Être inondé par wpad.dat

12

Donc, mon serveur apache était lent et j'ai regardé dans les fichiers journaux. Il s'est avéré qu'ils avaient atteint 12 Go d'accès à partir de tonnes et de tonnes d'hôtes différents essayant d'accéder à /wpad.dat sur l'un de mes Vhosts.

Désormais, l'hôte virtuel en question est le vhost «fourre-tout» qui est invoqué lorsqu'un navigateur ne fournit pas de nom d'hôte connu.

Je reçois actuellement des milliers de demandes par minute vers "/wpad.dat" et pour autant que Google puisse me le dire, est-ce quelque chose qui a quelque chose à voir avec les serveurs proxy? Mais je n'utilise pas de serveurs proxy, alors pourquoi suis-je littéralement bombardé par ces demandes.

Je reçois plus de demandes par minute pour ce fichier inexistant que je ne reçois de demandes normales. Donc, mon hypothèse est que je subis une certaine forme d'attaque. Ce qui est drôle, c'est que cela ne se produit généralement que la nuit (ici en Suède) et non le jour.

Un échantillon de la taille des 500 dernières demandes (soit une demi-minute) montre qu'il se compose de 200 hôtes différents, et un petit échantillon de ceux-ci montre qu'ils sont tous des hôtes valides (pas des proxys TOR), de sorte que certains serveurs DNS sont mal configurés ? J'exécute un serveur DNS sur la machine.

Aidez-moi! :)

MODIFIER L'hôte auquel ils accèdent est "cluster.atlascms.se", donc ce qu'ils font, c'est accéder à http://cluster.atlascms.se/wpad.dat des milliers de fois par minute.

Maintenant, cluster.atlascms.se est mon hôte de basculement DNS. Tous mes clients pointent donc leurs sous-domaines vers cluster.atlascms.se, qui à leur tour les pointe vers l'IP actuelle (serveur maître du serveur de basculement).

Comme il semble - cela signifie que je reçois des tonnes et des tonnes de demandes à cluster.arlascms.se - cela pourrait-il signifier que mon DNS est mal configuré?

apache-2.2 domain-name-system wpad.dat Marchand de sable
la source
3
Vous savez, vous pouvez créer votre propre fichier WPAD.DAT et vous amuser vraiment avec ces personnes. > smile <Sérieusement, cependant, quelqu'un a b0rké une configuration quelque part horriblement s'il tire un WPAD.DAT d'une source non fiable. Vous redirigez tous leurs navigateurs vers un proxy que vous contrôlez et MiTM leur trafic.
Evan Anderson
3
Je serais fortement tenté de mettre en place un wpad.datqui pointe simplement l'hôte local. Cela devrait casser suffisamment les choses, celui qui cause le problème pourrait prendre le temps de le résoudre.
Zoredache
1
@Sandman - Le fichier WPAD.DAT doit être Javascript pour fonctionner. Jetez un coup d' oeil ici: en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Evan Anderson
1
BTW, il est extrêmement impoli pour vous de découvrir un problème, puis essayez de jeter vos déchets sur la pelouse de quelqu'un d'autre. Donc, s'il vous plaît, ne configurez pas votre wpad pour pointer vers les systèmes de quelqu'un d'autre.
Zoredache
1
Le problème avec votre configuration DNS est que tous vos clients qui utilisent une entrée DNS générique pour pointer tous leurs sous-domaines vers cluster.atlascms.se pointeront par défaut wpad.theirdomain. Ce qui signifie que s'ils définissent leur nom d'hôte de bureau sur quelque chose.
Justin Buser

Réponses:

9

Il semble que votre zone DNS eklundh.comait un enregistrement générique défini pointant vers cluster.atlascms.se. Cela inclut wpad.eklundh.com. Je vous suggère d'ajouter un enregistrement DNS définissant explicitement wpad.eklundh.com. à 127.0.0.1ou quelque chose.

Zoredache
la source
7
Je déteste les enregistrements DNS génériques. Ils n'ont jamais été que des ennuis.
Evan Anderson
Ok, j'ai maintenant ajouté un sous-domaine wpad à tous mes domaines dans mon DNS qui pointent tous vers 127.0.0.1 - je dois attendre de le voir se propager et voir si cela résout le problème.
Sandman
En regardant dans mes fichiers journaux, la grande majorité des demandes ne sont pas dirigées vers un sous-domaine wpad, mais vers l'adresse IP ou vers cluster.atlascms.se ...
Sandman
11

Les machines rechercheront un fichier WPAD.dat de manière hiérarchique en fonction de leur propre nom de domaine complet, si elles sont configurées pour la découverte automatique du proxy. Donc, si un PC Windows est membre d'un domaine cdecom, il recherchera WPAD.dat dans:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

Il y a des chances que quelque part, quelqu'un possède un domaine qui est un sous-domaine de l'un de ceux sur lesquels vous hébergez HTTP et qui n'a pas correctement configuré ou désactivé la détection automatique de proxy. En conséquence, ils recherchent probablement hiérarchiquement.

Il est possible qu'un virus leur ait causé cela; probablement, si les machines effectuant la requête sont extrêmement nombreuses et dans des sous-réseaux divers, c'est ce qui se passe.

Si possible, évitez de définir un enregistrement DNS pour le sous-domaine wpad de tout ce que vous n'avez pas l'intention d'utiliser pour la détection automatique de proxy.

Si ce n'est pas une option, vous pouvez envisager d'utiliser le filtrage de couche 7 pour rechercher des requêtes pour wpad.dat et rejeter les paquets avec un message ICMP. Cela pourrait en fait être le moyen le plus efficace d'arrêter le trafic, à moins que les IP ne proviennent toutes du même réseau et que leur contact technique en whois soit réactif.

Les éléments qui pointeront un hôte vers un emplacement particulier pour wpad.dat incluent les paramètres de domaine, l'option de nom de domaine dans les réponses DHCP et un paramètre explicite dans le navigateur Web pour charger les informations de proxy à partir d'une URL.

Falcon Momot
la source
Je n'ai pas de sous-domaine wpad, mais j'ai un sous-domaine générique. Je pense que le coupable peut être mon domaine atlascms.se (pour lequel je n'ai pas besoin d'un sous-domaine générique) qui est le domaine que j'utilise pour mes clients pour leurs enregistrements CNAME. J'ai mis à jour mon DNS et je vais devoir attendre pour voir si cela corrige les choses.
Sandman
Le problème est que toutes ces centaines de milliers de demandes que je reçois de centaines et de centaines d'hôtes différents ne pouvaient pas toutes penser que atlascms.se est dans leur propre sous-réseau, sûrement?
Sandman
Cela n'a rien à voir avec les sous-réseaux; c'est tous les domaines.
Falcon Momot
Ouais, désolé pour la confusion terminologique.
Sandman
Il est tout à fait possible que quelqu'un essaie d'utiliser votre domaine pour héberger un wpad.dat malveillant (et échoue). Il peut y avoir un virus définissant votre URL comme emplacement pour obtenir wpad.dat de manière explicite, ou autrement pointant des hôtes là-bas, ou il peut y avoir un réseau mal configuré.
Falcon Momot
4

La première chose que je ferais serait d'essayer de savoir où vont ces demandes , c'est- à -dire leur destination. Apache n'enregistre pas le nom d'hôte par défaut, vous pouvez donc soit utiliser tcpdumppour obtenir une brève capture et l'inspecter pour l'en- Host:tête de la demande, soit modifier votre format de journal Apache pour l'enregistrer. Je préfère l'enregistrer dans le deuxième champ sinon inutile, par exemple:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

Une fois que vous savez à qui ces demandes erronées sont adressées, que faire ensuite peut devenir clair. Par exemple, cela pourrait s'avérer être une grande entreprise, example.seauquel cas vous pouvez aller trouver leurs administrateurs réseau et leur crier dessus.

Michael Hampton
la source
en utilisant l'état du serveur, je vois l'hôte qu'ils "attaquent", et ce n'est même pas un vhost configuré (c'est pourquoi il est enregistré par le vhost fourre-tout) - l'hôte auquel ils se connectent TOUS est "atlas.eklundh. com "
Sandman
Et aussi, toutes ces demandes proviennent de centaines et de centaines d'hôtes différents de tout le pays et de tous les spectres des FAI, cela ne vient pas d'une source ou d'une société mal configurée. Je me demande si je fais quelque chose de mal avec mon domaine eklundh.com ici, dont je fais également tourner le serveur DNS sur la machine
Sandman
"atlas.eklundh.com" se résout à la même adresse IP que "sandman.net".
Evan Anderson
1
Vous n'avez pas vraiment besoin de configurer les systèmes pour rechercher un wpad.dat. Vous venez d'avoir un enregistrement DNS valide comme wpad.eklundh.com(vous avez cet enregistrement) et les ordinateurs qui ont un FQDN qui est défini sur quelque chose comme * .eklundh.com` essaiera automatiquement de faire la recherche WPAD.
Zoredache
1
Le problème devient alors que tout ordinateur qui pense qu'il se trouve dans le domaine eklundh.com verra que wpad.eklundh.com est valide et tentera de télécharger une configuration de serveur proxy à partir de celui-ci. Vous pouvez supprimer l'enregistrement DNS ou reconfigurer tous les ordinateurs.
Michael Hampton
0

Juste pour info, ModSecurityva attraper cela et le bloquer. Il y a un ensemble de règles fourni par Comodo. Voici une entrée de journal. J'ai supprimé les données pertinentes du compte afin qu'elles soient dedans juste pour l'utiliser comme exemple.

Apache-Error: [fichier ""] [] [] [client xxx.xxx.xxx.xxx] ModSecurity: accès refusé avec le code 403 (phase 2). Expression correspondante ".dat /" à TX: extension. [fichier ""] ["] [id" 210730 "] [rév" 2 "] [msg" COMODO WAF: l'extension de fichier URL est limitée par la stratégie "] [données" .dat "] [gravité" CRITICAL "] [nom d'hôte "supprimé"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]

Hébergement Web islandnet.com
la source
-1

A eu ce problème et l'a corrigé en créant un fichier wpad.dat en y mettant la page "cette page laissée vierge".

Le CPU est passé à presque zéro. Le problème semble résolu.

Brian Tolman
la source
une réponse syntaxiquement incorrecte, mais un code de réponse de réussite pour un URI que vous n'avez clairement PAS l'intention de servir est tout simplement faux.
anx
Mais cela a résolu le symptôme. Dans ce cas, cela a réduit la charge du serveur, relancé le site et m'a donné le temps de refaire les A-Records où vivait le vrai problème.
Brian Tolman