Как в SQUID посмотреть кто грузит сервер и канал?

Question

[Kenny00]

Есть Proxy сервер на SQUID, не является конечной точкой в сети, вход и выход один и тот же интерфейс.
Если смотреть трафик, идет дикая загрузка канала в рабочее время, из за прокси не понятно, кто его вешает. Как найти нарушителя? Связываем ситуацию с загрузками Windows 10 обновлений, но не факт. На что стоит обратить внимание?
Если смотреть на FireWall то нет никаких клиентов, кто бы грузил сеть. Как будто кто-то отправил запрос на Proxy, и тот начал качать себе всё, и никому не отдавать дальше.
На коммутаторах нет от клиентов такого большего трафика, максимум мегабит 5-6, и то редко, а тут стабильно до 50 мегабит, при канале интернет в 45. Скриншоты прилагаю.

И что за 88.221.132.80 ??? Чего от туда качает прокси, кто его просит?!
88.221.132.80 , в обще какой то странный веб сервер.

Конфиг:

#ACL WORK TIME
acl worktime time MTWHFA 08:30-22:30

#ACL Resources
acl bad_domains dstdomain "/etc/squid/block_domains.acl"
acl white_domains dstdomain "/etc/squid/white_domains.acl"
acl white_domains2 dstdomain "/etc/squid/white_domains2.acl"
acl block_extensions url_regex -i "/etc/squid/block_extensions.acl"
acl bad_url url_regex -i "/etc/squid/bad_url.acl"
#acl bad_mime rep_mime_type -i "/etc/squid/mime_type.acl"
acl wupdates url_regex -i "/etc/squid/wupdates.acl"

acl no_cache dstdomain "/etc/squid/nocache_domain.acl"

#ACL WINDOWS UPDATES
acl windowsupdate dstdomain "/etc/squid/wdomainupdates.acl"

#ACL Groups IP
acl managers src "/etc/squid/inet_users.acl"
acl sec_users src "/etc/squid/sec_users.acl"
acl sec_users2 src "/etc/squid/sec_users2.acl"

dns_nameservers 77.88.8.7 77.88.8.3 192.168.77.1


#ACL SYSTEMS
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
#acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl Safe_ports port 22          # webinars
acl Safe_ports port 757
acl Safe_ports port 3306        # webinars
acl Safe_ports port 4444        # webinars
acl Safe_ports port 4567        # webinars
acl Safe_ports port 8080        # webinars
acl Safe_ports port 8081        # webinars
acl Safe_ports port 8089        # webinars
acl Safe_ports port 8090        # webinars
acl Safe_ports port 8443        # webinars
acl Safe_ports port 8888        # webinars
acl Safe_ports port 9091        # webinars

acl Safe_ports port 1935        # Test
acl Safe_ports port 4343        # Test
acl Safe_ports port 4344        # Test
acl Safe_ports port 9443        # Test
acl Safe_ports port 17734       # Test
acl Safe_ports port 29980       # Test

acl Safe_ports port 2042        #mail agent

acl Safe_ports port 4244        # whatsapp
acl Safe_ports port 5222        # whatsapp
acl Safe_ports port 5223        # whatsapp
acl Safe_ports port 5228        # whatsapp
acl Safe_ports port 5242        # whatsapp
acl Safe_ports port 50318       # whatsapp
acl Safe_ports port 59234       # whatsapp


acl CONNECT method CONNECT

#HTTP ACCESS Windows UPDATE
http_access allow wupdates

acl CONNECT method CONNECT
acl wuCONNECT dstdomain www.update.microsoft.com
acl wuCONNECT dstdomain sls.microsoft.com

http_access allow CONNECT wuCONNECT managers
http_access allow windowsupdate managers
http_access allow CONNECT wuCONNECT sec_users
http_access allow windowsupdate sec_users

http_access allow CONNECT wuCONNECT localhost
http_access allow windowsupdate localhost

#HTTP ACCESS
http_access deny  managers bad_domains
http_access deny  managers block_extensions
#http_access deny  managers bad_mime
http_access deny  managers bad_url
#http_reply_access deny managers bad_mime

http_access allow sec_users white_domains
http_access allow sec_users2 white_domains2

http_access deny sec_users
http_access deny sec_users2

http_access deny managers !worktime
http_access allow managers


#HTTP CONF ACCESS
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all

# CONFIG SYSTEM
http_port 3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320


#### CACHE DENY (NOCACHE)#####

cache deny no_cache

##############################


#cache_dir aufs /var/spool/squid 500 49 256
cache_dir aufs /var/spool/squid 40000 16 256
cache_mem 200 MB

range_offset_limit 200 MB windowsupdate
maximum_object_size 200 MB
quick_abort_min -1

# MEM
maximum_object_size_in_memory 1024 KB
memory_replacement_policy lru

# LOG
logfile_rotate 10
log_icp_queries off
client_db off
buffered_logs on
half_closed_clients off
memory_pools off

cache_mgr admin@key.ru

# Cache ads #
#######################
refresh_pattern http://ad\.                        43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://ads\.                       43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://adv\.                       43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://click\.                     43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://count\.                     43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://counter\.                   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://engine\.                    43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://img\.readme\.ru             43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://userpic\.livejournal\.com   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-analyze                    43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-si                         43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /advs/                             43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /banners/                          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /cgi-bin/iframe/                   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache

Скрины:

Answer 1

[Руслан Федосеев]

sarg
squidguard

и прочие анализаторы логов...
Можно и через интерфейс менеджера посмотреть.
Вообщем в доку вам.

Comments

[Kenny00]

А именно текущие соединения как можно посмотреть?
что-то типа "iftop" только более функциональней.

[Руслан Федосеев]

https://wiki.squid-cache.org/Features/CacheManager

Answer 2

[CityCat4]

Разбирать сквидовые логи. SARG, SAMS и прочие логанализаторы. Говорят, ELK можно настропалить лог сквида разбирать.

Comments

[Kenny00]

А в режиме реального времени можно как то посмотреть?
по ТCP/IP например?

[CityCat4]

Kenny00, можно. Кучу крякозябр увидите :) https, знаете ли... Даже в сквиде нужно бампинг настраивать, чтобы увидеть реальное содержимое соединения.

[Kenny00]

CityCat4, не-не) мне не нужно содержимое, мне просто нужно ХОСТ и сколько в % или какая скорость сейчас идет через соединение.

Типа
proxy:3120 < - > 192.168.12.5:6520 10% 25Mb/s

[CityCat4]

Kenny00, скорость сейчас не показывает никто - squid заносит в лог запись по факту закачки. Может быть netflow/mrtg? Он как раз реалтайм, правда для https покажет только "внешний" хост.

[Руслан Федосеев]

https://wiki.squid-cache.org/Features/CacheManager

тут все ответы на ваши вопросы

Answer 3

[sash999]

А уберите-ка вот это:
quick_abort_min -1
Очень может помочь.

Comments

[sash999]

А, и в caсhemgr.cgi емнип можно посмотреть открытые реквесты и понять для кого и что качается...

[Kenny00]

sash999,
Вы меня натолкнули на мысль, что клиент ушел уже давно спать, а прокси его запрос на 1,5 GB качает, с windows update.
За комментировал, и добавил quick_abort , канал уже не постоянно забит. Буду искать кто пытается и не может выгрузить обновы.

##quick_abort_min -1
quick_abort_min 0 KB
quick_abort_max 0 KB

[sash999]

Kenny00, клиент давно отвалился, а сквид продолжал качать - именно это у вас и происходило при quick_abort_min -1. Собственно это всё описано в доках...