Wpad.dat द्वारा बाढ़ की जा रही है


12

इसलिए, मेरा एपाचे सर्वर धीमा था, और मैंने लॉग फाइलों में देखा। यह पता चला कि वे टन और विभिन्न होस्ट के टन से 12GB तक पहुंच गए थे, जो मेरे एक Vhosts पर /wpad.dat तक पहुंचने की कोशिश कर रहा था।

अब, प्रश्न में वर्चुअल होस्ट "कैच-ऑल" vhost है जो कि एक ब्राउज़र द्वारा ज्ञात होस्टनाम की आपूर्ति नहीं करने पर आह्वान किया जाता है।

मुझे वर्तमान में "/wpad.dat" प्रति मिनट हजारों अनुरोध मिल रहे हैं और जहां तक ​​Google मुझे बता सकता है, यह ऐसा कुछ है जिसका प्रॉक्सी सर्वर के साथ कुछ करना है? लेकिन मैं प्रॉक्सी सर्वर का उपयोग नहीं करता हूं, इसलिए मुझे इन अनुरोधों पर सचमुच बमबारी करनी पड़ रही है।

मुझे इस गैर-मौजूद फ़ाइल के लिए प्रति मिनट अधिक अनुरोध मिल रहे हैं, जबकि मुझे सामान्य अनुरोध मिल रहे हैं। इसलिए मेरी धारणा यह है कि मैं किसी प्रकार के हमले के अधीन हूं। मजेदार बात यह है कि यह आम तौर पर केवल रात में (यहां स्वीडन में) होता है और दिन में नहीं।

नवीनतम 500 अनुरोधों (यानी आधा मिनट) का एक नमूना आकार दिखाता है कि इसमें 200 अलग-अलग होस्ट शामिल हैं, और उन लोगों के एक छोटे से नमूने से पता चलता है कि वे सभी मान्य होस्ट (टीओआर प्रॉक्सी नहीं हैं) इसलिए यह कुछ डीएनएस सर्वर गलत तरीके से कॉन्फ़िगर किया जा रहा है ? मैं मशीन पर एक DNS सर्वर चलाते हैं।

कृपया सहायता कीजिए! :)

संपादित करें कि वे जिस होस्ट को एक्सेस कर रहे हैं, वह "क्लस्टर.एटलस्कम्स.से" है, इसलिए वे जो करते हैं, वह प्रति मिनट हजारों बार http://cluster.atlascms.se/wpad.dat एक्सेस करता है ।

अब, क्लस्टर.टलैस्कम्स.से मेरा DNS फेलओवर होस्ट है। इसलिए मेरे सभी क्लाइंट क्लस्टर के लिए अपने उप डोमेन को इंगित करते हैं। kascascms.se, जो बदले में उन्हें वर्तमान आईपी (विफलता सर्वर के मास्टर सर्वर) को इंगित करता है।

जैसा कि ऐसा लगता है - इसका मतलब है कि मुझे क्लस्टर के लिए टन और टन अनुरोध मिल रहे हैं। चेतावनी - क्या इसका मतलब यह हो सकता है कि मेरा DNS गलत है?


3
तुम्हें पता है, आप अपनी खुद की WPAD.DAT फ़ाइल डाल सकते हैं और वास्तव में इन लोगों के साथ कुछ मज़ेदार हैं। > मुस्कान <गंभीरता से, हालांकि, किसी ने किसी कॉन्फ़िगरेशन को बुरी तरह से बंद कर दिया है यदि वे एक अविश्वसनीय स्रोत से WPAD.DAT खींच रहे हैं। आप अपने सभी ब्राउज़रों को एक प्रॉक्सी को रीडायरेक्ट करते हैं जिसे आप नियंत्रित करते हैं और उनके ट्रैफ़िक को MiTM करते हैं।
इवान एंडरसन

3
मैं दृढ़ता से प्रलोभन देना चाहूंगा wpad.datकि बस स्थानीय मेजबान को इंगित करें। इससे उन चीजों को तोड़ना चाहिए जो कोई भी समस्या पैदा कर रहा है उसे ठीक करने में समय लग सकता है।
Zoredache

1
@ सैंडमैन - WPAD.DAT फ़ाइल को काम करने के लिए जावास्क्रिप्ट होना चाहिए। यहाँ देखें: en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
इवान एंडरसन

1
BTW, यह आपके लिए एक समस्या की खोज करने के लिए बेहद अशिष्ट है, और फिर किसी और के लॉन पर अपना कचरा डंप करने की कोशिश करें। तो कृपया किसी सिस्टम को इंगित करने के लिए अपने वार्ड को सेट न करें।
Zoredache

1
आपके DNS सेटअप के साथ समस्या यह है कि आपका कोई भी क्लाइंट जो वाइल्डकार्ड dns प्रविष्टि का उपयोग अपने सभी उप डोमेन को क्लस्टर करने के लिए करता है। इसके साथ ही डिफ़ॉल्ट रूप से wpad.theirdomain.whatever भी इंगित करेगा। जिसका अर्थ है कि अगर वे अपना डेस्कटॉप होस्टनाम कुछ से सेट करते हैं। तोहडेरोमैन.कभी भी यह wpad.theirdomain.whatever को देखेगा, अपना आईपी प्राप्त करें और दिन में हजारों बार wpad.dat का अनुरोध करें।
जस्टिन बसर

जवाबों:


9

ऐसा लगता है कि आपके DNS ज़ोन eklundh.comएक वाइल्डकार्ड रिकॉर्ड की ओर इंगित करते परिभाषित है cluster.atlascms.se. इसमें शामिल हैं wpad.eklundh.com। मेरा सुझाव है कि आप स्पष्ट रूप से परिभाषित एक DNS रिकॉर्ड जोड़ें wpad.eklundh.com। करने के लिए 127.0.0.1या कुछ और।


7
मुझे वाइल्डकार्ड डीएनएस रिकॉर्ड से नफरत है। वे मुसीबत के सिवाय कभी नहीं रहे।
इवान एंडरसन

ठीक है, मैंने अब अपने DNS में अपने सभी डोमेन के लिए एक wpad उपडोमेन जोड़ा है जो सभी 127.0.0.1 को इंगित करता है - मुझे इसे प्रचारित करने के लिए इंतजार करना होगा और देखना होगा कि क्या यह समस्या को ठीक करता है।
सैंडमैन

मेरी लॉग फ़ाइलों में देख रहे हैं, अनुरोधों के विशाल थोक को एक wpad उपडोमेन पर निर्देशित नहीं किया गया है, लेकिन IP पर या क्लस्टर करने के लिए। catascmsms.se ...
Sandman

11

मशीनें एक WPAD.dat फ़ाइल को अपने स्वयं के FQDN के आधार पर पदानुक्रमित रूप से देखेंगे, यदि वे प्रॉक्सी ऑटोडिस्कवरी के लिए कॉन्फ़िगर की गई हैं। इसलिए, यदि विंडोज़ पीसी एक डोमेन cdecom का सदस्य है, तो यह WPAD.dat के लिए दिखेगा:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

संभावना है कि कहीं न कहीं, किसी के पास एक डोमेन है जो उन लोगों में से एक का एक उपडोमेन है जिसे आप एचटीटीपी पर होस्ट कर रहे हैं, और ठीक से कॉन्फ़िगर या अक्षम प्रॉक्सी ऑटो-डिस्कवरी नहीं है। परिणाम में, वे संभवतः पदानुक्रम में खोज कर रहे हैं।

यह संभव है कि एक वायरस ने उन्हें ऐसा करने के लिए प्रेरित किया हो; संभावना है, अगर क्वेरी बनाने वाली मशीनें बहुत अधिक हैं और विविध सबनेट में, यह वही है जो ऊपर है।

यदि संभव हो, तो किसी भी चीज़ के wpad उपडोमेन के लिए DNS रिकॉर्ड को परिभाषित करने से बचें जो आप प्रॉक्सी ऑटो-डिस्कवरी के लिए उपयोग नहीं करना चाहते हैं।

यदि यह एक विकल्प नहीं है, तो आप wpad.dat के प्रश्नों को खोजने के लिए लेयर 7 फ़िल्टरिंग का उपयोग करने पर विचार कर सकते हैं और पैकेट को ICMP संदेश के साथ अस्वीकार कर सकते हैं। यह वास्तव में ट्रैफ़िक को रोकने का सबसे प्रभावी तरीका हो सकता है, जब तक कि आईपी एक ही नेटवर्क से सभी न हों और उनका तकनीकी संपर्क उत्तरदायी न हो।

वे चीजें जो wpad.dat के लिए एक विशेष स्थान पर एक मेजबान को इंगित करेंगी, उनमें डोमेन सेटिंग्स, डीएचसीपी उत्तर में डोमेन नाम विकल्प और कुछ URL से प्रॉक्सी जानकारी लोड करने के लिए वेब ब्राउज़र में एक स्पष्ट सेटिंग शामिल है।


मेरे पास एक wpad उपडोमेन नहीं है, लेकिन मेरे पास एक वाइल्डकार्ड उपडोमेन है। मुझे लगता है कि अपराधी मेरा atlascms.se डोमेन हो सकता है (जिसके लिए मुझे वाइल्डकार्ड सबडोमेन की आवश्यकता नहीं है) जो कि मैं अपने CNAME रिकॉर्ड के लिए अपने ग्राहकों के लिए उपयोग होने वाला डोमेन है। मैंने अपने DNS को अपडेट कर लिया है और मुझे इंतजार करना होगा और देखना होगा कि क्या यह चीजें ठीक करता है।
सैंडमैन

समस्या यह है कि इन सभी सैकड़ों हज़ारों अनुरोधों को मैं सैकड़ों और सैकड़ों अलग-अलग मेजबानों से प्राप्त करता हूं, सभी संभवतः यह नहीं सोच सकते कि atlascms.se अपने स्वयं के सबनेट में है, निश्चित रूप से?
सैंडमैन

सबनेट के साथ इसका कुछ भी नहीं है; यह सभी डोमेन है।
फाल्कन मोमेंट

हाँ, शब्दावली भ्रम के लिए खेद है।
सैंडमैन

यह पूरी तरह से संभव है कि कोई व्यक्ति आपके डोमेन का उपयोग दुर्भावनापूर्ण wpad.dat (और विफल) की मेजबानी करने के लिए कर रहा है। वहाँ स्पष्ट रूप से wpad.dat प्राप्त करने के लिए जगह के रूप में अपने URL की स्थापना के लिए एक वायरस हो सकता है, या अन्यथा वहाँ मेजबान की ओर इशारा करते हैं, या वहाँ एक गलत नेटवर्क हो सकता है।
फाल्कन मोमोत

4

पहली बात यह है कि यह पता लगाने की कोशिश की जाएगी कि ये अनुरोध कहां जा रहे हैं , यानी उनकी मंजिल। अपाचे डिफ़ॉल्ट रूप से होस्टनाम को लॉग नहीं करता है, इसलिए आप या तो tcpdumpएक संक्षिप्त कैप्चर प्राप्त करने के लिए उपयोग कर सकते हैं और Host:अनुरोध हेडर के लिए इसका निरीक्षण कर सकते हैं , या इसे लॉग करने के लिए अपने अपाचे लॉग प्रारूप को बदल सकते हैं। मैं इसे अन्यथा बेकार दूसरे क्षेत्र में लॉग इन करना पसंद करता हूं, उदाहरण के लिए:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

एक बार जब आप जानते हैं कि इन गलत अनुरोधों को संबोधित किया जा रहा है, तो आगे क्या करना है स्पष्ट हो सकता है। उदाहरण के लिए, यह कुछ बड़ी कंपनी हो सकती है, example.seजिस स्थिति में आप उनके नेटवर्क के प्रवेश पत्र पा सकते हैं और उन पर चिल्ला सकते हैं।


सर्वर-स्टेटस का उपयोग करते हुए, मैं देख रहा हूं कि वे जिस होस्ट पर "हमला" कर रहे हैं, और यह एक कॉन्फ़िगर किए गए vhost भी नहीं है (यही वजह है कि इसे कैच-ऑल vhost द्वारा लॉग किया गया है) - वे जिस होस्ट से जुड़ रहे हैं, वह "atlas.eklundh" है। com "
सैंडमैन

और यह भी, ये सभी अनुरोध देश भर से और आईएसपी स्पेक्ट्रा के सैकड़ों और सैकड़ों अलग-अलग मेजबानों से आते हैं, यह एक स्रोत या एक गलतफहमी कंपनी से नहीं आ रहा है। मैं सोच रहा था कि क्या मैं यहाँ अपने eklundh.com डोमेन के साथ कुछ गलत कर रहा हूँ, जिसका DNS सर्वर मैं मशीन पर भी चलाता हूँ
Sandman

"atlas.eklundh.com" "सैंडमैन.नेट" के समान आईपी का समाधान करता है।
इवान एंडरसन

1
आपको वास्तव में wpad.dat देखने के लिए सिस्टम को कॉन्फ़िगर करने की आवश्यकता नहीं है। आपके पास बस एक मान्य DNS रिकॉर्ड होना चाहिए wpad.eklundh.com( जैसे आपके पास वह रिकॉर्ड है) और कंप्यूटर में एक FQDN है जो कुछ इस तरह सेट है * .eklundh.com` स्वचालित रूप से WPAD लुकअप करने का प्रयास करेगा।
Zoredache

1
तब समस्या यह हो जाती है कि कोई भी कंप्यूटर जो सोचता है कि यह eklundh.com डोमेन में है, यह देखेगा कि wpad.eklundh.com वैध है, और इससे प्रॉक्सी सर्वर कॉन्फ़िगरेशन डाउनलोड करने का प्रयास किया गया है। आप DNS रिकॉर्ड को हटा सकते हैं, या सभी कंप्यूटरों को पुन: कॉन्फ़िगर कर सकते हैं।
माइकल हैम्पटन

0

सिर्फ FYI करें, ModSecurityइसे पकड़ेंगे और ब्लॉक करेंगे। कोमोडो द्वारा प्रदान किया गया एक नियम है। यहाँ एक लॉग एंट्री है। मैंने खाता प्रासंगिक डेटा को छीन लिया है ताकि उसमें इसका उदाहरण के रूप में उपयोग किया जा सके।

अपाचे-त्रुटि: [फ़ाइल ""] [] [] [ग्राहक xxx.xxx.xxx.xxx] मोडसुरिटी: कोड ४०३ (चरण २) के साथ प्रवेश निषेध। मिलान वाक्यांश ".dat /" TX पर: एक्सटेंशन। [फ़ाइल ""] ["] [आईडी" २१० "३० "] [Rev" २ "] [संदेश" COMODO WAF: URL फाइल एक्सटेंशन नीति द्वारा प्रतिबंधित है]] [डेटा ".dat"] [गंभीरता "गंभीर" [hostname] "हटा दिया गया"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]


-1

यह समस्या थी और इसे "इस पृष्ठ को खाली छोड़ दिया" पृष्ठ डालकर एक wpad.dat फ़ाइल बनाकर इसे ठीक किया।

सीपीयू लगभग शून्य हो गया। समस्या हल लगती है।


एक वाक्यात्मक रूप से गलत प्रतिक्रिया, फिर भी एक URI के लिए एक सफलता प्रतिक्रिया कोड जो आप स्पष्ट रूप से सेवा करने का इरादा नहीं रखते हैं वह सिर्फ गलत है।
15:12 पर चिंता

लेकिन इसने इस लक्षण को हल कर दिया। इस उदाहरण में, इसने सर्वर लोड को कम कर दिया, फिर से चल रही साइट पर जाएं, और मुझे ए-रिकॉर्ड को फिर से करने का समय दिया, जहां वास्तविक समस्या रहती थी।
ब्रायन टोलमैन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.