As máquinas procurarão um arquivo WPAD.dat hierarquicamente com base em seu próprio FQDN, se estiverem configuradas para a descoberta automática de proxy. Portanto, se um computador com Windows for membro de um domínio c.d.e.com, ele procurará WPAD.dat em:
http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat
Provavelmente, em algum lugar, alguém tem um domínio que é um subdomínio de um dos quais você está hospedando o HTTP e que não configurou ou desativou adequadamente a descoberta automática de proxy. Em consequência, eles provavelmente estão pesquisando hierarquicamente.
É possível que um vírus tenha causado isso; Provavelmente, se as máquinas que fazem a consulta forem extremamente numerosas e em diversas sub-redes, isso é o que está acontecendo.
Se possível, evite definir um registro DNS para o subdomínio wpad de qualquer coisa que você não pretenda usar para detecção automática de proxy.
Se isso não for uma opção, você pode considerar o uso da filtragem da camada 7 para localizar consultas para o wpad.dat e rejeitar os pacotes com uma mensagem ICMP. Essa pode ser a maneira mais eficaz de interromper o tráfego, a menos que os IPs sejam todos da mesma rede e o contato técnico deles com whois seja responsivo.
As coisas que apontam um host em um determinado local para wpad.dat incluem configurações de domínio, a opção de nome de domínio em respostas DHCP e uma configuração explícita no navegador da web para carregar informações de proxy de algum URL.