Von wpad.dat überflutet werden

12

Mein Apache-Server war also langsam und ich habe in den Protokolldateien nachgesehen. Es stellte sich heraus, dass sie auf 12 GB an Zugriffen von Tonnen und Tonnen verschiedener Hosts angewachsen waren, die versuchten, auf einem meiner Vhosts auf /wpad.dat zuzugreifen.

Nun ist der betreffende virtuelle Host der "Catch-All" -VHost, der aufgerufen wird, wenn ein Browser keinen bekannten Hostnamen angibt.

Ich erhalte derzeit Tausende von Anfragen pro Minute an "/wpad.dat" und soweit Google mir sagen kann, hat dies etwas mit Proxyservern zu tun? Aber ich benutze keine Proxy-Server. Warum werde ich dann von diesen Anfragen regelrecht bombardiert?

Ich erhalte mehr Anfragen pro Minute für diese nicht vorhandene Datei als normale Anfragen. Ich gehe also davon aus, dass ich in irgendeiner Form angegriffen werde. Komisch ist, dass es in der Regel nur nachts (hier in Schweden) und nicht tagsüber auftritt.

Eine Stichprobengröße der letzten 500 Anfragen (dh eine halbe Minute) zeigt, dass es sich um 200 verschiedene Hosts handelt, und eine kleine Stichprobe davon zeigt, dass es sich bei allen um gültige Hosts handelt (keine TOR-Proxies). Daher sind einige DNS-Server falsch konfiguriert ? Ich habe einen DNS-Server auf dem Computer ausgeführt.

Bitte helfen Sie! :)

BEARBEITEN Der Host, auf den sie zugreifen, ist "cluster.atlascms.se". Sie greifen also tausende Male pro Minute auf http://cluster.atlascms.se/wpad.dat zu .

Jetzt ist cluster.atlascms.se mein DNS-Failover-Host. Also verweisen alle meine Clients ihre Subdomains auf cluster.atlascms.se, was sie wiederum auf die aktuelle IP (Master-Server des Failover-Servers) verweist.

Wie es scheint - das bedeutet, dass ich Tonnen und Tonnen von Anfragen an cluster.arlascms.se bekomme - könnte das bedeuten, dass mein DNS falsch konfiguriert ist?

apache-2.2 domain-name-system wpad.dat Sandman
quelle
3
Wissen Sie, Sie könnten Ihre eigene WPAD.DAT-Datei erstellen und wirklich Spaß mit diesen Leuten haben. > smile <Im Ernst, jemand hat eine Konfiguration irgendwo schrecklich hochgefahren, wenn er eine WPAD.DAT von einer nicht vertrauenswürdigen Quelle bezieht. Sie leiten alle ihre Browser an einen Proxy weiter, den Sie steuern, und MiTM den Datenverkehr.
Evan Anderson
3
Ich wäre stark versucht, eine zu errichten wpad.dat, die einfach auf den lokalen Host verweist. Das sollte die Sache ausreichend zerstören, wer auch immer das Problem verursacht, könnte sich die Zeit nehmen, es zu beheben.
Zoredache
1
@ Sandman - Die WPAD.DAT-Datei muss Javascript sein, um zu funktionieren. Schau mal hier: de.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Evan Anderson
1
Übrigens ist es äußerst unhöflich, wenn Sie ein Problem entdecken und dann versuchen, Ihren Müll auf den Rasen eines anderen zu werfen. Stellen Sie Ihr iPad also nicht so ein, dass es auf andere Systeme zeigt.
Zoredache
1
Das Problem bei Ihrem DNS-Setup ist, dass jeder Ihrer Clients, der einen Platzhalter-DNS-Eintrag verwendet, um alle seine Subdomänen auf cluster.atlascms.se zu verweisen, standardmäßig auf wpad.theirdomain.whatever zeigt. Das heißt, wenn sie ihren Desktop-Hostnamen auf "something.theirdomain.whatever" setzen, wird "wpad.theirdomain.whatever" nachgeschlagen. Holen Sie sich Ihre IP und fordern Sie "wpad.dat" mehrmals täglich an.
Justin Buser

Antworten:

9

Es scheint, dass in Ihrer DNS-Zone eklundh.comein Platzhalterdatensatz definiert ist, der auf cluster.atlascms.se. Dies schließt ein wpad.eklundh.com. Ich schlage vor, Sie fügen einen explizit definierenden DNS-Eintrag hinzu wpad.eklundh.com. zu 127.0.0.1oder so.

Zoredache
quelle
7
Ich hasse Wildcard-DNS-Einträge. Sie waren nie etwas anderes als Ärger.
Evan Anderson
Ok, ich habe jetzt eine wpad-Unterdomäne zu all meinen Domänen in meinem DNS hinzugefügt, die alle auf 127.0.0.1 verweisen. Ich muss warten, bis sie sich ausbreiten und sehen, ob dies das Problem behebt.
Sandman
In meinen Protokolldateien wird der Großteil der Anfragen nicht an eine wpad-Unterdomäne gerichtet, sondern an die IP oder an cluster.atlascms.se ...
Sandman,
11

Computer suchen hierarchisch nach einer WPAD.dat-Datei basierend auf ihrem eigenen FQDN, wenn sie für die automatische Proxyerkennung konfiguriert sind. Wenn ein Windows-PC Mitglied einer Domain cdecom ist, sucht er nach WPAD.dat in:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

Möglicherweise hat irgendwo jemand eine Domain, die eine Unterdomäne der Domain ist, auf der Sie HTTP hosten, und die die automatische Proxyerkennung nicht ordnungsgemäß konfiguriert oder deaktiviert hat. Infolgedessen suchen sie wahrscheinlich hierarchisch.

Möglicherweise hat ein Virus sie dazu veranlasst. Wenn die abfragenden Maschinen sehr zahlreich sind und sich in verschiedenen Subnetzen befinden, ist dies wahrscheinlich der Grund.

Vermeiden Sie nach Möglichkeit, einen DNS-Eintrag für die wpad-Unterdomäne von Elementen zu definieren, die Sie nicht für die automatische Proxyerkennung verwenden möchten.

Wenn dies keine Option ist, können Sie in Erwägung ziehen, mithilfe der Layer 7-Filterung nach Abfragen für wpad.dat zu suchen und die Pakete mit einer ICMP-Nachricht abzulehnen. Dies ist möglicherweise die effektivste Methode, um den Datenverkehr zu stoppen, es sei denn, die IPs stammen alle aus demselben Netzwerk und ihr technischer Ansprechpartner in whois reagiert.

Zu den Dingen, die einen Host auf einen bestimmten Ort für wpad.dat verweisen, gehören Domäneneinstellungen, die Option für den Domänennamen in DHCP-Antworten und eine explizite Einstellung im Webbrowser, um Proxyinformationen von einer bestimmten URL zu laden.

Falcon Momot
quelle
Ich habe keine wpad-Subdomain, aber eine Wildcard-Subdomain. Ich denke, der Schuldige ist möglicherweise meine atlascms.se-Domain (für die ich keine Wildcard-Subdomain benötige), die ich für meine Kunden für ihre CNAME-Einträge verwende. Ich habe mein DNS aktualisiert und muss abwarten, ob dies Abhilfe schafft.
Sandman
Das Problem ist, dass all diese Hunderttausende von Anfragen, die ich von Hunderten und Hunderten von verschiedenen Hosts bekomme, nicht alle glauben könnten, dass atlascms.se in ihrem eigenen Subnetz ist, sicher?
Sandman
Es hat überhaupt nichts mit Subnetzen zu tun; Es sind alles Domänen.
Falcon Momot
Ja, entschuldigen Sie die Terminologieverwirrung.
Sandman
Es ist durchaus möglich, dass jemand versucht, Ihre Domain zum Hosten einer böswilligen wpad.dat zu verwenden (und dies schlägt fehl). Möglicherweise liegt ein Virus vor, der Ihre URL als Speicherort für wpad.dat festlegt oder auf andere Weise auf Hosts verweist, oder es liegt ein falsch konfiguriertes Netzwerk vor.
Falcon Momot
4

Das erste , was ich tun würde , ist zu versuchen, um herauszufinden , wo diese Anforderungen werden an , dh ihr Ziel. Apache protokolliert den Hostnamen nicht standardmäßig, daher können Sie beide verwendentcpdump , um eine kurze Erfassung zu erhalten und nach dem Host:Anforderungsheader zu suchen, oder Ihr Apache-Protokollformat ändern, um ihn zu protokollieren. Ich melde es lieber im ansonsten nutzlosen zweiten Feld an, zum Beispiel:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

Sobald Sie wissen, an wen diese fehlerhaften Anfragen gerichtet sind, wird möglicherweise klar, was als Nächstes zu tun ist. Zum Beispiel könnte es sich um eine große Firma handeln. example.seIn diesem Fall können Sie ihre Netzwerkadministratoren suchen und sie anschreien.

Michael Hampton
quelle
Wenn Sie den Serverstatus verwenden, wird der Host angezeigt, den sie "angreifen", und es handelt sich nicht einmal um einen konfigurierten vhost (weshalb er vom catch-all-vhost protokolliert wird). Der Host, mit dem sie sich alle verbinden, ist "atlas.eklundh". com "
Sandman
Und all diese Anfragen kommen von Hunderten und Hunderten verschiedener Hosts aus dem ganzen Land und den gesamten ISP-Spektren. Dies kommt nicht von einer Quelle oder einer falsch konfigurierten Firma. Ich frage mich, ob ich hier etwas mit meiner Domain eklundh.com falsch gemacht habe, deren DNS-Server ich auch auf dem Computer ausgeführt habe
Sandman,
"atlas.eklundh.com" wird auf dieselbe IP wie "sandman.net" aufgelöst.
Evan Anderson
1
Sie müssen die Systeme nicht wirklich konfigurieren, um nach einer wpad.dat zu suchen. Sie müssen lediglich einen gültigen DNS-Eintrag wie wpad.eklundh.com(Sie haben diesen Eintrag) und Computer mit einem vollqualifizierten Domänennamen (FQDN) wie * .eklundh.com versuchen automatisch, die WPAD-Suche durchzuführen.
Zoredache
1
Das Problem besteht dann darin, dass jeder Computer, der denkt, dass er sich in der Domäne eklundh.com befindet, erkennt, dass wpad.eklundh.com gültig ist, und versucht, eine Proxy-Server-Konfiguration von dort herunterzuladen. Sie können den DNS-Eintrag entfernen oder alle Computer neu konfigurieren.
Michael Hampton
0

Nur zu deiner Information, ModSecurity wird dies fangen und es blockieren. Es gibt einen Regelsatz von Comodo. Hier ist ein Protokolleintrag. Ich habe kontorelevante Daten entfernt, damit sie darin enthalten sind, um sie als Beispiel zu verwenden.

Apache-Fehler: [Datei ""] [] [] [Client xxx.xxx.xxx.xxx] ModSecurity: Zugriff mit Code 403 verweigert (Phase 2). Passender Ausdruck ".dat /" bei TX: Erweiterung. [file ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF: Die URL-Dateierweiterung wird durch die Richtlinie "] [data" .dat "] [severity" CRITICAL "] [hostname eingeschränkt "removed"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]

islandnet.com Webhosting
quelle
-1

Wir hatten dieses Problem und haben es behoben, indem wir eine wpad.dat-Datei erstellt haben, in der "diese Seite leer gelassen" wurde.

CPU ging fast auf Null. Problem scheint gelöst.

Brian Tolman
quelle
Eine syntaktisch falsche Antwort, aber ein Erfolgs-Antwortcode für eine URI, die Sie eindeutig NICHT bereitstellen möchten, ist einfach falsch.
Am
Aber es löste das Symptom. In diesem Fall wurde die Serverlast reduziert, die Site wurde wieder gestartet, und ich hatte Zeit, die A-Records zu wiederholen, bei denen das eigentliche Problem auftrat.
Brian Tolman