sont entrants !

130 Ko de traffic sortant, c'est le serveur de stream qui est chez toi ;)

SIncèrement, j'y crois pas ....


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar carbone » 07 Déc 2004 09:43

salut,

pour ipfmla, va voir sur :
http://forums.fr.ixus.net/viewtopic.php ... &start=105
le topic d'origine de cet addon de Fesch. Il marche apparemment pour la 1.04, mais il faut parfois faire une manip dans un fichier (cf topic).
Big Brother is watching you!
G. Orwell, 1984
Avatar de l’utilisateur
carbone
Contre-Amiral
Contre-Amiral
 
Messages: 490
Inscrit le: 11 Sep 2002 00:00
Localisation: Wavre (Be)

Messagepar phaby » 07 Déc 2004 10:47

carbone>merci, je l'avais trouvé en faisant une recherche :wink: mais pas eu le temps ni le courage de le lire entier :oops:

Le streaming, c'est du download ! Les lflux audio sont entrants !

130 Ko de traffic sortant, c'est le serveur de stream qui est chez toi

SIncèrement, j'y crois pas ....


Faut y croire ...... j'ai une camera de surveillance dans les locaux. Mon patron ne s'en ai jamais servi depuis l'exterieur mais il a du essayer sans m'en toucher un mot, faut que je lui demande ça !!
les heures correspondraient bien.

edit : c'est pas lui !! :cry:

où puis-je retrouver les connexions correspondant à ces horaires (celles qu'on visualise dans Etat>Connexions)

ça c'est reproduit cette nuit de 22h30 à 0h30 - j'ai desactivé le transfert de port pour la camera on verra si ça se reproduit.
Avatar de l’utilisateur
phaby
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 04 Nov 2003 01:00
Localisation: Pas tres loin

Messagepar Fesch » 07 Déc 2004 11:15

Ai-je entendu quelqu'un dire IpfmLA? :D

Si t'as besoin d'une nouvelle fonctionnalité, laisse-moi savoir au plus vite car je suis en train de travailler sur la prochaine version qui va sortir sous peu...
Pourquoi lis-tu ceci???
Avatar de l’utilisateur
Fesch
Amiral
Amiral
 
Messages: 2505
Inscrit le: 11 Sep 2003 00:00
Localisation: Luxembourg

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron