wpad.dat에 의해 범람되는

12

그래서 아파치 서버가 느려서 로그 파일을 보았습니다. 그들은 내 호스트 중 하나에서 /wpad.dat에 액세스하려고하는 톤과 톤의 다른 호스트에서 12GB의 액세스로 자랐습니다.

이제 문제의 가상 호스트는 브라우저가 알려진 호스트 이름을 제공하지 않을 때 호출되는 "catch-all"vhost입니다.

현재 "/wpad.dat"에 분당 수천 건의 요청을 받고 있으며 Google에서 알 수있는 한 프록시 서버와 관련이있는 것입니까? 그러나 프록시 서버를 사용하지 않기 때문에 이러한 요청에 문자 그대로 폭격을받는 이유는 무엇입니까?

나는 얻고 더 나는 정상적인 요청을 얻고보다이 존재하지 않는 파일을 분당 요청합니다. 그래서 저는 어떤 형태의 공격을 받고 있다고 가정합니다. 재미있는 것은 일반적으로 밤에만 (여기서는 스웨덴에서는) 발생하지만 낮에는 발생하지 않는다는 것입니다.

최근 500 개의 요청 (예 : 0.5 분)의 샘플 크기는 200 개의 서로 다른 호스트로 구성되어 있음을 보여 주며 작은 샘플은 TOR 프록시가 아닌 모든 유효한 호스트이므로 일부 DNS 서버가 잘못 구성되어 있음을 보여줍니다. ? 컴퓨터에서 DNS 서버를 실행합니다.

도와주세요! :)

편집 그들이 액세스하는 호스트는 "cluster.atlascms.se"이므로 그들이하는 일은 분당 수천 번 http://cluster.atlascms.se/wpad.dat 에 액세스하는 것 입니다.

이제 cluster.atlascms.se는 내 DNS 장애 조치 호스트입니다. 따라서 모든 클라이언트는 하위 도메인을 cluster.atlascms.se로 가리키고 현재 IP (장애 조치 서버의 마스터 서버)를 가리 킵니다.

보이는 것처럼-이것은 cluster.arlascms.se에 대한 수많은 요청을 받고 있음을 의미합니다-내 DNS가 잘못 구성되었음을 의미 할 수 있습니까?

apache-2.2 domain-name-system wpad.dat

— 샌드맨
소스

3

알다시피, 당신은 자신의 WPAD.DAT 파일을 만들어 실제로 사람들과 즐거운 시간을 보낼 수 있습니다. > smile <그러나, 누군가가 신뢰할 수없는 출처에서 WPAD.DAT를 가져 오는 경우 누군가 어딘가에 구성을 설정했습니다. 모든 브라우저를 제어하는 프록시로 리디렉션하고 트래픽을 MiTM합니다.

— Evan Anderson

3

나는 wpad.dat단순히 로컬 호스트를 가리키는 것을 유혹하고 싶습니다 . 문제를 일으키는 사람은 문제를 해결하는 데 시간이 걸릴 수 있습니다.

— Zoredache

1

@Sandman-WPAD.DAT 파일이 작동하려면 Javascript 여야합니다. 여기를보십시오 : en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol

— Evan Anderson

1

BTW, 문제를 발견하고 다른 사람의 잔디밭에 쓰레기를 버리는 것은 매우 무례한 일입니다. 따라서 다른 사람의 시스템을 가리 키도록 wpad를 설정하지 마십시오.

— Zoredache

1

DNS 설정의 문제점은 와일드 카드 dns 항목을 사용하여 모든 하위 도메인을 cluster.atlascms.se로 지정하는 모든 클라이언트가 기본적으로 wpad.theirdomain.을 가리키는 것입니다. 즉, 데스크탑 호스트 이름을 something.theirdomain.what으로 설정하면 wpad.theirdomain.what을 조회하고 IP를 가져오고 하루에 수천 번 wpad.dat를 반복적으로 요청합니다.

— Justin Buser

9

DNS 영역에 포함을 eklundh.com가리키는 와일드 카드 레코드가 정의 cluster.atlascms.se.되어있는 것 같습니다 wpad.eklundh.com. 명시 적으로 정의한 DNS 레코드를 추가하는 것이 좋습니다 wpad.eklundh.com. 로 127.0.0.1또는 뭔가.

— 조 레다 슈
소스

7

와일드 카드 DNS 레코드가 싫습니다. 그들은 결코 문제가되지 않았습니다.

— Evan Anderson

Ok, 이제 127.0.0.1을 가리키는 DNS의 모든 도메인에 wpad 하위 도메인을 추가했습니다. 전파되는 것을 확인하고 문제가 해결되는지 기다려야합니다.

— Sandman

내 로그 파일을 살펴보면 대량의 요청이 wpad 하위 도메인이 아니라 IP 또는 cluster.atlascms.se로 전송됩니다.

— Sandman

11

컴퓨터는 프록시 자동 검색을 위해 구성된 경우 자체 FQDN을 기반으로 WPAD.dat 파일을 계층 적으로 찾습니다. 따라서 Windows PC가 도메인 cdecom의 구성원 인 경우 다음에서 WPAD.dat를 찾습니다.

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

어딘가에 누군가가 HTTP를 호스팅하는 도메인 중 하나의 하위 도메인 인 도메인을 가지고 있고 프록시 자동 검색을 올바르게 구성하거나 비활성화하지 않은 경우 일 수 있습니다. 결과적으로 계층 적으로 검색 할 가능성이 높습니다.

바이러스로 인해이 작업이 수행되었을 수 있습니다. 쿼리를 수행하는 머신이 매우 많고 다양한 서브넷에있는 경우 이것이 정상입니다.

가능하면 프록시 자동 검색에 사용하지 않을 대상의 wpad 하위 도메인에 대한 DNS 레코드를 정의하지 마십시오.

이것이 옵션이 아닌 경우 계층 7 필터링을 사용하여 wpad.dat에 대한 쿼리를 찾고 ICMP 메시지로 패킷을 거부 할 수 있습니다. IP가 모두 동일한 네트워크에 있고 whois의 기술 담당자가 응답하지 않는 한 실제로 트래픽을 중지하는 가장 효과적인 방법 일 수 있습니다.

wpad.dat의 특정 위치에서 호스트를 가리키는 것은 도메인 설정, DHCP 응답의 도메인 이름 옵션 및 일부 URL에서 프록시 정보를로드하기위한 웹 브라우저의 명시 적 설정을 포함합니다.

— 팔콘 모모
소스

wpad 하위 도메인이 없지만 와일드 카드 하위 도메인이 있습니다. 범인은 고객이 CNAME 레코드를 위해 사용하는 도메인 인 내 atlascms.se 도메인 (와일드 카드 하위 도메인이 필요하지 않음) 일 수 있습니다. DNS를 업데이트했는데 기다렸다가이 문제가 해결되는지 확인해야합니다.

— Sandman

문제는 내가 수백, 수백 개의 서로 다른 호스트에서 얻은 수십만 건의 요청이 모두 atlascms.se가 자체 서브넷에 있다고 생각할 수 없다는 것입니다.

— Sandman

서브넷과는 전혀 관련이 없습니다. 모든 도메인입니다.

— Falcon Momot

예, 용어 혼동에 대해 죄송합니다.

— Sandman

누군가가 도메인을 사용하여 악의적 인 wpad.dat를 호스팅하려고 시도하고있을 가능성이 있습니다. wpad.dat를 명시 적으로 가져 오거나 호스트를 지정하는 장소로 URL을 설정하는 바이러스가 있거나 잘못 구성된 네트워크가있을 수 있습니다.

— Falcon Momot

4

내가 할 것이 우선 이러한 요청이가는 곳을 발견하려고 노력하는 것입니다 으로 , 즉 목적지. Apache는 기본적으로 호스트 이름을 기록하지 않으므로 tcpdump간단히 캡처하여 Host:요청 헤더 를 검사 하거나 Apache 로그 형식을 변경하여 기록 할 수 있습니다. 예를 들어 쓸모없는 두 번째 필드에 로그인하는 것을 선호합니다.

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

이러한 잘못된 요청이 누구에게 전달되는지 알면 다음에 수행 할 작업이 명확해질 수 있습니다. 예를 들어, 대기업이 될 수 있는데 example.se,이 경우 네트워크 관리자를 찾아서 소리를지를 수 있습니다.

— 마이클 햄튼
소스

server-status를 사용하면 "공격중인"호스트를 볼 수 있으며 구성된 vhost도 아닙니다 (이것이 catch-all vhost에 의해 기록되는 이유 임). 모두 연결되는 호스트는 "atlas.eklundh입니다. com "

— Sandman

또한 이러한 모든 요청은 전국 및 ISP 스펙트럼의 수백, 수백 개의 다른 호스트에서 온 것으로, 하나의 소스 또는 하나의 잘못된 구성 회사에서 온 것이 아닙니다. eklundh.com 도메인에 문제가 있는지 궁금합니다.이 서버의 DNS 서버도 컴퓨터에서 실행됩니다

— Sandman

"atlas.eklundh.com"는 "sandman.net"과 동일한 IP로 확인됩니다.

— Evan Anderson

1

실제로 wpad.dat를 찾도록 시스템을 구성 할 필요는 없습니다. 유효한 DNS 레코드 wpad.eklundh.com(그 레코드가 있음)가 있어야하고 * .eklundh.com`과 같이 설정된 FQDN이있는 컴퓨터는 자동으로 WPAD 조회를 시도합니다.

— Zoredache

1

문제는 eklundh.com 도메인에 있다고 생각하는 모든 컴퓨터가 wpad.eklundh.com이 유효하다는 것을 인식하고 프록시 서버 구성을 다운로드하려고 시도한다는 것입니다. DNS 레코드를 제거하거나 모든 컴퓨터를 재구성 할 수 있습니다.

— Michael Hampton

0

참고로, ModSecurity이걸 잡아서 막을 것입니다. Comodo에서 제공하는 규칙 세트가 있습니다. 다음은 로그 항목입니다. 계정 관련 데이터를 제거하여 예제로 사용했습니다.

Apache-Error : [file ""] [] [] [client xxx.xxx.xxx.xxx] ModSecurity : 코드 403 (2 단계)으로 액세스가 거부되었습니다. TX : extension에서 일치하는 문구 ".dat /" [file ""] [ "] [id"210730 "] [rev"2 "] [msg"COMODO WAF : URL 파일 확장자가 정책에 의해 제한됨 "] [data".dat "] [심각도"중요 "] [호스트 이름 "제거됨"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]

— islandnet.com 웹 호스팅
소스

-1

이 문제가 발생하여 "이 페이지를 비워 두었습니다"페이지를 포함하는 wpad.dat 파일을 작성하여 수정했습니다.

CPU가 거의 제로에 갔다. 문제가 해결 된 것 같습니다.

— 브라이언 톨먼
소스

문법적으로 잘못된 응답이지만 명확하게 제공하지 않으려는 URI에 대한 성공 응답 코드는 잘못되었습니다.

— anx

그러나 증상이 해결되었습니다. 이 경우 서버로드를 줄이고 사이트를 다시 실행하며 실제 문제가 발생한 A- 레코드를 다시 실행할 시간을주었습니다.

— 브라이언 톨먼