Essere inondato da wpad.dat

12

Quindi, il mio server Apache era lento e ho guardato nei file di registro. Si è scoperto che erano cresciuti a 12 GB di accessi da tonnellate e tonnellate di host diversi che cercavano di accedere a /wpad.dat su uno dei miei Vhosts.

Ora, l'host virtuale in questione è il vhost "catch-all" che viene invocato quando un browser non fornisce un nome host noto.

Attualmente sto ricevendo migliaia di richieste al minuto su "/wpad.dat" e, per quanto può dirmi Google, questo ha qualcosa a che fare con i server proxy? Ma non uso server proxy, quindi perché sono letteralmente bombardato da queste richieste.

Ricevo più richieste al minuto per questo file inesistente rispetto alle richieste normali. Quindi la mia ipotesi è che sono sotto una qualche forma di attacco. La cosa divertente è che generalmente si verifica solo di notte (qui in Svezia) e non durante il giorno.

Una dimensione di esempio delle ultime 500 richieste (ovvero mezzo minuto) mostra che è composta da 200 host diversi, e un piccolo esempio di quelle mostra che sono tutti host validi (non proxy TOR), quindi alcuni server DNS non sono configurati correttamente ? Corro un server DNS sulla macchina.

Per favore aiuto! :)

EDIT L'host a cui accedono è "cluster.atlascms.se", quindi ciò che fanno è accedere a http://cluster.atlascms.se/wpad.dat migliaia di volte al minuto.

Ora cluster.atlascms.se è il mio host di failover DNS. Quindi tutti i miei clienti indirizzano i loro sottodomini a cluster.atlascms.se, che a loro volta li indirizza verso l'IP corrente (server principale del server di failover).

A quanto pare - questo significa che sto ricevendo tonnellate e tonnellate di richieste a cluster.arlascms.se - potrebbe significare che il mio DNS non è configurato correttamente?

apache-2.2  domain-name-system  wpad.dat 
omino del sonno
fonte
3
Sai, potresti creare il tuo file WPAD.DAT e divertirti davvero con queste persone. > smile <Seriamente, però, qualcuno ha creato una configurazione da qualche parte orribilmente se sta estraendo un WPAD.DAT da una fonte non attendibile. Reindirizzi tutti i loro browser a un proxy che controlli e MiTM al loro traffico.
Evan Anderson,
3
Sarei fortemente tentato di mettere su un punto wpad.datche indica semplicemente l'host locale. Ciò dovrebbe rompere abbastanza le cose che chiunque sta causando il problema potrebbe richiedere del tempo per risolverlo.
Zoredache
1
@Sandman - Il file WPAD.DAT deve essere Javascript per funzionare. Dai un'occhiata qui: en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Evan Anderson,
1
A proposito, è estremamente scortese per te scoprire un problema e quindi provare a scaricare la spazzatura sul prato di qualcun altro. Quindi, per favore, non impostare il tuo wpad in modo che punti ai sistemi di qualcun altro.
Zoredache
1
Il problema con la tua configurazione DNS è che tutti i tuoi client che usano una voce dns jolly per indirizzare tutti i loro sottodomini a cluster.atlascms.se, per impostazione predefinita, indicheranno wpad.theirdomain.whats qualunque. Ciò significa che se impostano il nome host del desktop su qualcosa.il mondo.qualunque cosa cercherà wpad.theirdomain.wunque, ottieni il tuo IP e richiedi ripetutamente wpad.dat migliaia di volte al giorno.
Justin Buser,

Risposte:

9

Sembra che la tua zona DNS eklundh.comabbia un record jolly definito che punta a cluster.atlascms.se. Ciò include wpad.eklundh.com. Ti suggerisco di aggiungere un record DNS che definisca esplicitamente wpad.eklundh.com. a 127.0.0.1o qualcosa del genere.

Zoredache
fonte
7
Odio i record DNS con caratteri jolly. Non sono mai stati altro che guai.
Evan Anderson,
Ok, ora ho aggiunto un sottodominio wpad a tutti i miei domini nel mio DNS che puntano tutti a 127.0.0.1 - Devo aspettare per vederlo propagare e vedere se questo risolve il problema.
Sandman,
Guardando nei miei file di registro, la maggior parte delle richieste non è diretta a un sottodominio di wpad, ma verso l'IP o verso cluster.atlascms.se ...
Sandman,
11

Le macchine cercheranno un file WPAD.dat gerarchicamente basato sul proprio nome di dominio completo, se sono configurate per l'individuazione automatica del proxy. Quindi, se un PC Windows è un membro di un dominio cdecom, cercherà WPAD.dat in:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

È probabile che da qualche parte qualcuno abbia un dominio che è un sottodominio di uno di quelli su cui stai ospitando HTTP e non ha configurato correttamente o disabilitato il rilevamento automatico del proxy. Di conseguenza, probabilmente stanno cercando gerarchicamente.

È possibile che un virus abbia causato loro di farlo; probabilmente, se le macchine che eseguono la query sono estremamente numerose e in diverse sottoreti, questo è ciò che succede.

Se possibile, evitare di definire un record DNS per il sottodominio wpad di tutto ciò che non si intende utilizzare per il rilevamento automatico del proxy.

Se questa non è un'opzione, potresti prendere in considerazione l'utilizzo del filtro di livello 7 per trovare query per wpad.dat e rifiutare i pacchetti con un messaggio ICMP. Questo potrebbe effettivamente essere il modo più efficace per fermare il traffico, a meno che gli IP provengano tutti dalla stessa rete e il loro contatto tecnico in whois sia reattivo.

Le cose che punteranno un host in una posizione particolare per wpad.dat includono le impostazioni del dominio, l'opzione del nome dominio nelle risposte DHCP e un'impostazione esplicita nel browser Web per caricare le informazioni proxy da un URL.

Falcon Momot
fonte
Non ho un sottodominio wpad, ma ho un sottodominio con caratteri jolly. Penso che il colpevole possa essere il mio dominio atlascms.se (per il quale non ho bisogno di un sottodominio con caratteri jolly) che è il dominio che utilizzo per i miei clienti per i loro record CNAME. Ho aggiornato il mio DNS e dovrò aspettare e vedere se questo risolve le cose.
Sandman,
Il problema è che tutte queste centinaia di migliaia di richieste che ricevo da centinaia e centinaia di host diversi non potrebbero pensare che atlascms.se sia nella loro sottorete, sicuramente?
Sandman,
Non ha nulla a che fare con le sottoreti; sono tutti domini.
Falcon Momot,
Sì, scusa per la confusione terminologica.
Sandman,
È del tutto possibile che qualcuno stia cercando di utilizzare il tuo dominio per ospitare un wpad.dat dannoso (e non ci riesca). Potrebbe esserci un virus là fuori che imposta il tuo URL come il luogo in cui ottenere wpad.dat in modo esplicito o che in altro modo punta gli host lì, oppure potrebbe esserci una rete non configurata correttamente.
Falcon Momot,
4

La prima cosa che vorrei fare è cercare di scoprire dove queste richieste stanno andando a , vale a dire la loro destinazione. Apache non registra il nome host per impostazione predefinita, quindi è possibile utilizzare tcpdumpper ottenere una breve acquisizione e ispezionarlo per l' Host:intestazione della richiesta oppure modificare il formato di registro di Apache per registrarlo. Preferisco registrarlo nel secondo campo altrimenti inutile, ad esempio:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

Una volta che sai a chi vengono indirizzate queste richieste errate, cosa fare dopo potrebbe diventare chiaro. Ad esempio, potrebbe rivelarsi una grande azienda, example.senel qual caso puoi andare a trovare i loro amministratori di rete e urlare contro di loro.

Michael Hampton
fonte
usando lo stato del server, vedo l'host che stanno "attaccando" e non è nemmeno un vhost configurato (motivo per cui è registrato dal vhost catch-all) - l'host a cui TUTTI si stanno connettendo è "atlas.eklundh. com "
Sandman,
Inoltre, tutte queste richieste provengono da centinaia e centinaia di host diversi da tutto il paese e da tutti gli spettri ISP, questo non proviene da una fonte o da una società non configurata correttamente. Mi chiedo se sto facendo qualcosa di sbagliato nel mio dominio eklundh.com qui, il cui server DNS eseguo anche sulla macchina
Sandman,
"atlas.eklundh.com" si risolve nello stesso IP di "sandman.net".
Evan Anderson,
1
Non hai davvero bisogno di configurare i sistemi per cercare un wpad.dat. Devi solo avere un record DNS valido come wpad.eklundh.com(hai quel record) e i computer che hanno un FQDN impostato su qualcosa come * .eklundh.com` proveranno automaticamente a fare la ricerca WPAD.
Zoredache
1
Il problema diventa quindi che qualsiasi computer che pensa di trovarsi nel dominio eklundh.com vedrà che wpad.eklundh.com è valido e tenterà di scaricare una configurazione del server proxy da esso. È possibile rimuovere il record DNS o riconfigurare tutti i computer.
Michael Hampton
0

Solo FYI, ModSecurityprenderà questo e lo bloccherà. C'è un set di regole fornito da Comodo. Ecco una voce di registro. Ho eliminato i dati rilevanti dell'account in modo che siano inclusi solo per usarli come esempio.

Errore Apache: [file ""] [] [] [client xxx.xxx.xxx.xxx] ModSecurity: accesso negato con il codice 403 (fase 2). Frase corrispondente ".dat /" su TX: estensione. [file ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF: l'estensione del file URL è limitata dalla politica "] [data" .dat "] [severity" CRITICAL "] [nomehost "rimosso"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]

web hosting su islandnet.com
fonte
-1

Ho riscontrato questo problema e risolto creando un file wpad.dat inserendo la pagina "questa pagina lasciata vuota".

La CPU è quasi a zero. Il problema sembra risolto.

Brian Tolman
fonte
una risposta sintatticamente sbagliata, ma un codice di risposta di successo per un URI che NON intendi servire è semplicemente sbagliato.
anx,
Ma ha risolto il sintomo. In questo caso, ha ridotto il carico del server, è tornato in esecuzione il sito e mi ha dato il tempo di rifare gli A-Records in cui viveva il vero problema.
Brian Tolman,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.