因此,我的 Apache 服务器很慢,我查看了日志文件。结果发现,它们已经增长到 12GB,来自大量不同的主机的访问尝试访问我的一个 Vhost 上的 /wpad.dat。
现在,所讨论的虚拟主机是当浏览器不提供已知主机名时调用的“catch-all”vhost。
我目前每分钟收到数千个“/wpad.dat”请求,据 Google 告诉我,这与代理服务器有关?但我不使用代理服务器,那么为什么我会被这些请求轰炸呢?
我正进入(状态更多的每分钟针对这个不存在的文件的请求数比我收到的正常请求数要多。所以我的假设是我受到了某种形式的攻击。有趣的是,这种攻击通常只发生在晚上(在瑞典),而不是在白天。
最新的 500 个请求(即半分钟)的样本显示它由 200 个不同的主机组成,其中一小部分样本显示它们都是有效主机(不是 TOR 代理),所以这是一些 DNS 服务器配置不正确吗?我确实在机器上运行了 DNS 服务器。
请帮忙! :)
编辑 他们访问的主机是“cluster.atlascms.se”,因此他们所做的就是访问http://cluster.atlascms.se/wpad.dat每分钟数千次。
现在,cluster.atlascms.se 是我的 DNS 故障转移主机。因此,我的所有客户端都将其子域指向 cluster.atlascms.se,后者又将它们指向当前 IP(故障转移服务器的主服务器)。
看起来 - 这意味着我收到了大量对 cluster.arlascms.se 的请求 - 这是否意味着我的 DNS 配置错误?
答案1
您的 DNS 区域似乎eklundh.com
已定义通配符记录指向cluster.atlascms.se.
这包括。我建议您添加明确定义. 到或其他内容的wpad.eklundh.com
DNS 记录。wpad.eklundh.com
127.0.0.1
答案2
如果计算机配置了代理自动发现,则它们将根据自己的 FQDN 分层查找 WPAD.dat 文件。因此,如果 Windows PC 是域 cdecom 的成员,它将在以下位置查找 WPAD.dat:
http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat
有可能某个地方的某个人的域名是您托管 HTTP 的域名的子域名,并且没有正确配置或禁用代理自动发现。因此,他们可能会按层次进行搜索。
可能是病毒导致他们这样做;很可能,如果进行查询的机器数量极其众多且位于不同的子网中,那么就会出现这种情况。
如果可能的话,请避免为您不打算用于代理自动发现的任何内容的 wpad 子域定义 DNS 记录。
如果这不可行,您可以考虑使用第 7 层过滤来查找 wpad.dat 的查询,并拒绝带有 ICMP 消息的数据包。这实际上可能是阻止流量的最有效方法,除非 IP 都来自同一网络,并且他们在 whois 中的技术联系人有响应。
将主机指向 wpad.dat 的特定位置的内容包括域设置、DHCP 回复中的域名选项以及 Web 浏览器中从某些 URL 加载代理信息的明确设置。
答案3
我要做的第一件事就是尝试找出这些请求的去向到,即它们的目的地。Apache 默认不记录主机名,因此您可以使用tcpdump
它来获取简短的捕获并检查Host:
请求标头,或者更改 Apache 日志格式以记录它。我更喜欢将其记录在原本无用的第二个字段中,例如:
LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined
一旦你知道这些错误请求是发给谁的,下一步该怎么做就一目了然了。例如,可能是发给某家大公司的,example.se
你可以去找他们的网络管理员,对他们大喊大叫。
答案4
遇到了这个问题,并通过创建一个 wpad.dat 文件并将“此页面留空”页面放入其中解决了它。
CPU 几乎为零。问题似乎已解决。