web-dev-qa-db-ja.com

wpad.datに殺到

そのため、Apacheサーバーは低速で、ログファイルを調べました。私のVhostsの1つで/wpad.datにアクセスしようとする膨大な数の異なるホストからのアクセスが12GBに増えたことがわかりました。

現在、問題の仮想ホストは、ブラウザーが既知のホスト名を提供しないときに呼び出される「キャッチオール」vhostです。

現在、「/ wpad.dat」への毎分数千のリクエストを受け取っていますが、Googleが知る限り、これはプロキシサーバーと関係があるものですか?しかし、私はプロキシサーバーを使用しないので、なぜこれらの要求によって文字通り攻撃されているのですか。

この存在しないファイルに対して、通常のリクエストよりも1分あたりmoreのリクエストを取得しています。だから私の想定は、私が何らかの攻撃を受けているということです。おもしろいことに、それは一般に夜間(ここではスウェーデン)にのみ発生し、日中は発生しません。

最新の500リクエストのサンプルサイズ(つまり、30分)は、200の異なるホストで構成されていることを示し、それらの小さなサンプルは、それらがすべて有効なホスト(TORプロキシではない)であることを示しているため、一部のDNSサーバーが正しく構成されていません。 ?マシンでDNSサーバーを実行します。

助けてください! :)

[〜#〜] edit [〜#〜]アクセスしているホストは "cluster.atlascms.se"なので、アクセスは- http://cluster.atlascms.se/wpad.dat 1分あたり数千回。

現在、cluster.atlascms.seは私のDNSフェイルオーバーホストです。したがって、すべてのクライアントはサブドメインをcluster.atlascms.seにポイントし、それが現在のIP(フェイルオーバーサーバーのマスターサーバー)にポイントします。

どうやら-これは大量のリクエストがcluster.arlascms.seに届いていることを意味します-それは私のDNSが正しく設定されていないことを意味するのでしょうか?

12
Sandman

DNSゾーンeklundh.comには、cluster.atlascms.se.を指すワイルドカードレコードが定義されているようです。これにはwpad.eklundh.comが含まれます。 wpad.eklundh.comを明示的に定義するDNSレコードを追加することをお勧めします。 127.0.0.1か何かに。

9
Zoredache

プロキシの自動検出が構成されている場合、マシンは独自のFQDNに基づいて階層的にWPAD.datファイルを探します。したがって、Windows PCがドメインc.d.e.comのメンバーである場合、次の場所でWPAD.datを探します。

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

たぶん、誰かがHTTPをホストしているドメインの1つのサブドメインであるドメインを誰かが持ち、プロキシの自動検出を適切に構成または無効にしていない可能性があります。その結果、彼らはおそらく階層的に検索しています。

ウイルスが原因でこれが実行された可能性があります。おそらく、クエリを実行するマシンが非常に多く、多様なサブネットにある場合、これが問題です。

可能であれば、プロキシの自動検出に使用する予定のないもののwpadサブドメインのDNSレコードを定義しないでください。

これがオプションでない場合は、レイヤー7フィルタリングを使用してwpad.datのクエリを検索し、ICMPメッセージでパケットを拒否することを検討できます。これは、IPがすべて同じネットワークからのもので、whoisの技術担当者が応答する場合を除いて、実際にはトラフィックを停止する最も効果的な方法です。

ホストがwpad.datの特定の場所を指すようにするものには、ドメイン設定、DHCP応答のドメイン名オプション、および一部のURLからプロキシ情報をロードするためのWebブラウザーの明示的な設定が含まれます。

11
Falcon Momot

私が最初に行うことは、これらのリクエストがどこに送信されるかto、つまり宛先を見つけることです。 Apacheはデフォルトではホスト名をログに記録しないため、tcpdumpを使用して簡単なキャプチャを取得し、Host:リクエストヘッダーを検査するか、Apacheログ形式を変更してログに記録できます。それ以外の場合は役に立たない2番目のフィールドに記録することをお勧めします。次に例を示します。

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

これらの誤った要求が誰に宛てられているかがわかったら、次に何をすべきかが明らかになるかもしれません。たとえば、大企業example.seであることが判明した場合、そのネットワーク管理者を見つけて怒鳴ることができます。

4
Michael Hampton

参考までに、ModSecurityはこれをキャッチしてブロックします。コモドが提供するルールセットがあります。これがログエントリです。例として使用するために、アカウントに関連するデータを取り除いたので、それに関連しています。

Apache-Error:[file ""] [] [] [client xxx.xxx.xxx.xxx] ModSecurity:アクセスがコード403(フェーズ2)で拒否されました。 TX:extensionで一致したフレーズ ".dat /"。 [ファイル ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF:URL file extension is limited by policy "] [data" .dat "] [severity" CRITICAL "] [hostname 「削除」] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]