我注意到我们公司网络上的一台计算机(Windows 10)对我们的(内部)DNS 服务器(dns.company.com)进行了一些奇怪的查询。
我每分钟都会看到一次 wpad 查询,然后每隔 10 分钟左右就会出现一堆奇怪的主机名。
我搜索了“wpad”...Web 代理自动发现...我在该计算机的设置->网络/互联网->代理中将其关闭。
现在 wpad 条目少了,但仍然会出现。每隔 10 分钟左右,我仍然会看到这些奇怪的主机名。
所有这些主机名都是我们的 DNS 服务器的名称,并在其前面附加了一些内容。有人知道这是什么吗?
我们这里没有任何 Windows 服务器/控制器。DHCP 和路由是 Linux,DNS 也是 (dnsmasq)。
(AV 扫描结果为空...)
Feb 17 12:57:16 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:40 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:40 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] tauidkyonnprqc.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] ukvdexscffer.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] gspmcswgglvski.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] gspmcswgglvski.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] tauidkyonnprqc.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] ukvdexscffer.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] tauidkyonnprqc.dns.company.com from 10.10.2.42
Feb 17 13:01:48 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:48 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:55 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:55 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
答案1
发送这些查询的客户端上的 DNS 解析器设置是什么样的?它是多个域的一部分吗?它有一个巨大的搜索列表吗?
如何发现代理设置的方法记录在 https://en.wikipedia.org/wiki/Web_Proxy_Auto-Discovery_Protocol#Context
配置浏览器后查询量变少的原因可能是安装了多个浏览器,而您的操作并未全部重新配置。
答案2
我可以确认在安装了 Chrome 的 Windows 10 计算机上也存在完全相同的行为。我认为有两个不相关的问题:
- 在我的情况下,
wpad
DNS查询是由服务引起的WinHttpAutoProxySvc
。在我的计算机上,我无法直接停止和禁用此服务。我必须修改注册表设置,请参见:https://community.spiceworks.com/topic/2189290-disabling-winhttp-web-proxy-auto-discover-on-win10并重新启动机器。
HKLM\System\CurrentControlSet\Services\WinHttpAutoProxySvc
"Start" DWORD
Value = 4 (Disabled)
- 如果在启动 Chrome 浏览器后立即出现 3 个一组的随机/奇怪的 DNS 条目,则可能与以下情况有关:https://unix.stackexchange.com/questions/363512/chrome-dns-requests-with-random-dns-names-malware
如果您输入单词搜索查询,chrome 需要发送 DNS 请求以检查这是否可能是单词主机名:例如,“test”可能是对“test”的搜索或导航到“http://test”。如果查询最终是主机,chrome 会显示一个信息栏,询问“您是否要改为转到‘test’”。出于性能原因,DNS 查询需要异步。
现在一些 ISP 开始展示不存在的域名广告(http://en.wikipedia.org/wiki/DNS_hijacking),这意味着 Chrome 总是会针对每个单词查询显示该信息栏。由于这很烦人,Chrome 现在会在启动时发送三个随机 DNS 请求,如果它们都解析(我认为是同一个 IP),它现在知道不要针对解析到该 IP 的单词查询显示“您是不是要找”信息栏。
我希望这有帮助。