Наводнение wpad.dat

Итак, мой сервер Apache был медленным, и я заглянул в файлы журнала. Оказалось, что они выросли до 12 ГБ доступа из тонны и тонны разных хостов, пытающихся получить доступ к /wpad.dat на одном из моих Vhosts.

Теперь виртуальный хост, о котором идет речь, является «обозревателем», который вызывается, когда браузер не предоставляет известное имя хоста.

В настоящее время я получаю тысячи запросов в минуту на «/wpad.dat», и насколько Google может мне сказать, это что-то, что связано с прокси-серверами? Но я не использую прокси-серверы, поэтому почему меня буквально бомбардируют эти запросы.

Я получаю больше запросов в минуту для этого несуществующего файла, чем обычные запросы. Поэтому мое предположение заключается в том, что я подвергаюсь некоторой форме атаки. Забавно, что обычно это происходит ночью (здесь, в Швеции), а не в течение дня.

Размер выборки из последних 500 запросов (т. е. полминуты) показывает, что он состоит из 200 разных хостов, и небольшая выборка из них показывает, что все они являются действительными хостами (а не прокси-серверами TOR), так что это некоторые DNS-серверы неправильно настроен? Я запускаю DNS-сервер на машине.

Пожалуйста, помогите! :)

ИЗМЕНИТЬ Хостом, к которому они обращаются, является «cluster.atlascms.se», поэтому они делают доступ к кластер http: //. atlascms.se/wpad.dat тысячи раз в минуту.

Теперь, cluster.atlascms.se - это мой хост-сервер с отказом DNS. Таким образом, все мои клиенты указывают свои поддомены на cluster.atlascms.se, который, в свою очередь, указывает их на текущий IP (главный сервер сервера отказоустойчивости).

Как кажется - это означает, что я получаю тонны и тонны запросов к cluster.arlascms.se - может это означать, что мой DNS неправильно сконфигурирован?

12 голосов | спросил Sandman 24 Mayam13 2013, 00:59:17

5 ответов


9

Похоже, что ваша зона DNS eklundh.com имеет установленную подстановочную запись, указывающую на cluster.atlascms.se. Включает wpad.eklundh.com. Я предлагаю вам добавить запись DNS, явно определяющую wpad.eklundh.com. на 127.0.0.1 или что-то.

ответил Zoredache 24 Mayam13 2013, 01:52:11
10

Машины будут искать файл WPAD.dat иерархически на основе собственного FQDN, если они настроены на автообнаружение прокси. Итак, если Windows-ПК является членом домена c.d.e.com, он будет искать WPAD.dat в:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

Скорее всего, у кого-то есть домен, который является субдоменом одного из тех, на котором вы размещаете HTTP, и неправильно настроил или отключил автоопределение прокси. В результате они, вероятно, будут искать иерархически.

Возможно, вирус мог заставить их сделать это; вероятно, если машины, делающие запрос, чрезвычайно многочисленны и в разных подсетях, это то, что вверх.

Если возможно, избегайте определения записи DNS для субдомена wpad всего, что вы не собираетесь использовать для автоматического обнаружения прокси.

Если это не вариант, вы можете использовать фильтрацию уровня 7 для поиска запросов для wpad.dat и отклонения пакетов с сообщением ICMP. Фактически это может быть самым эффективным способом остановить трафик, если только IP-адреса не связаны с одной и той же сетью, и их технический контакт в whois является отзывчивым.

Вещи, которые будут указывать на хост в определенном месте для wpad.dat, включают настройки домена, опцию имени домена в ответах DHCP и явную настройку в веб-браузере для загрузки информации прокси с некоторого URL-адреса.

ответил Falcon Momot 24 Mayam13 2013, 01:53:16
4

Первое, что я хотел бы сделать, это попытаться выяснить, куда идут эти запросы до , т. е. их адресата. Apache не регистрирует имя хоста по умолчанию, поэтому вы можете использовать tcpdump, чтобы получить краткий захват и проверить его для Host: или изменить формат журнала Apache для его регистрации. Я предпочитаю регистрировать его в другом бесполезном втором поле, например:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

Как только вы узнаете, к кому относятся эти ошибочные запросы, что делать дальше, может стать ясным. Например, это может оказаться какой-то крупной компанией example.se, и в этом случае вы можете найти своих сетевых администраторов и кричать на них.

ответил Michael Hampton 24 Mayam13 2013, 01:18:03
0

Просто FYI, ModSecurity поймает это и заблокирует его. Есть набор правил, предоставляемый Comodo. Вот запись в журнале. Я удалил данные, относящиеся к учетной записи, поэтому у меня есть это, чтобы использовать его в качестве примера.

  

Apache-Error: [файл ""] [] [] [клиент xxx.xxx.xxx.xxx] ModSecurity:   Доступ запрещен кодом 403 (этап 2). Согласованная фраза «.dat /» на   TX: расширение. [file ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF:   Расширение файла URL ограничено политикой "] [данные" .dat "] [серьезность   "CRITICAL"] [имя хоста удалено "] [uri" /wpad.dat "] [unique_id   "WjFa06qDOW3DDPRieFmICgAAAEg"]

ответил islandnet.com Web Hosting 13 WedEurope/Moscow2017-12-13T23:19:44+03:00Europe/Moscow12bEurope/MoscowWed, 13 Dec 2017 23:19:44 +0300 2017, 23:19:44
-1

Если бы эта проблема и исправила ее, создав файл wpad.dat, введя в нее страницу «Эта страница оставила пустой».

CPU приблизился к нулю. Проблема кажется решенной.

ответил Brian Tolman 12 72017vEurope/Moscow11bEurope/MoscowSun, 12 Nov 2017 10:43:57 +0300 2017, 10:43:57

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132