被wpad.dat淹没

12

因此，我的apache服务器运行缓慢，我查看了日志文件。事实证明，尝试访问我的其中一个Vhost上的/wpad.dat的无数不同主机的访问量已增长到12GB。

现在，有问题的虚拟主机是当浏览器不提供已知主机名时调用的“包罗万象”虚拟主机。

我目前每分钟收到数千个“ /wpad.dat”请求，据Google告诉我，这与代理服务器有关吗？但是我不使用代理服务器，所以为什么我真的被这些请求轰炸。

我得到更多每分钟的请求这个不存在的文件比我得到正常的请求。所以我的假设是我受到某种形式的攻击。有趣的是，它通常只发生在晚上（这里是瑞典），而不是白天。

最近的500个请求的样本大小（即半分钟）表明它包含200个不同的主机，而其中的一小部分样本表明它们都是有效的主机（而不是TOR代理），因此是否某些DNS服务器配置错误？？我确实在计算机上运行DNS服务器。

请帮忙！:)

编辑他们正在访问的主机是“ cluster.atlascms.se”，因此他们所做的是每分钟访问数千次http://cluster.atlascms.se/wpad.dat。

现在，cluster.atlascms.se是我的DNS故障转移主机。因此，我所有的客户都将其子域指向cluster.atlascms.se，后者又将其指向当前IP（故障转移服务器的主服务器）。

看起来-这意味着我收到大量对cluster.arlascms.se的请求-这是否意味着我的DNS配置错误？

apache-2.2 domain-name-system wpad.dat

— 桑德曼
source

3

您知道，您可以建立自己的WPAD.DAT文件，并与这些人一起玩乐。>微笑<但是，严重的是，如果有人从不受信任的来源中提取WPAD.DAT，那么他们已经在某个地方搞砸了配置。您将其所有浏览器重定向到您控制的代理，然后将其流量重定向到MiTM。

— 埃文·安德森

3

我很想提出一个wpad.dat仅指向本地主机的主机。那应该足以使事情破裂，无论是谁引起问题的，都可能需要花费时间来解决。

— Zoredache

1

@Sandman-WPAD.DAT文件需要使用Javascript才能正常工作。在这里看看：en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol

— Evan Anderson

1

顺便说一句，发现问题然后尝试将垃圾倒在别人的草坪上是非常不礼貌的。因此，请不要将wpad指向其他人的系统。

— Zoredache

1

DNS设置的问题是，使用通配符dns条目将其所有子域都指向cluster.atlascms.se的所有客户端都将默认指向wpad.theirdomain.。这意味着如果他们将其桌面主机名设置为something.theirdomain.whatever，那么它将查找wpad.theirdomain.whatever，获取IP并每天重复请求wpad.dat数千次。

— 贾斯汀·布克2014年

9

您的DNS区域似乎eklundh.com已定义了一个通配符记录，指向“ cluster.atlascms.se. 包括” wpad.eklundh.com。我建议您添加一个显式定义的DNS记录wpad.eklundh.com。到127.0.0.1某物。

— Zoredache
source

7

我讨厌通配符DNS记录。除了麻烦，他们从来没有什么过。

— 伊万·安德森

好的，现在我在我的DNS中的所有域中都添加了一个wpad子域，它们都指向127.0.0.1-我必须等待它传播并查看是否可以解决问题。

— 桑德曼

在我的日志文件中，绝大多数请求不是针对wpad子域，而是针对IP或cluster.atlascms.se ...

— Sandman

11

如果计算机配置为代理自动发现，则计算机将根据其自己的FQDN分层查找WPAD.dat文件。因此，如果Windows PC是cdecom域的成员，它将在以下位置查找WPAD.dat：

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

可能是某人拥有一个域，该域是您托管HTTP的域之一的子域，并且未正确配置或禁用代理自动发现。结果，他们可能会按层次搜索。

病毒可能导致他们这样做了。可能的是，如果进行查询的计算机数量众多且位于不同的子网中，那么这就是问题所在。

如果可能，请避免为wpad子域的DNS记录定义任何您不打算用于代理自动发现的内容。

如果这不是一个选择，则可以考虑使用第7层筛选来查找wpad.dat的查询并拒绝带有ICMP消息的数据包。实际上，这可能是阻止流量的最有效方法，除非这些IP全部来自同一网络，并且它们在whois中的技术联系会做出响应。

将主机指向wpad.dat特定位置的内容包括域设置，DHCP答复中的域名选项以及Web浏览器中用于从某些URL加载代理信息的显式设置。

— 猎鹰队
source

我没有wpad子域，但是有通配符子域。我认为罪魁祸首可能是我的atlascms.se域（对于该域，我不需要通配符子域），这是我用于其客户CNAME记录的域。我已经更新了DNS，必须等待，看看是否能解决问题。

— 桑德曼

问题是，我从成百上千个不同主机中获得的所有成千上万个请求不可能都以为atlascms.se确实在自己的子网中吗？

— 桑德曼

它与子网完全没有关系。这是所有领域。

— Falcon Momot

是的，对术语混淆感到抱歉。

— 桑德曼

很有可能有人试图使用您的域来托管恶意的wpad.dat（并且失败）。那里可能存在病毒，将您的URL设置为从其中明确获取wpad.dat的位置，或者将主机指向那里，或者那里的网络配置错误。

— Falcon Momot

4

我要做的第一件事是尝试找出这些请求将到达的位置，即它们的目的地。Apache默认情况下不记录主机名，因此您可以使用它tcpdump来进行简短捕获并检查其是否包含Host:请求标头，或者更改您的Apache日志格式以对其进行记录。我更喜欢将其记录在其他无用的第二个字段中，例如：

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

一旦您知道这些错误的请求是针对谁的，下一步将变得很清楚。例如，事实证明它可能是一些大公司，example.se在这种情况下，您可以去找他们的网络管理员并大吼大叫。

— 迈克尔·汉普顿
source

使用服务器状态，我看到它们正在“攻击”的主机，它甚至不是配置的虚拟主机（这就是为什么它由全部虚拟主机记录）的原因，所有它们都连接到的主机是“ atlas.eklundh”。 com”

— 桑德曼

而且，所有这些请求都来自全国各地和整个ISP频谱中的数百个不同主机，这不是来自一个来源或一家配置错误的公司。我想知道如果我做错了什么我eklundh.com域在这里，他们的DNS服务器我也运行在机器上

— 桑德曼

“ atlas.eklundh.com”解析为与“ sandman.net”相同的IP。

— 埃文·安德森

1

您实际上并不需要配置系统来查找wpad.dat。您只需要拥有一个有效的DNS记录wpad.eklundh.com（例如具有该记录），并且计算机的FQDN设置为* .eklundh.com`，它将自动尝试进行WPAD查找。

— Zoredache

1

问题是，任何认为它在eklundh.com域中的计算机都将看到wpad.eklundh.com有效，并尝试从中下载代理服务器配置。您可以删除DNS记录，或重新配置所有计算机。

— 迈克尔·汉普顿

0

仅供参考， ModSecurity将其捕获并阻止。Comodo提供了一个规则集。这是一个日志条目。我删除了帐户相关数据，以便将其包含在其中，以用作示例。

Apache错误：[文件“”] [] [] [客户端xxx.xxx.xxx.xxx] ModSecurity：使用代码403（阶段2）拒绝访问。匹配短语“ .dat /”在TX：扩展名。[file“”] [“] [id” 210730“] [rev” 2“] [msg” COMODO WAF：URL文件扩展名受策略限制“] [data” .dat“] [严重性“ CRITICAL”] [主机名“已删除”] [uri“ /wpad.dat”] [unique_id“ WjFa06qDOW3DDPRieFmICgAAAEg”]

— islandnet.com虚拟主机
source

-1

出现了此问题，并通过创建一个wpad.dat文件（其中将“此页留为空白”）放入页面来解决此问题。

CPU几乎为零。问题似乎解决了。

— 布莱恩·托尔曼
source

语法错误的响应，但是您显然不打算使用的URI的成功响应代码是错误的。

— anx

但这解决了症状。在这种情况下，它减少了服务器负载，使站点重新运行，并给了我时间重做真正问题所在的A记录。

— 布赖恩·托尔曼