Странные запросы DNS wpad, кто-нибудь это видел?
I заметил, что один компьютер (Windows 10) в сети нашей компании делает какие-то странные запросы к нашему (внутреннему) DNS-серверу (dns.company.com).
Я вижу wpad-запрос каждую минуту, а затем каждые 10 минут или около того появляется куча странных имен хостов.
Я искал «wpad»... Автообнаружение веб-прокси ... Я отключил это в настройках-> сеть / Интернет-> прокси на этом компьютере.
Теперь записей wpad стало меньше, но они все равно появляются. Каждые 10 минут я все еще вижу эти странно выглядящие имена хостов.
Все эти имена хостов являются именем нашего DNS-сервера с добавлением чего-то в начале. Кто-нибудь знает, что это может быть?
У нас здесь нет Windows Server / контроллера. DHCP и маршрутизация - это Linux, и DNS тоже (dnsmasq).
(AV-сканирование оказалось пустым ...)
Feb 17 12:57:16 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:40 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:40 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] tauidkyonnprqc.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] ukvdexscffer.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] gspmcswgglvski.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] gspmcswgglvski.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] tauidkyonnprqc.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] ukvdexscffer.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] tauidkyonnprqc.dns.company.com from 10.10.2.42
Feb 17 13:01:48 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:48 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:55 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:55 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Как выглядит настройка распознавателя DNS на клиенте, отправляющем эти запросы? Это часть нескольких доменов? У него огромный список поиска?
Способ обнаружения настроек прокси задокументирован на странице https://en.wikipedia.org/wiki/Web_Proxy_Auto-Discovery_Protocol#Context
Причина, по которой количество запросов стало меньше после того, как вы настроили браузер, может заключаться в том, что установлено несколько браузеров, которые не все были перенастроены вашим действием.
Я могу подтвердить точно такое же поведение на машине Windows 10 с установленным Chrome. Я думаю, что есть две несвязанные проблемы:
- В моем случае
wpadDNS-запрос был вызван службойWinHttpAutoProxySvc. На моей машине я не мог напрямую остановить и отключить эту службу. Мне пришлось изменить настройки реестра, см: https://community.spiceworks.com/topic/2189290-disabling-winhttp-web-proxy-auto-discover-on-win10 и перезагрузить машину.
HKLM\System\CurrentControlSet\Services\WinHttpAutoProxySvc
"Start" DWORD
Value = 4 (Disabled)
- Если случайные/странные записи DNS появляются группами по 3 штуки сразу после запуска браузера Chrome, то это, вероятно, связано с этим: https://unix.stackexchange.com/questions/363512/chrome-dns-requests-with-random-dns-names-malware
Если вы вводите однословный поисковый запрос, Chrome должен отправить DNS-запрос, чтобы проверить, может ли это быть однословное имя хоста: например, "test" может быть поиском "test" или навигацией к "http://test". Если запрос оказывается хостом, chrome показывает инфобар, который спрашивает: "Вы хотели перейти к 'test' вместо этого". По соображениям производительности DNS-запрос должен быть асинхронным.
Теперь некоторые интернет-провайдеры начали показывать рекламу для несуществующих доменных имен ( http://en.wikipedia.org/wiki/DNS_hijacking ), что означает, что Chrome всегда будет показывать этот инфобар для каждого однословного запроса. Поскольку это раздражает, теперь при запуске Chrome отправляет три случайных DNS-запроса, и если все они разрешаются (на один и тот же IP, я думаю), он теперь знает, что не нужно показывать инфобар "did you mean" для однословных запросов, которые разрешаются на этот IP.
Надеюсь, это поможет.