流氓WPAD服务器攻击

Question

今天，我遇到了一些我以前肯定没见过的东西。我们的IDS阻止了来自没有WAN访问的5台服务器的一些出站流量尝试。此通信量导致托管一个不存在的wpad.dat文件的非活动地址。208.91.197.132/wpad.dat是地址和文件。

这些设备不使用DHCP，因此不可能访问坏记录。这些设备使用的DNS似乎没有中毒。只剩下一件事，我预测的是，WPAD依靠NetBIOS广播找到一个WPAD服务器，然后转发到上面的地址。

IDS阻止了两天前开始的尝试，大约每小时一次，IDS块日志与出站WSUS http请求完全匹配。

在受影响的主机上没有任何感染的定义。

有什么想法吗？在这一点上，我相信是一个设备进入网络和WPAD捡起它。

不，我们没有运行IE5.0 :)

Answer 1

WPAD攻击是渗透测试人员(和攻击者)中常见的攻击技术，通常在可以找到工作站的网络段上执行。在服务器上进行WPAD攻击可能是有意义的，但这并不常见。例如，可以有一个自动更新机制，定期从互联网下载一些东西。但正如你所说的，你的服务器没有广域网访问权限。

是的，最有可能的情况是网络上有一个设备可以响应WPAD的请求。将来，遵循最佳实践，同时在本地DNS服务器注册WPAD主机名，同时在客户端和服务器机器上禁用“自动检测代理设置”。