wpad.datに殺到

プロキシの自動検出が構成されている場合、マシンは独自のFQDNに基づいて階層的にWPAD.datファイルを探します。したがって、Windows PCがドメインc.d.e.comのメンバーである場合、次の場所でWPAD.datを探します。

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

たぶん、誰かがHTTPをホストしているドメインの1つのサブドメインであるドメインを誰かが持ち、プロキシの自動検出を適切に構成または無効にしていない可能性があります。その結果、彼らはおそらく階層的に検索しています。

ウイルスが原因でこれが実行された可能性があります。おそらく、クエリを実行するマシンが非常に多く、多様なサブネットにある場合、これが問題です。

可能であれば、プロキシの自動検出に使用する予定のないもののwpadサブドメインのDNSレコードを定義しないでください。

これがオプションでない場合は、レイヤー7フィルタリングを使用してwpad.datのクエリを検索し、ICMPメッセージでパケットを拒否することを検討できます。これは、IPがすべて同じネットワークからのもので、whoisの技術担当者が応答する場合を除いて、実際にはトラフィックを停止する最も効果的な方法です。

ホストがwpad.datの特定の場所を指すようにするものには、ドメイン設定、DHCP応答のドメイン名オプション、および一部のURLからプロキシ情報をロードするためのWebブラウザーの明示的な設定が含まれます。

私が最初に行うことは、これらのリクエストがどこに送信されるかto、つまり宛先を見つけることです。 Apacheはデフォルトではホスト名をログに記録しないため、tcpdumpを使用して簡単なキャプチャを取得し、Host:リクエストヘッダーを検査するか、Apacheログ形式を変更してログに記録できます。それ以外の場合は役に立たない2番目のフィールドに記録することをお勧めします。次に例を示します。

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

これらの誤った要求が誰に宛てられているかがわかったら、次に何をすべきかが明らかになるかもしれません。たとえば、大企業example.seであることが判明した場合、そのネットワーク管理者を見つけて怒鳴ることができます。

参考までに、ModSecurityはこれをキャッチしてブロックします。コモドが提供するルールセットがあります。これがログエントリです。例として使用するために、アカウントに関連するデータを取り除いたので、それに関連しています。

Apache-Error：[file ""] [] [] [client xxx.xxx.xxx.xxx] ModSecurity：アクセスがコード403（フェーズ2）で拒否されました。 TX：extensionで一致したフレーズ ".dat /"。 [ファイル ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF：URL file extension is limited by policy "] [data" .dat "] [severity" CRITICAL "] [hostname 「削除」] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]