Efter några jobbiga dygn med extremt hög inkommande trafik till Atlas-servern är nu det värsta över. De inkommande anropen hindrade servern att leverera sitt innehåll till webbläsarna, helt eller delvis. Vi trodde vi var utsatta för någon form av attack.
Dock visade det sig att anropen inte var någon känd attackform, utan en standard Microsoft-funktion, WPAD, som söker efter information om en proxyserver finns i nätet. Anrop som normalt inte ska komma till vår server, eftersom vi inte tillhandahåller någon proxy. Vi löste det temporärt under fredagen genom att sätta upp ett script som automatisk blockerade alla inkomna IP-nummer som skickade dessa anrop.
Vid en senare djupdykning i problematiken uppdagades att en orsak troligen var att en av våra kunder använde en s k wildcard-pekning till vår server, dvs alla varianter av http-anrop som skickades till kundens nät, skickades vidare till Atlas. När en Windows-webbläsare kopplar upp sig mot en server frågar den automatiskt om det också finns en proxyserver den kan använda (GET /wpad.dat HTTP/1.1).
Av någon anledning slog dessa anrop i taket under slutet av förra veckan med tusentals IP-nummer som skickade detta anrop uppåt 100 gånger i sekunden. Efter kontakt med kundens tekniska support har nu den trafiken blockerats i deras DNS från att nå vår server och vi märkte tämligen omgående en minskning av trafiken. Och WPAD-förfrågningarna forsätter att minska (det tar 12-24 timmar för en DNS-ändring att slå igenom). Idag på morgonen är det ytterst få sådana anrop.
Vi har slutat blockera IP-nummer och släpper nu fram all trafik till servern och Atlas fungerar som den ska. Det har den gjort hela tiden, men trängseln i porten in har gjort det svårt att komma ut.
Vi kan därmed avfärda att detta var en attack. Det var snarare en felkonfigurerad DNS som orsakade problemen. Men varken vi eller kunden visste att detta kunde bli en oönskad konsekvens av konfigureringen. Detta var inte heller något känt problem i de forum och kunskapskällor på nätet där vi sökt information.
Vi kan därmed avfärda att detta var en attack. Det var snarare en felkonfigurerad DNS som orsakade problemen. Men varken vi eller kunden visste att detta kunde bli en oönskad konsekvens av konfigureringen. Detta var inte heller något känt problem i de forum och kunskapskällor på nätet där vi sökt information.
Vi beklagar att webbtrafiken störts, men är samtidigt tacksamma över att Atlas i sig inte påverkats. En normal webbsida i Atlas genereras på några tiodels sekunder och levereras ut på nätet.
Läs mer i eBloggen.