У нас возникла проблема, из-за которой мы обнаружили около 170 ГБ данных, загруженных в виде HTTP-трафика за период в одну неделю в нашей сети. После блокировки многих служб и запуска концентратора в качестве промежуточной точки захвата с пакетом трассировки мы заметили, что трафик идет с одной из наших непроизводственных виртуальных машин. Фактически это была тестовая среда SBS 2008. Проблема исчезнет, как только мы отключим один офис, в котором размещалась эта виртуальная машина.
Как только виртуальная машина будет остановлена или отключена, поток трафика исчезнет. Пропускная способность стабильно составляла приблизительно 900 Кбит / с, когда он начал работать. Мы поискали такие большие загруженные данные и заметили, что на виртуальной машине или любых других сетевых ресурсах / серверах нет большого объема данных.
У нас нет открытых ftp или других сторонних сервисов WAN, кроме SSH-туннеля на нестандартном порте, который довольно заблокирован.
У меня вопрос, что могло вызвать такое большое количество скачиваний с нашей стороны. В качестве примера было загружено 162 ГБ, и только 6 ГБ были загружены с нашего IP-адреса WAN.
Чтобы уточнить, выяснилось, что мы загрузили 162 ГБ данных и загрузили 6 ГБ данных с нашей стороны.
При необходимости я могу предоставить дополнительную информацию.
Один из ваших серверов делает что-то, чего не должен. Вы не знаете, что это, но ожидаете, что мы вам скажем? Извините, но все, что мы можем вам сказать, это дальнейшее расследование.
Начните с чтения ваших журналов, если это не дает вам ответа, посмотрите netstat, затем попробуйте сниффинг пакетов - посмотрите, сможете ли вы определить, что он загружает и откуда.
и заметил, что нет большого объема данных
Проверьте сервер на наличие недавно измененных файлов меньшего размера. Если вы смотрите только на то, какую часть вашего WAN / интернет-канала он использует, проверьте, отправляет ли он много данных в другое место.