wpad.datであふれている

12

そのため、私のapacheサーバーは遅く、ログファイルを調べました。Vhostの1つで/wpad.datにアクセスしようとするさまざまなホストのトンからのアクセスが12GBに増えていたことが判明しました。

現在、問題の仮想ホストは、ブラウザが既知のホスト名を提供しないときに呼び出される「キャッチオール」仮想ホストです。

現在、 "/ wpad.dat"に対して毎分数千のリクエストを受け取っていますが、Googleが知る限り、これはプロキシサーバーと関係があるのでしょうか。しかし、私はプロキシサーバーを使用していません。そのため、これらの要求に文字通り攻撃されています。

私は取得していますより多くの私は、通常の要求を取得していますよりも、この非existantファイルのための1分あたりの要求を。したがって、私の推測では、何らかの攻撃を受けているということです。おかしいのは、通常は夜（ここではスウェーデン）でのみ発生し、日中は発生しないことです。

最新の500リクエストのサンプルサイズ（30分）は200の異なるホストで構成されていることを示し、それらの小さなサンプルはすべてが有効なホスト（TORプロキシではない）であることを示しています。？マシンでDNSサーバーを実行しています。

助けてください！:)

編集アクセスしているホストは「cluster.atlascms.se」であるため、彼らは何分に何千回もhttp://cluster.atlascms.se/wpad.datにアクセスしています。

現在、cluster.atlascms.seはDNSフェールオーバーホストです。したがって、すべてのクライアントはサブドメインをcluster.atlascms.seにポイントし、cluster.atlascms.seは現在のIP（フェールオーバーサーバーのマスターサーバー）をポイントします。

どうやら-これは私がcluster.arlascms.seに大量のリクエストを受け取っていることを意味します-それは私のDNSが誤って設定されていることを意味しますか？

apache-2.2 domain-name-system wpad.dat

— サンドマン
ソース

3

独自のWPAD.DATファイルを作成して、実際にこれらの人々と楽しい時間を過ごすことができます。> smile <しかし、真剣に、誰かが信頼できないソースからWPAD.DATをプルしている場合、誰かが恐ろしくどこかで構成を作成しました。すべてのブラウザを制御するプロキシにリダイレクトし、トラフィックをMiTMします。

— エヴァンアンダーソン

3

wpad.dat単にローカルホストを指すようにしたいと強く思われます。それは問題を引き起こしている誰でもそれを修正するのに時間がかかるかもしれないものを十分に壊すはずです。

— ゾレダチェ

1

@Sandman-WPAD.DATファイルが機能するにはJavascriptである必要があります。こちらをご覧ください：en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol

— エヴァンアンダーソン

1

ところで、問題を発見し、他の人の芝生にゴミを捨てようとするのは非常に失礼です。したがって、他のシステムを指すようにwpadを設定しないでください。

— ゾレダチェ

1

DNS設定の問題は、ワイルドカードDNSエントリを使用して、すべてのサブドメインをcluster.atlascms.seにポイントするクライアントが、デフォルトでwpad.theirdomain.whateverをポイントすることです。つまり、デスクトップホスト名をsomething.theirdomain.whateverに設定すると、wpad.theirdomain.whateverを検索し、IPを取得して、1日に数千回wpad.datを繰り返し要求します。

— ジャスティンブッサー14

9

DNSゾーンにeklundh.comは、cluster.atlascms.se. This includesを指すように定義されたワイルドカードレコードがあるようwpad.eklundh.comです。DNSレコードを明示的に定義して追加することをお勧めしますwpad.eklundh.com。127.0.0.1か何か。

— ゾレダチェ
ソース

7

ワイルドカードDNSレコードは嫌いです。彼らはトラブル以外の何ものでもありませんでした。

— エヴァンアンダーソン

OK、DNS内のすべてのドメインにwpadサブドメインを追加しました。すべてのドメインは127.0.0.1を指します。それが伝播して問題が解決するかどうかを確認するのを待つ必要があります。

— サンドマン

ログファイルを見ると、リクエストの大部分はwpadサブドメインではなく、IPまたはcluster.atlascms.seに向けられています...-

— サンドマン

11

マシンがプロキシ自動検出用に設定されている場合、マシンは自身のFQDNに基づいて階層的にWPAD.datファイルを検索します。したがって、Windows PCがドメインcdecomのメンバーである場合、次の場所でWPAD.datを探します。

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

誰かがどこかで、HTTPをホストしているドメインのいずれかのサブドメインであり、プロキシ自動検出を適切に構成または無効にしていない可能性があります。その結果、彼らはおそらく階層的に検索しています。

ウイルスがこれを引き起こした可能性があります。おそらく、クエリを作成するマシンが非常に多く、さまざまなサブネットにある場合、これが原因です。

可能であれば、プロキシの自動検出に使用するつもりのないもののwpadサブドメインのDNSレコードを定義しないでください。

これがオプションではない場合、レイヤー7フィルタリングを使用してwpad.datのクエリを見つけ、ICMPメッセージを含むパケットを拒否することを検討できます。IPがすべて同じネットワークからのもので、whoisの技術担当者が応答しない限り、これは実際にトラフィックを停止する最も効果的な方法かもしれません。

wpad.datの特定の場所でホストを指すものには、ドメイン設定、DHCP応答のドメイン名オプション、およびURLからプロキシ情報を読み込むためのWebブラウザーの明示的な設定が含まれます。

— ファルコン・モモット
ソース

wpadサブドメインはありませんが、ワイルドカードサブドメインはあります。犯人は私のatlascms.seドメイン（ワイルドカードサブドメインは必要ありません）かもしれません。これは、CNAMEレコードのクライアントに使用するドメインです。DNSを更新しました。これで問題が解決するかどうかを待つ必要があります。

— サンドマン

問題は、私が何百、何百もの異なるホストから受け取ったこれらの数十万のリクエストがすべて、atlascms.seが自分のサブネットにあると考えられないことです。

— サンドマン

サブネットとはまったく関係ありません。すべてのドメインです。

— ファルコンモモット

ええ、用語の混乱のために申し訳ありません。

— サンドマン

誰かがあなたのドメインを使用して悪意のあるwpad.datをホストしようとしている（そして失敗している）可能性は完全にあります。URLを明示的にwpad.datから取得する場所としてURLを設定したり、別の方法でそこにホストを指定したりする可能性があります。

— ファルコンモモット

4

私が最初にやることは、これらのリクエストがどこに行くのか、つまり宛先を見つけようとすることです。Apacheはデフォルトではホスト名をログに記録しないtcpdumpため、短いキャプチャを取得してHost:リクエストヘッダーを検査するか、ログに記録するようにApacheログ形式を変更できます。それ以外の場合は役に立たない2番目のフィールドにログを記録することを好みます。たとえば、

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

これらの誤ったリクエストの宛先がわかったら、次に何をすべきかが明らかになる可能性があります。たとえば、大企業example.seになる場合があります。その場合、ネットワーク管理者を見つけて大声で叫ぶことができます。

— マイケル・ハンプトン
ソース

server-statusを使用すると、「攻撃中」のホストが表示され、設定済みのvhostでもありません（これがcatch-all vhostによってログに記録される理由です）。 com」

— サンドマン

また、これらの要求はすべて、全国およびISPスペクトル全体の何百もの異なるホストから送信されます。これは、1つのソースまたは1つの構成ミスの会社からのものではありません。私はここに私のeklundh.comドメインで何かを間違ってやっている場合、私は、そのDNSサーバー私もマシン上で実行し、疑問に思って

— サンドマン

「atlas.eklundh.com」は、「sandman.net」と同じIPに解決されます。

— エヴァンアンダーソン

1

wpad.datを探すためにシステムを設定する必要はありません。wpad.eklundh.com（そのレコードがあります）のような有効なDNSレコードを持ち、*。eklundh.com`のようなFQDNが設定されているコンピューターは、WPADルックアップを自動的に試行します。

— ゾレダチェ

1

問題は、eklundh.comドメインにあると考えるコンピューターがwpad.eklundh.comが有効であると認識し、そこからプロキシサーバー構成をダウンロードしようとすることです。DNSレコードを削除するか、すべてのコンピューターを再構成できます。

— マイケルハンプトン

0

ちなみに、 ModSecurityこれをキャッチしてブロックします。Comodoが提供するルールセットがあります。これがログエントリです。例として使用するために、アカウント関連データを削除しました。

Apache-Error：[ファイル ""] [] [] [クライアントxxx.xxx.xxx.xxx] ModSecurity：コード403でアクセスが拒否されました（フェーズ2）。TX：extensionで一致したフレーズ「.dat /」。[ファイル ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF：URLファイル拡張子はポリシーにより制限されています "] [データ" .dat "] [重大度" CRITICAL "] [ホスト名「削除」] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]

— islandnet.com Webホスティング
ソース

-1

この問題があり、「このページは空白のまま」ページを配置するwpad.datファイルを作成することで修正しました。

CPUがほぼゼロになりました。問題は解決したようです。

— ブライアン・トルマン
ソース

構文的に間違った応答であるにもかかわらず、明らかにサービスを提供するつもりのないURIの成功応答コードは間違っています。

— anx

しかし、それは症状を解決しました。この例では、サーバーの負荷を軽減し、サイトを再度実行して、実際の問題が発生したAレコードを再実行する時間が与えられました。

— ブライアン・トールマン