所以,我的 apache 服务器很慢,我查看了日志文件。结果他们已经增长到 12GB 的访问量,来自成吨成吨的不同主机试图访问我的一个 Vhost 上的 /wpad.dat。
现在,有问题的虚拟主机是当浏览器不提供已知主机名时调用的“包罗万象”的虚拟主机。
我目前每分钟收到数千个对“/wpad.dat”的请求,据谷歌所知,这与代理服务器有关吗?但我不使用代理服务器,所以为什么我会被这些请求轰炸。
对于这个不存在的文件,我每分钟收到的请求比收到的正常请求要多。所以我的假设是我受到了某种形式的攻击。有趣的是,它通常只发生在晚上(在瑞典)而不是白天。
最近 500 个请求的样本大小(即半分钟)显示它由 200 个不同的主机组成,其中的一小部分样本显示它们都是有效的主机(不是 TOR 代理)所以这是一些 DNS 服务器配置不正确?我确实在机器上运行 DNS 服务器。
请帮忙!:)
编辑 他们访问的主机是“cluster.atlascms.se”,所以他们所做的是每分钟访问http://cluster.atlascms.se/wpad.dat数千次。
现在,cluster.atlascms.se 是我的 DNS 故障转移主机。所以我所有的客户都将他们的子域指向 cluster.atlascms.se,这又将它们指向当前 IP(故障转移服务器的主服务器)。
看起来 - 这意味着我收到大量对 cluster.arlascms.se 的请求 - 这是否意味着我的 DNS 配置错误?
如果机器配置为代理自动发现,它们将根据自己的 FQDN 分层查找 WPAD.dat 文件。因此,如果 Windows PC 是域 cdecom 的成员,它将在以下位置查找 WPAD.dat:
很可能在某个地方,某人拥有一个域,该域是您托管 HTTP 的域之一的子域,并且没有正确配置或禁用代理自动发现。因此,他们很可能会分层搜索。
有可能是病毒导致他们这样做;很可能,如果进行查询的机器数量非常多,并且位于不同的子网中,那么这就是问题所在。
如果可能,请避免为您不打算用于代理自动发现的任何内容的 wpad 子域定义 DNS 记录。
如果这不是一个选项,您可以考虑使用第 7 层过滤来查找对 wpad.dat 的查询并拒绝带有 ICMP 消息的数据包。这实际上可能是阻止流量的最有效方法,除非 IP 都来自同一网络并且他们在 whois 中的技术联系人有响应。
将主机指向特定位置的 wpad.dat 包括域设置、DHCP 回复中的域名选项,以及 Web 浏览器中用于从某个 URL 加载代理信息的显式设置。
您的 DNS 区域似乎
eklundh.com有一个通配符记录定义为指向cluster.atlascms.se.This includeswpad.eklundh.com。我建议您添加明确定义wpad.eklundh.com. 或127.0.0.1某事。我要做的第一件事是尝试找出这些请求的去向,即它们的目的地。默认情况下,Apache 不记录主机名,因此您可以使用它
tcpdump来获取简短的捕获并检查它的Host:请求标头,或者更改 Apache 日志格式以记录它。我更喜欢将它记录在其他无用的第二个字段中,例如:一旦您知道这些错误的请求是针对谁的,下一步该怎么做就很清楚了。例如,它可能是某家大公司
example.se,在这种情况下,您可以找到他们的网络管理员并向他们大喊大叫。仅供参考,
ModSecurity将捕获并阻止它。Comodo 提供了一个规则集。这是一个日志条目。我删除了与帐户相关的数据,以便将其作为示例使用。有这个问题并通过创建一个 wpad.dat 文件来修复它,将“此页面留空”页面放入其中。
CPU 几乎为零。问题似乎解决了。