San*_*man 12 domain-name-system wpad.dat apache-2.2
所以,我的 apache 服务器很慢,我查看了日志文件。结果他们已经从成吨的试图访问我的一个 Vhost 上的 /wpad.dat 的不同主机增加到 12GB 的访问量。
现在,有问题的虚拟主机是当浏览器不提供已知主机名时调用的“全能”虚拟主机。
我目前每分钟收到数千个对“/wpad.dat”的请求,据谷歌告诉我,这与代理服务器有关吗?但是我不使用代理服务器,所以为什么我会被这些请求轰炸。
我得到更多每分钟的请求这个不存在的文件比我得到正常的请求。所以我的假设是我受到某种形式的攻击。有趣的是,它通常只发生在晚上(在瑞典),而不是白天。
最近 500 个请求(即半分钟)的样本大小显示它由 200 个不同的主机组成,其中的一小部分样本显示它们都是有效的主机(不是 TOR 代理)所以这是一些 DNS 服务器配置不正确? 我确实在机器上运行了 DNS 服务器。
请帮忙!:)
编辑 他们正在访问的主机是“cluster.atlascms.se”,所以他们所做的是每分钟访问http://cluster.atlascms.se/wpad.dat数千次。
现在,cluster.atlascms.se 是我的 DNS 故障转移主机。所以我所有的客户都将他们的子域指向 cluster.atlascms.se,后者又将它们指向当前的 IP(故障转移服务器的主服务器)。
看起来 - 这意味着我收到了大量对 cluster.arlascms.se 的请求 - 这是否意味着我的 DNS 配置错误?
Fal*_*mot 11
如果机器配置为代理自动发现,它们将根据自己的 FQDN 分层查找 WPAD.dat 文件。因此,如果 Windows PC 是域 cdecom 的成员,它将在以下位置查找 WPAD.dat:
http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat
很可能在某个地方,有人拥有一个域,该域是您托管 HTTP 的域之一的子域,并且没有正确配置或禁用代理自动发现。因此,他们很可能在分层搜索。
有可能是病毒导致他们这样做;很可能,如果进行查询的机器非常多并且位于不同的子网中,这就是问题所在。
如果可能,请避免为不打算用于代理自动发现的任何内容的 wpad 子域定义 DNS 记录。
如果这不是一个选项,您可以考虑使用第 7 层过滤来查找 wpad.dat 的查询并拒绝带有 ICMP 消息的数据包。这实际上可能是阻止流量的最有效方法,除非 IP 都来自同一个网络并且他们在 whois 中的技术联系人响应迅速。
将主机指向 wpad.dat 的特定位置的内容包括域设置、DHCP 回复中的域名选项以及 Web 浏览器中用于从某个 URL 加载代理信息的显式设置。
您的 DNS 区域似乎eklundh.com有一个通配符记录,定义为指向cluster.atlascms.se. This includes wpad.eklundh.com。我建议你添加一个明确定义的 DNS 记录wpad.eklundh.com。到127.0.0.1什么的。
| 归档时间: |
|
| 查看次数: |
24354 次 |
| 最近记录: |