Siendo inundado por wpad.dat

12

Entonces, mi servidor apache era lento y busqué en los archivos de registro. Resultó que habían aumentado a 12 GB de accesos de toneladas y toneladas de diferentes hosts que intentaban acceder a /wpad.dat en uno de mis Vhosts.

Ahora, el host virtual en cuestión es el vhost "general" que se invoca cuando un navegador no proporciona un nombre de host conocido.

Actualmente recibo miles de solicitudes por minuto a "/wpad.dat" y, por lo que Google me puede decir, ¿esto tiene algo que ver con los servidores proxy? Pero no uso servidores proxy, entonces, ¿por qué estoy siendo literalmente bombardeado por estas solicitudes?

Recibo más solicitudes por minuto para este archivo que no existe que solicitudes normales. Entonces, supongo que estoy bajo algún tipo de ataque. Lo curioso es que generalmente solo ocurre de noche (aquí en Suecia) y no durante el día.

Un tamaño de muestra de las últimas 500 solicitudes (es decir, medio minuto) muestra que consta de 200 hosts diferentes, y una pequeña muestra muestra que todos son hosts válidos (no servidores proxy TOR), por lo que algunos servidores DNS están configurados incorrectamente ? Ejecuto un servidor DNS en la máquina.

¡Por favor ayuda! :)

EDITAR El host al que acceden es "cluster.atlascms.se", por lo que lo que hacen es acceder a http://cluster.atlascms.se/wpad.dat miles de veces por minuto.

Ahora, cluster.atlascms.se es mi host de conmutación por error DNS. Entonces, todos mis clientes apuntan sus subdominios a cluster.atlascms.se, que a su vez los apunta a la IP actual (servidor maestro del servidor de conmutación por error).

Como parece, esto significa que recibo toneladas y toneladas de solicitudes para cluster.arlascms.se, ¿podría significar que mi DNS está mal configurado?

apache-2.2 domain-name-system wpad.dat Sandman
fuente
3
Sabes, podrías poner tu propio archivo WPAD.DAT y realmente divertirte con estas personas. > smile <En serio, sin embargo, alguien ha creado una configuración horrible en algún lugar si está extrayendo un WPAD.DAT de una fuente no confiable. Redirige todos sus navegadores a un proxy que controle y MiTM su tráfico.
Evan Anderson
3
Me sentiría fuertemente tentado a poner un wpad.datmensaje que simplemente señale al host local. Eso debería romper las cosas lo suficiente, quienquiera que esté causando el problema podría tomarse el tiempo para solucionarlo.
Zoredache
1
@Sandman: el archivo WPAD.DAT debe ser Javascript para funcionar. Echa un vistazo aquí: en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Evan Anderson
1
Por cierto, es extremadamente grosero que descubras un problema y luego intentes tirar la basura en el césped de otra persona. Por lo tanto, no configure su wpad para que apunte a otros sistemas.
Zoredache
1
El problema con su configuración de DNS es que cualquiera de sus clientes que usen una entrada dns comodín para apuntar todos sus subdominios a cluster.atlascms.se, de forma predeterminada, apuntará wpad.theirdomain.what sea lo que sea allí también. Lo que significa que si configuran su nombre de host de escritorio en algo.el dominio.cualquier cosa, entonces buscará wpad.theirdomain.cualquier cosa, obtendrá su IP y solicitará repetidamente wpad.dat miles de veces al día.
Justin Buser

Respuestas:

9

Parece que su zona DNS eklundh.comtiene un registro comodín definido que apunta a cluster.atlascms.se. Esto incluye wpad.eklundh.com. Le sugiero que agregue un registro DNS que defina explícitamente wpad.eklundh.com. a 127.0.0.1o algo así.

Zoredache
fuente
77
Odio los registros DNS comodín. Nunca han sido más que problemas.
Evan Anderson
Ok, ahora he agregado un subdominio wpad a todos mis dominios en mi DNS que apuntan a 127.0.0.1. Tengo que esperar para ver cómo se propaga y ver si esto soluciona el problema.
Sandman
Mirando en mis archivos de registro, la gran mayoría de las solicitudes no están dirigidas a un subdominio de wpad, sino a la IP o cluster.atlascms.se ...
Sandman
11

Las máquinas buscarán un archivo WPAD.dat jerárquicamente en función de su propio FQDN, si están configuradas para la detección automática de proxy. Entonces, si una PC con Windows es miembro de un dominio cdecom, buscará WPAD.dat en:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

Lo más probable es que en alguna parte, alguien tenga un dominio que sea un subdominio de uno de los que aloja HTTP, y no haya configurado o deshabilitado correctamente el autodescubrimiento de proxy. En consecuencia, es probable que busquen jerárquicamente.

Es posible que un virus les haya causado hacer esto; probablemente, si las máquinas que realizan la consulta son extremadamente numerosas y en subredes diversas, esto es lo que pasa.

Si es posible, evite definir un registro DNS para el subdominio wpad de cualquier cosa que no tenga la intención de usar para el descubrimiento automático de proxy.

Si esta no es una opción, podría considerar el uso de un filtro de capa 7 para buscar consultas para wpad.dat y rechazar los paquetes con un mensaje ICMP. En realidad, esta podría ser la forma más efectiva de detener el tráfico, a menos que todas las IP sean de la misma red y su contacto técnico en whois sea receptivo.

Las cosas que apuntarán a un host en una ubicación particular para wpad.dat incluyen la configuración del dominio, la opción de nombre de dominio en las respuestas DHCP y una configuración explícita en el navegador web para cargar información de proxy desde alguna URL.

Falcon Momot
fuente
No tengo un subdominio wpad, pero sí tengo un subdominio comodín. Creo que el culpable puede ser mi dominio atlascms.se (para el que no necesito un subdominio comodín), que es el dominio que uso para mis clientes para sus registros CNAME. He actualizado mi DNS y tendré que esperar y ver si esto soluciona las cosas.
Sandman
El problema es que todos estos cientos de miles de solicitudes que recibo de cientos y cientos de hosts diferentes no podrían estar pensando que atlascms.se está en su propia subred, ¿verdad?
Sandman
No tiene nada que ver con subredes; Es todo dominios.
Falcon Momot
Sí, perdón por la confusión terminológica.
Sandman
Es completamente posible que alguien esté tratando de usar su dominio para alojar un wpad.dat malicioso (y falla). Es posible que exista un virus que establezca su URL como el lugar para obtener wpad.dat de manera explícita, o que apunte a los hosts allí, o puede haber una red mal configurada.
Falcon Momot
4

La primera cosa que haría es tratar de averiguar dónde estas solicitudes van a , es decir, su destino. Apache no registra el nombre de host de manera predeterminada, por lo que puede usarlo tcpdumppara obtener una breve captura e inspeccionarlo para el Host:encabezado de la solicitud, o cambiar el formato de registro de Apache para registrarlo. Prefiero iniciar sesión en el segundo campo que de otro modo sería inútil, por ejemplo:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

Una vez que sepa a quién se dirigen estas solicitudes erróneas, qué hacer a continuación puede quedar claro. Por ejemplo, podría resultar ser una gran empresa, example.seen cuyo caso puede ir a buscar a sus administradores de red y gritarles.

Michael Hampton
fuente
usando el estado del servidor, veo el host que están "atacando", y ni siquiera es un vhost configurado (es por eso que está registrado por el vhost catch-all): el host al que TODOS se conectan es "atlas.eklundh". com "
Sandman
Y también, todas estas solicitudes provienen de cientos y cientos de hosts diferentes de todo el país y de todos los espectros de ISP, esto no proviene de una fuente o una compañía mal configurada. Me pregunto si estoy haciendo algo mal con mi dominio eklundh.com aquí, cuyo servidor DNS también ejecuto en la máquina
Sandman
"atlas.eklundh.com" tiene la misma IP que "sandman.net".
Evan Anderson
1
Realmente no necesita configurar sistemas para buscar un wpad.dat. Solo tiene que tener un registro DNS válido como wpad.eklundh.com(tiene ese registro) y las computadoras que tienen un FQDN que se establece en algo como * .eklundh.com` automáticamente intentarán hacer la búsqueda WPAD.
Zoredache
1
El problema es que cualquier computadora que piense que está en el dominio eklundh.com verá que wpad.eklundh.com es válido e intentará descargar una configuración de servidor proxy. Puede eliminar el registro DNS o volver a configurar todas las computadoras.
Michael Hampton
0

Solo para tu información, ModSecuritycaptaré esto y lo bloquearé. Hay un conjunto de reglas proporcionado por Comodo. Aquí hay una entrada de registro. Eliminé los datos relevantes de la cuenta para que los tenga solo para usarlos como ejemplo.

Error de Apache: [archivo ""] [] [] [cliente xxx.xxx.xxx.xxx] ModSecurity: acceso denegado con código 403 (fase 2). Frase coincidente ".dat /" en TX: extensión. [archivo ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF: la extensión del archivo URL está restringida por la política "] [datos" .dat "] [gravedad" CRÍTICA "] [nombre de host "eliminado"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]

Alojamiento web de islandnet.com
fuente
-1

Tuve este problema y lo solucionó creando un archivo wpad.dat que incluía la página "esta página en blanco".

La CPU fue casi a cero. El problema parece resuelto.

Brian Tolman
fuente
una respuesta sintácticamente incorrecta, pero un código de respuesta de éxito para un URI que claramente NO tiene la intención de servir es simplemente incorrecto.
ans
Pero resolvió el síntoma. En este caso, redujo la carga del servidor, volví a ejecutar el sitio y me dio tiempo para rehacer los A-Records donde vivía el problema real.
Brian Tolman