Courbes de trafic laissant présager le pire ??

[phaby]

Bonjour,

JE suis tres inquiet, ce matin dans mes courbes de traffic j'ai deux crenaux où le traffic sortant sur le RED (et entrant sur le green) est aux max (c'est une connexion 2Mo symetrique!! donc du 2Mo en upload)

creanaux 17h-23h le 05/12 et 02h-09h le 06/12 à 2Mo on peut en telecharger des trucs !!!

ça m'inquiete car ce sont donc des donnees qui sortent de mon reseau !!

j'ai cherché dans les logs mais je ne sais pas comment trouvé la trace de la connexion qui correspond à ce traffic.

Pourriez-vous me guider et m'aider ?

Quelles mesures puis-je prendre rapidement ?

merci d'avance à tous !

edit: je suis en Ipcop 1.4.1, Copfilter, Dhcp, 5 alias IP publiques,

[tomtom]

- Verouille le traffic sortant (utilise un proxy par exemple pour le web).
- Archive tes logs (/var/log/messages en particulier)

Ca sent le p2p un truc comme ca, ou alors un user qui a monte un ftp pour recuperer des trucs et ainsi profitter des 2Megas...

t.

[phaby]

Si je verouille le trafic sortant avec un proxy si quelqu'un de l'exterieur vient telecharger chez moi ça ne se verra pas si ?

Pas de p2p, peu de poste dans le LAN j'ai verifié, si quelqu'un à monter un FTP en local comment peut-il faire pour s'y connecter sans avoir une ouverture et redirection de ports vers sa machine


Voici mon graph, ce sera plus explicite :

http://olargues.free.fr/2004/grafgw.jpg

[kinkey]

C'est pas forcement mauvais, je suppose que la partie qui t'inquiete est la plage de 2h00 à 8h00, j'ai remarqué ce matin que XP sp2 avait comme plage horaire, pour ce connecter à windows update, 3h00.

Pour les logs regarde dans l'interface http > Journaux > Journal du par-feu. Base toi sur la date et l'heure pour te retrouver ou si tu a l'ame d'un guerrier tu peux le faire en console :

Code: Tout sélectionner

cat messages | grep -i "dec\ \ 6\ 02:*" | grep -i "kernel" | grep -i "eth1"

C'est pas ce que j'ai fais de plus propre mais ca marche Tu a juste à adpater ton eth pour filtrer par la red.

[carbone]

Bonjour,

et pourquoi pas installer ipfmla
http://www.fesch.lu/ipfmla
qui te permettra de voir quel machine dl/ul dans ton réseau (si le problème vient de l'intérieur)

[tomtom]

C'est pas forcement mauvais, je suppose que la partie qui t'inquiete est la plage de 2h00 à 8h00, j'ai remarqué ce matin que XP sp2 avait comme plage horaire, pour ce connecter à windows update, 3h00.

Windows update, je veux bien...

130 Ko de traffic SORTANT pendant 6 heures, heu ???? je sais pas ce qu'il ferait windows update, mais ca me semble quand même inquietant.

C'est typiquement quelqu'un du lan qui s'est connecté à un ftp et qui a uploadé un truc (ca fait quand même quasi 3 Go de données !), ou alors un p2p (mais tu sembles avoir ecarté l'hypothèse).

t.

[phaby]

si on regarde sur mon graphe le petit pic en fin du graphe c'est un telechargement que j'ai fais sur le net depuis un poste du LAN
donc si je comprends bien les crenaux sont des telechargement de donnees du LAN vers l'exterieur.

Si un poste du LAN avait telechargé sur un FTP ce serait representé comme mon telechargement (en vert sur le RED graphique)

toi tu dirais que c'est quelqu'un qui a deposé des donnees sur un FTP exterieur ? ça , ça correspondrait ?

carbone>je connais pas ipfmla, je vais allé voir, ça prend beaucoup de ressources ?

[tomtom]

Bien sur !

En ftp, tu peux faire des gets et des puts.

Si tu fais un put, tu consommes la bande dans l'autre sens

Vu la continuité du débit, je suis quasi sur qu'il s'agit d'un ftp.

130 Ko, ca fait un peu plus qu'1 Mbit/s, c'est un taux de download très courant de nos jours sur les offres haut débit. Même que si en fait c'est 128 Ko, ca nous fait pile 1 Mbit/s .

Si le telechargement a été lancé de l'interieur, c'est surement un user qui a voulu s'enoyer de la donnée chez lui (vu le volume, des iso par exemple !)*

S'il a été lancé depuis l'exterieur, ca veut dire d'une part que quelqu'un a monté un ftp dans ton lan et d'autre part qu'il a créé les règles qui vont bien sur le firewall pour acceder à ce ftp.

TU dis que tu as 5 ip publiques : Commetn sont elles traitées par IPCop ? tout une addresse est renvoyée à tout un serveur ? Ou c'est un transfert par port ?

Qu'as tu comme serveur dans tes dmz ?

t.

[phaby]

en ce qui concerne les adresse IP, il y a differentes redirections (web, ssh, filemaker,..... pas de FTP) vers differents serveurs. En general une adresse vers un serveur sur ports necessaires (sauf 2 @ qui pointent vers le meme serveur)

Dans mes regles de transfert de ports j'ai uniquement celles necessaires (pas de ftp), est-il possible que la regle n'apparaissent pas sur interface web. Faut aussi avoir eu l'acces en root au firewall !!
En plus je vois pas grand monde qui soit capable de faire ça dans la boite !!


Je n'ai malheureusement pas de DMZ, je suis arrivé dans la boite ya 6 mois j'ai du faire avec ce qui existait (pas de firewall et architecture complexe j'entends par là que les 3/4 des liens entre site web, bases Filemaker, scripts s'ont fait sur des @IP privees, la moindre petite modif peut entrainer de nombreux dysfonctionnement), c'est dans mes projets d'installer une DMZ mais faut tout bien remettre à plat. enfin pour l'instant c'est comme ça....

Est ce qu'il est possible de retrouver l'adresse vers laquelle ou depuis laquelle les telechargements ont été faits.

ipfmla a l'air bien sympa mais sur la 1.4.1 je sais pas si ça a été testé. Je pense que je vais faire quelques recherches et le tester si je peux

[Belphegor]

Salut,

Après consultation de tes graph et comparaison avec les miens j'ai aussi ce genre de pics :

en ce qui me concerne il s'agit de streaming audio.

j'écoute beaucoup la radio par internet ...
Peut-être est-ce une piste à suivre ?!

Bon courage pour tes recherches.

@+

[phaby]

ça me parait possible car il y a du monde jusqu'a 2 h du mat' qui bosse (1 ou 2 max on la possibilité d'ecouter la radio sur le net les autres pas d'enceintes !!).

mais dans la journee 4 à 5 personnes sont susceptibles de l'ecouter, je sais que 2 ou 3 l'ecoute et je n'ai pas ces graphes. Ecouter la radio me saturerait ma connexion (130ko) !!

je n'ecarte aucune hypthese... j'ai noté 'streaming radio' je ferais un test demain avec 1/2h de radio et on verra, mais je doute

[tomtom]

....

Le streaming, c'est du download ! Les lflux audio sont entrants !

130 Ko de traffic sortant, c'est le serveur de stream qui est chez toi

SIncèrement, j'y crois pas ....


t.

[carbone]

salut,

pour ipfmla, va voir sur :
http://forums.fr.ixus.net/viewtopic.php ... &start=105
le topic d'origine de cet addon de Fesch. Il marche apparemment pour la 1.04, mais il faut parfois faire une manip dans un fichier (cf topic).

[phaby]

carbone>merci, je l'avais trouvé en faisant une recherche mais pas eu le temps ni le courage de le lire entier

Le streaming, c'est du download ! Les lflux audio sont entrants !

130 Ko de traffic sortant, c'est le serveur de stream qui est chez toi

SIncèrement, j'y crois pas ....

Faut y croire ...... j'ai une camera de surveillance dans les locaux. Mon patron ne s'en ai jamais servi depuis l'exterieur mais il a du essayer sans m'en toucher un mot, faut que je lui demande ça !!
les heures correspondraient bien.

edit : c'est pas lui !!

où puis-je retrouver les connexions correspondant à ces horaires (celles qu'on visualise dans Etat>Connexions)

ça c'est reproduit cette nuit de 22h30 à 0h30 - j'ai desactivé le transfert de port pour la camera on verra si ça se reproduit.

[Fesch]

Ai-je entendu quelqu'un dire IpfmLA?

Si t'as besoin d'une nouvelle fonctionnalité, laisse-moi savoir au plus vite car je suis en train de travailler sur la prochaine version qui va sortir sous peu...