<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2655.35">
<TITLE>RE: [Snort-users] catching traffic spikes</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>You could install NTOP as previously suggested.</FONT>
</P>

<P><FONT SIZE=2>We run NTOP, but also run IPFM.  IPFM will show inbound/outbound traffic for predetermined timeframes.  You can then check the files to see during that 30 minutes of spikes, who the culprit is.</FONT></P>

<P><FONT SIZE=2> </FONT>
<BR><FONT SIZE=2>Derek</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: W. Salet [<A HREF="mailto:salet@...8093...">mailto:salet@...8093...</A>] </FONT>
<BR><FONT SIZE=2>Sent: Monday, January 27, 2003 1:17 PM</FONT>
<BR><FONT SIZE=2>To: Fraser Hugh; snort-users@lists.sourceforge.net; 'Richard Chmura'</FONT>
<BR><FONT SIZE=2>Subject: Re: [Snort-users] catching traffic spikes</FONT>
</P>

<P><FONT SIZE=2>I have the same problem!</FONT>
</P>

<P><FONT SIZE=2>MRTG (Multi Router Traffic Grapher) shows extreme incomming traffic spikes.</FONT>
<BR><FONT SIZE=2>Sometimes for two hours! The server slows down and is almost unreachable. I</FONT>
<BR><FONT SIZE=2>searched all the /var/log/logfiles & /var/log/apache/logfiles but could not</FONT>
<BR><FONT SIZE=2>find anything. So I installed SNORT hoping it could trace the source of this</FONT>
<BR><FONT SIZE=2>extreme incomming traffic. I could not find anything in the SNORT-logfiles</FONT>
<BR><FONT SIZE=2>which pointed to the extreme traffic spikes. (I am using no firewall or</FONT>
<BR><FONT SIZE=2>packetshaper.)</FONT>
</P>

<P><FONT SIZE=2>Any ideas how to trace these traffic spikes?</FONT>
</P>
<BR>

<P><FONT SIZE=2>----- Original Message -----</FONT>
<BR><FONT SIZE=2>From: "Fraser Hugh" <hugh_fraser@...2804...></FONT>
<BR><FONT SIZE=2>To: <snort-users@lists.sourceforge.net>; "'Richard Chmura'"</FONT>
<BR><FONT SIZE=2><rchmura@...5839...></FONT>
<BR><FONT SIZE=2>Sent: Monday, January 27, 2003 6:24 PM</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] catching traffic spikes</FONT>
</P>
<BR>

<P><FONT SIZE=2>> You can also use tools like ntop to generate protocol and host related</FONT>
<BR><FONT SIZE=2>> statistics in a graphical format, which might in turn help trim down the</FONT>
<BR><FONT SIZE=2>> amount of logfile analysis you need to do.</FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> > -----Original Message-----</FONT>
<BR><FONT SIZE=2>> > From: Kenneth G. Arnold [<A HREF="mailto:bkarnold@...8060...">mailto:bkarnold@...8060...</A>]</FONT>
<BR><FONT SIZE=2>> > Sent: Sunday, January 26, 2003 9:50 AM</FONT>
<BR><FONT SIZE=2>> > To: snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>> > Subject: Re: [Snort-users] catching traffic spikes</FONT>
<BR><FONT SIZE=2>> ></FONT>
<BR><FONT SIZE=2>> ></FONT>
<BR><FONT SIZE=2>> > Does this graph represent traffic entering and leaving your</FONT>
<BR><FONT SIZE=2>> > network from</FONT>
<BR><FONT SIZE=2>> > the internet?  Does it pass through a firewall?  Are you using</FONT>
<BR><FONT SIZE=2>> > Packetshaper?  A firewall can keep very good logs of all activity that</FONT>
<BR><FONT SIZE=2>> > passes through it.  Analysis of those logs would probably</FONT>
<BR><FONT SIZE=2>> > tell you what</FONT>
<BR><FONT SIZE=2>> > protocol, what source, what destination and what ports are</FONT>
<BR><FONT SIZE=2>> > being used. If</FONT>
<BR><FONT SIZE=2>> > you are using packetshaper, the job is much easier since it</FONT>
<BR><FONT SIZE=2>> > will tell you</FONT>
<BR><FONT SIZE=2>> > the protocol and the application within that protocol that is</FONT>
<BR><FONT SIZE=2>> > being used</FONT>
<BR><FONT SIZE=2>> > very easily.  My guess is that you could probably find the information</FONT>
<BR><FONT SIZE=2>> > faster using one of those two means rather than trying to use snort to</FONT>
<BR><FONT SIZE=2>> > find it.</FONT>
<BR><FONT SIZE=2>> > Ken</FONT>
<BR><FONT SIZE=2>> ></FONT>
<BR><FONT SIZE=2>> > On Sun, 26 Jan 2003, Richard Chmura wrote:</FONT>
<BR><FONT SIZE=2>> ></FONT>
<BR><FONT SIZE=2>> > > This is totally unrelated to the recent MS-SQL worm :-)</FONT>
<BR><FONT SIZE=2>> > ></FONT>
<BR><FONT SIZE=2>> > > I've been trying to figure out the nature of the seemingly</FONT>
<BR><FONT SIZE=2>> > random traffic</FONT>
<BR><FONT SIZE=2>> > > spikes on my mrtg graph.  I put some snort rules in place</FONT>
<BR><FONT SIZE=2>> > but I was unable</FONT>
<BR><FONT SIZE=2>> > > to filter to figure out more about these spikes.</FONT>
<BR><FONT SIZE=2>> > > The graph is at:</FONT>
<BR><FONT SIZE=2>> > <A HREF="http://members.rogers.com/rchmura/eth0sar-week.png" TARGET="_blank">http://members.rogers.com/rchmura/eth0sar-week.png</A>  You</FONT>
<BR><FONT SIZE=2>> > > can see the spikes on the green (IN) and blue(OUT) values.</FONT>
<BR><FONT SIZE=2>> > The orange line</FONT>
<BR><FONT SIZE=2>> > > it's just (green / blue)</FONT>
<BR><FONT SIZE=2>> > ></FONT>
<BR><FONT SIZE=2>> > ></FONT>
<BR><FONT SIZE=2>> > ></FONT>
<BR><FONT SIZE=2>> > > -------------------------------------------------------</FONT>
<BR><FONT SIZE=2>> > > This SF.NET email is sponsored by:</FONT>
<BR><FONT SIZE=2>> > > SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>
<BR><FONT SIZE=2>> > > <A HREF="http://www.vasoftware.com" TARGET="_blank">http://www.vasoftware.com</A></FONT>
<BR><FONT SIZE=2>> > > _______________________________________________</FONT>
<BR><FONT SIZE=2>> > > Snort-users mailing list</FONT>
<BR><FONT SIZE=2>> > > Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>> > > Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2>> > > <A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>> > > Snort-users list archive:</FONT>
<BR><FONT SIZE=2>> > > <A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
<BR><FONT SIZE=2>> > ></FONT>
<BR><FONT SIZE=2>> ></FONT>
<BR><FONT SIZE=2>> ></FONT>
<BR><FONT SIZE=2>> > -------------------------------------------------------</FONT>
<BR><FONT SIZE=2>> > This SF.NET email is sponsored by:</FONT>
<BR><FONT SIZE=2>> > SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>
<BR><FONT SIZE=2>> > <A HREF="http://www.vasoftware.com" TARGET="_blank">http://www.vasoftware.com</A></FONT>
<BR><FONT SIZE=2>> > _______________________________________________</FONT>
<BR><FONT SIZE=2>> > Snort-users mailing list</FONT>
<BR><FONT SIZE=2>> > Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>> > Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2>> > <A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>> > Snort-users list archive:</FONT>
<BR><FONT SIZE=2>> > <A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
<BR><FONT SIZE=2>> ></FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>></FONT>
<BR><FONT SIZE=2>> -------------------------------------------------------</FONT>
<BR><FONT SIZE=2>> This SF.NET email is sponsored by:</FONT>
<BR><FONT SIZE=2>> SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>
<BR><FONT SIZE=2>> <A HREF="http://www.vasoftware.com" TARGET="_blank">http://www.vasoftware.com</A></FONT>
<BR><FONT SIZE=2>> _______________________________________________</FONT>
<BR><FONT SIZE=2>> Snort-users mailing list</FONT>
<BR><FONT SIZE=2>> Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>> Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2>> <A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>> Snort-users list archive:</FONT>
<BR><FONT SIZE=2>> <A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
<BR><FONT SIZE=2>></FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.NET email is sponsored by:</FONT>
<BR><FONT SIZE=2>SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>
<BR><FONT SIZE=2><A HREF="http://www.vasoftware.com" TARGET="_blank">http://www.vasoftware.com</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>