Estou um pouco fora de mim aqui (somos uma empresa razoavelmente pequena, sou um desenvolvedor de software preso ao fazer sysadmin quando necessário), mas pensei em perguntar às pessoas inteligentes da ServerFault sobre o meu problema antes de ligarmos para a nossa empresa de suporte de TI de terceiros.
Estamos experimentando um enorme pico de tráfego no momento, semelhante a um pico que experimentamos em outubro, que desapareceu sozinho. Se você vir o monitor de uso da internet do nosso provedor:
Vocênotaráquenosúltimos2,5diasestivemosmaximizandonossaconexãoADSL2(~20mbps).Ironicamente,foiodiadaAustrália(feriado)paraumdessesdias.
NóspossuímosumappliancedeInternetFortinetFortigatequefaznossaconectividadederegistroeinternet.Aquiestáoinstantâneodonossouso:Estefoitiradoontem:
Este hoje:
Vocêveráqueaconexãoestavanolimitemáximoatéchegarmosaoescritórionamanhãdeontem,entãoestavapraticamentenomáximo(muitomaiordoqueonormal,comovocêprovavelmentepodecolherdaimagemdahistóriamensaldointernode)atésairmoseentãocomeçou100%deusonovamente.Finalmente,porvoltade11anos,oInternodefinalmentenoscobriu(estranho,dadoquetínhamosultrapassadonossolimitenosúltimosdoisdias).
TemosumaassinaturadoFAMS,oserviçoon-linederegistroserelatóriosdaFortinet.TambémtemosnossoFortigateexportarnossoslogsparaumservidorsyslog.EuolheiparaoFAMSeéissoqueomelhorusodoserviçopelologdedestinoseparece:
Como você pode ver, há apenas cerca de 8 ou 9 registrados lá, o que é normal para nós, pelo menos não é perto de 167GB que estamos usando o Internode.
Isso me intriga - claramente o appliance Fortigate tem algum tipo de log do tráfego, já que o instantâneo de utilização está lá, mas nos logs detalhados (os syslogs não mostram muito, mas não sei como analisar de uma forma eficiente, acabei de vê-los fluir) não há nada.
A minha pergunta é, alguma ideia de que tipo de tráfego isto poderia ser? Eu estou pensando, talvez, que o Fortigate não incomoda o registro de certos tipos de tráfego (ICMP?) E estamos sendo DOS através desse tipo de tráfego. Devo mencionar que temos URLs publicamente acessíveis que são protegidos por senha, mas nossos uploads não estão incluídos em nossa cota, então não acho que seja isso.
Alguma dica de onde devo procurar? Ou devo apenas chamar as grandes armas (ou talvez apenas esperar até que ele desapareça como da última vez ...)
EDIT: Aqui está outro relatório da FAMS, este é um dos meus pedidos na web, infelizmente eu não posso obter um relatório em todas as portas para isso: