Быть залитым wpad.dat

12

Итак, мой сервер Apache работал медленно, и я посмотрел в файлах журнала. Оказалось, что они выросли до 12 ГБ обращений от множества различных хостов, пытающихся получить доступ к /wpad.dat на одном из моих Vhosts.

Теперь рассматриваемый виртуальный хост - это «универсальный» vhost, который вызывается, когда браузер не предоставляет известное имя хоста.

В настоящее время я получаю тысячи запросов в минуту к /wpad.dat, и, насколько мне может сказать Google, это как-то связано с прокси-серверами? Но я не использую прокси-серверы, так почему я буквально засыпан этими запросами.

Я получаю больше запросов в минуту для этого несуществующего файла, чем я получаю обычные запросы. Поэтому я предполагаю, что я нахожусь в какой-то форме нападения. Забавно, что это обычно происходит только ночью (здесь, в Швеции), а не днем.

Размер выборки последних 500 запросов (то есть полминуты) показывает, что он состоит из 200 различных хостов, и небольшая выборка показывает, что все они являются действительными хостами (не прокси TOR), поэтому некоторые DNS-серверы неправильно настроены ? Я действительно запускаю DNS-сервер на машине.

Пожалуйста помоги! :)

РЕДАКТИРОВАТЬ Хост, к которому они обращаются, это «cluster.atlascms.se», поэтому они обращаются к http://cluster.atlascms.se/wpad.dat тысячи раз в минуту.

Теперь cluster.atlascms.se - мой отказоустойчивый хост DNS. Таким образом, все мои клиенты указывают свои поддомены на cluster.atlascms.se, который, в свою очередь, указывает их на текущий IP (главный сервер аварийного сервера).

Как кажется - это означает, что я получаю тонны и тонны запросов к cluster.arlascms.se - может ли это означать, что мой DNS настроен неправильно?

apache-2.2 domain-name-system wpad.dat Дрема
источник
3
Знаете, вы можете создать свой собственный файл WPAD.DAT и по-настоящему повеселиться с этими людьми. > smile <Серьезно, однако, кто-то ужасно запутал конфигурацию где-то, если они извлекают WPAD.DAT из ненадежного источника. Вы перенаправляете все их браузеры на прокси-сервер под вашим контролем, а MiTM - на их трафик.
Эван Андерсон
3
Я был бы сильно соблазн поставить мишень, wpad.datкоторая просто указывает на локальный хост. Это должно сломать вещи достаточно, кто бы ни вызывает проблему, может занять время, чтобы решить это.
Зоредаче
1
@Sandman - файл WPAD.DAT должен быть Javascript для работы. Посмотрите здесь: en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Эван Андерсон
1
Кстати, это очень грубо для вас, чтобы обнаружить проблему, а затем попытаться выбросить мусор на чужой газон. Поэтому, пожалуйста, не устанавливайте ваш wpad так, чтобы он указывал на кого-то другого.
Зоредаче
1
Проблема с настройкой DNS заключается в том, что любой из ваших клиентов, которые используют подстановочный знак dns для указания всех своих поддоменов на cluster.atlascms.se, по умолчанию будет указывать на wpad.theirdomain.wh независимо от того, что там есть. Это означает, что если они установят имя своего настольного хоста на что-то.
Джастин Бузер

Ответы:

9

Похоже, что в вашей DNS-зоне eklundh.comопределена подстановочная запись, указывающая на cluster.atlascms.se. это wpad.eklundh.com. Я предлагаю вам добавить запись DNS, явно определяющую wpad.eklundh.com. к 127.0.0.1или что-то.

Zoredache
источник
7
Я ненавижу групповые записи DNS. У них никогда не было ничего, кроме неприятностей.
Эван Андерсон
Хорошо, теперь я добавил поддомен wpad ко всем моим доменам в DNS, которые все указывают на 127.0.0.1 - мне нужно подождать, пока он распространится, и посмотреть, решит ли это проблему.
Sandman
Глядя в мои файлы журналов, большая часть запросов направлена ​​не на поддомен wpad, а на IP-адрес или cluster.atlascms.se ...
Sandman
11

Машины будут искать файл WPAD.dat в иерархическом порядке на основе своего собственного полного доменного имени, если они настроены для автоматического обнаружения прокси. Таким образом, если ПК с Windows является членом домена cdecom, он будет искать WPAD.dat в:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

Скорее всего, где-то у кого-то есть домен, который является поддоменом одного из тех, на которых вы размещаете HTTP, и который не настроен должным образом или не отключил автоматическое обнаружение прокси. В результате они, вероятно, ищут в иерархическом порядке.

Возможно, вирус заставил их сделать это; Скорее всего, если машины, выполняющие запрос, чрезвычайно многочисленны и находятся в разных подсетях, дело обстоит именно так.

Если возможно, избегайте определения DNS-записи для субдомена wpad для всего, что вы не собираетесь использовать для автоматического обнаружения прокси.

Если это не вариант, вы можете рассмотреть возможность использования фильтрации уровня 7 для поиска запросов для wpad.dat и отклонения пакетов с сообщением ICMP. На самом деле это может быть наиболее эффективным способом остановки трафика, если только IP-адреса не принадлежат одной сети и их технический контакт в whois не отвечает.

Вещи, которые будут указывать хост в определенном месте для wpad.dat, включают настройки домена, опцию доменного имени в ответах DHCP и явную настройку в веб-браузере для загрузки информации прокси-сервера из некоторого URL-адреса.

Сокол Момот
источник
У меня нет субдомена wpad, но у меня есть субдомен подстановочных знаков. Я думаю, что виновником может быть мой домен atlascms.se (для которого мне не нужен субдомен подстановочных знаков), который я использую для своих клиентов для их записей CNAME. Я обновил свой DNS, и мне придется подождать и посмотреть, исправит ли это что-то.
Песочник
Проблема в том, что все эти сотни тысяч запросов, которые я получаю от сотен и сотен разных хостов, не могли все думать, что atlascms.se находится в их собственной подсети, не так ли?
Sandman
Это не имеет ничего общего с подсетями; это все домены.
Сокол Момот
Да, извините за путаницу в терминологии.
Sandman
Вполне возможно, что кто-то пытается использовать ваш домен для размещения вредоносного файла wpad.dat (и не работает). Там может быть вирус, устанавливающий ваш URL в качестве места для получения wpad.dat явно, или иным образом указывающий на хосты, или там может быть неправильно настроенная сеть.
Сокол Момот
4

Первое , что я хотел бы сделать , это попытаться выяснить , где эти запросы идут к , т.е. их назначения. Apache не регистрирует имя хоста по умолчанию, поэтому вы можете либо использовать его tcpdumpдля получения краткого перехвата и проверки его на предмет Host:заголовка запроса, либо изменить формат журнала Apache для его регистрации. Я предпочитаю регистрировать это в другом бесполезном втором поле, например:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

Как только вы узнаете, кому адресованы эти ошибочные запросы, станет ясно, что делать дальше. Например, это может оказаться какой-то крупной компанией, и example.seв этом случае вы можете найти их сетевых администраторов и кричать на них.

Майкл Хэмптон
источник
используя статус сервера, я вижу хост, на который они «нападают», и это даже не настроенный хост (именно поэтому он регистрируется универсальным хостом) - хост, к которому они ВСЕ подключаются, это «atlas.eklundh». com "
Sandman
Кроме того, все эти запросы поступают от сотен и сотен различных хостов со всей страны и со всего спектра интернет-провайдеров, это не от одного источника или одной неверно настроенной компании. Мне интересно, делаю ли я что-то не так с моим доменом eklundh.com, чей DNS-сервер я также запускаю на этом компьютере
Sandman
«atlas.eklundh.com» разрешается на тот же IP-адрес, что и «sandman.net».
Эван Андерсон
1
Вам не нужно настраивать системы для поиска wpad.dat. Вам просто wpad.eklundh.comнужна действительная DNS-запись, например (у вас есть эта запись), и компьютеры с полным доменным именем, настроенным на что-то вроде * .eklundh.com`, автоматически попытаются выполнить поиск WPAD.
Зоредаче
1
Тогда возникает проблема: любой компьютер, который считает, что находится в домене eklundh.com, увидит, что wpad.eklundh.com действителен, и попытается загрузить с него конфигурацию прокси-сервера. Вы можете удалить запись DNS или перенастроить все компьютеры.
Майкл Хэмптон
0

Просто к вашему сведению, ModSecurityпоймать это и заблокировать. Comodo предоставляет набор правил. Вот запись в журнале. Я удалил данные, относящиеся к аккаунту, чтобы они были в них только для того, чтобы использовать их в качестве примера.

Ошибка Apache: [файл ""] [] [] [клиент xxx.xxx.xxx.xxx] ModSecurity: доступ запрещен с кодом 403 (этап 2). Подходящая фраза ".dat /" в TX: расширение. [file ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF: расширение файла URL ограничено политикой "] [data" .dat "] [серьезность" CRITICAL "] [имя хоста "удален"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]

islandnet.com Веб-хостинг
источник
-1

Решил эту проблему и исправил ее, создав файл wpad.dat, добавив в него страницу «Эта страница оставлена ​​пустой».

Процессор ушел почти в ноль. Проблема кажется решенной.

Брайан Толман
источник
синтаксически неправильный ответ, но код успешного ответа для URI, который вы явно НЕ намереваетесь обслуживать, просто неверен.
апй
Но это решило симптом. В этом случае он уменьшил нагрузку на сервер, снова запустил сайт и дал мне время, чтобы повторить A-Records, где жила настоящая проблема.
Брайан Толман