[caiu] Proxy Estranho - Clientes em nosso AS

Thiago Palmeira thiago.palmeira em gmail.com
Qui Nov 23 10:21:12 -02 2017


Por aqui, resolvemos em 3 endereços na frança.

host wpad.domain.name
wpad.domain.name has address 37.187.107.197
wpad.domain.name has address 91.121.101.78
wpad.domain.name has address 37.187.23.23
wpad.domain.name mail is handled by 10 mail.wpad.domain.name.

A resolução está via DNS da *AnycastDNS
<https://www.ovh.co.uk/domains/dns-anycast/>:*

dig wpad.domain.name

; <<>> DiG 9.11.1-P3-RedHat-9.11.1-3.P3.fc26 <<>> wpad.domain.name
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53408
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;wpad.domain.name. IN A

;; ANSWER SECTION:
wpad.domain.name. 1114 IN A 37.187.107.197
wpad.domain.name. 1114 IN A 37.187.23.23
wpad.domain.name. 1114 IN A 91.121.101.78

;; AUTHORITY SECTION:
wpad.domain.name. 10113 IN NS ns2.anycastdns.cz.
wpad.domain.name. 10113 IN NS ns1.anycastdns.cz.

;; ADDITIONAL SECTION:
ns1.anycastdns.cz. 1114 IN A 185.38.108.108
ns2.anycastdns.cz. 1114 IN A 185.28.194.194

;; Query time: 0 msec
;; SERVER: 192.168.12.1#53(192.168.12.1)
;; WHEN: Thu Nov 23 10:09:05 -02 2017
;; MSG SIZE  rcvd: 174


Se você buscar pelo /wpad.dat vai baixar o seguinte:

function FindProxyForURL(url, host) {
    if (isPlainHostName(host) ||
        dnsDomainIs(host, ".windowsupdate.com") ||
        dnsDomainIs(host, ".microsoft.com") ||
dnsDomainIs(host, ".baidu.com") ||
        dnsDomainIs(host, ".kaspersky.com") ||
dnsDomainIs(host, ".live.com") ||
        isInNet(host, "10.0.0.0", "255.0.0.0") ||
        isInNet(host, "172.16.0.0", "255.255.224.0") ||
        isInNet(host, "192.168.0.0", "255.255.0.0") ||
        isInNet(host, "127.0.0.0", "255.0.0.0"))
return "DIRECT";
    else
return 'PROXY 23.111.166.114:8080; PROXY 185.93.3.120:8080';
};

Ou seja, fora MS, Baidu(??), Kaspersky e Live, consulte 23.111.166.114
(Republica Checa) ou 185.93.3.120 (Reino Unido).

Será que já foi disparado um report na ICANN
<https://forms.icann.org/en/help/name-collision/report-problems> sobre isso?


Em 23 de novembro de 2017 09:40, Leandro Pereira <leandro em fullonmorning.com>
escreveu:

> Segue thread recente sobre isso:
>
> https://eng.registro.br/pipermail/gter/2017-September/071653.html
>
>
> Leandro L. Pereira
>
> Em 23 de novembro de 2017 09:32, IPWAVE INTERNET - Gerência Técnica <
> gerenciatecnica em ipwave.net.br> escreveu:
>
> > Olá,
> >
> >
> >     Notei esses dias que muitos clientes reclamando de lentidão ou não
> > abertura de páginas em diversos locais com equipamentos totalmente
> > distintos não conseguem navegar com a opção de "Detecção de proxy
> > automática" ativada no Windows. Curiosamente achei estranho diversos
> > clientes de blocos de rede diferentes (pontos de infraestrutura
> diferentes)
> > passando em nossa rede e utilizando esses caminhos através de proxy sendo
> > que nem utilizamos. Vi que todos os clientes tentam saída para a porta
> 8080
> > via web para o servidor 23.111.166.114. Fiquei preocupado que isso afete
> > outros colegas da área
> >
> >     Alguém passou por isso? Sabe se é algum vírus ou erro de configuração
> > na rede?
> >
> >
> > Atenciosamente
> >
> > --
> >     Artur Portella - Gerente Técnico
> >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>



-- 
[image: wanderson silva on about.me]

Thiago Palmeira
about.me/thiago.palmeira
  <http://about.me/thiago.palmeira>


Mais detalhes sobre a lista de discussão caiu