Vi gick ut med information igår om att Atlas kanske var under attack, för vi hade ett enormt antal anrop mot servern vilket i sin tur ledde till att den blev väldigt seg.
I tre dagar har vi försökt undersöka och motverka detta efter bästa förmåga, vilket har varit svårt eftersom det inte riktigt har sett ut som en normal attack. Här är lite fakta:
- Alla anrop kom från svenska ISP:er och såg ut som helt normala användare
- Alla anrop sökte efter en specifik fil (wpad.dat)
- WPAD är ett system för att finna Proxyservrar, inte en känd attack
- Vi fick in tusentals anrop per minut, ibland upp till hundra per sekund
Vissa anrop kom från samma host kanske 30-40 gånger på en sekund. Detta var varför vi misstänkte att det rörde sig om en attack. Men samtidigt, varför från svenska ISP:ar? Då detta är en normal sökfunktion för webbläsare i Windows, så kändes det som att man inte kunde dra för hastiga slutsatser.
WPAD fungerar som så att webbläsaren (eller operativsystemet) söker i det lokala nätverket efter en server som har proxy-information. Så om man har IP "kund12.bredband2.se" så skulle alltså den här funktionen söka efter den här informationen på servern "wpad.bredband2.se". Som ni säkert förstår så pekar inte "wpad.bredband2.se" på oss, så det kan omöjligt påverka oss.
En analys av alla IP-numrena (nästan 6000 är blockade medan jag skriver detta) pekade dock på en gemensam faktor på åtminstone en del av dem. En av våra kunder! Jag tänker inte skriva vem här så klart. Men problemet kan uppstå när den DNS man använder kör med så kallade "wildcards" så att "*.example.com" pekar på ett IP, så jag kan skriva "apa.example.com" och komma till rätt server. En av våra kunder har sin DNS upplagd på det viset.
Men, ingen av våra kunder är ISP, så dom borde i sin tur inte ha slutkunder som skulle fråga efter "wpad.example.com" (som då alltså pekar på oss), men det är väldigt många anrop som kommer från adresser såsom "kund12.stadsnamn.bredband2.se" där "stadsnamn" är en stad som kunden driftar.
Vi vill givetvis inte peka finger här, vi kände själva inte ens till den här wpad-funktionen och vi använder själva wildcard DNS i en hel del fall, och jag misstänker att vi kanske till och med kan ha tipsat den här kunden att använda wildcard DNS.
Och sen ska det ju nämnas att inget är säkert, men det mesta pekar på att det här är orsaken till alla anrop. För i slutändan så blockerar vi ju just nu nästan 6000 svenska surfare som så vitt vi vet sitter i de stadsnät som vill komma åt våra webbtjänster, så vi måste lösa detta så snart som möjligt så att vi kan ta bort de här blockeringarna.
Hoppas det ger en lite tydligare bild om vad som pågått de senaste dagarna.