[caiu] Conexão DropBox

Marcelo Balbinot marcelo em gegnet.com.br
Qua Set 27 21:58:24 BRT 2017


Boa Noite,

Identificamos isso ontem durante testes com um cliente...

Notamos que a configuração padrão do DHCP nos roteadores DLINK, utiliza 
o campo "domain" do dhcp configurado como "domain.name"

Então, alguém teve a ideia de registrar o domínio domain.name   :)

Na maquina windows de um cliente que está atrás de um desses roteadores 
DLINK, o nome "wpad" resolve (pois acaba consultando wpad.domain.name)

http://www.isptools.com.br/dns#1!21!A!wpad.domain.name


host wpad.domain.name 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:
wpad.domain.name has address 159.253.25.197
wpad.domain.name has address 31.192.228.197
wpad.domain.name has address 159.253.28.197


Então, a configuração automática de proxy dos navegadores acaba baixando 
o arquivo de configuração

http://wpad/wpad.dat -> http://wpad.domain.name/wpad.dat

http://159.253.25.197/wpad.dat

no arquivo temos:

function FindProxyForURL(url, host) {
     return 'PROXY 185.82.212.95:8080; DIRECT';
}


Por fim, optamos por criar em nossos recursivos a zona "domain.name" sem 
nenhuma entrada...

E, sugerimos, aos clientes configurar adequadamente a opção domain do 
dhcp em seus roteadores...

[]'s


---
Marcelo Balbinot
GegNET Telecomunicações
Operação de Redes e Serviços IP
ASN 53062
INOC-DBA 53062*200
INOC-DBA 53062*NOC

Em 2017-09-27 18:00, Gustavo Stocco escreveu:
> Efetivamente mesmo é apenas desligando o wpad (configuração 
> automática).
> Postei no GTER pra ver se alguém tem alguma luz do que está 
> acontecendo.
> 
> 
> 2017-09-27 17:58 GMT-03:00 Provedor SC <provedorscsul em gmail.com>:
> 
>> Eu fiz o drop neste ip, porem no carregamento do site ainda demora 
>> pois ele
>> esta dropado, alguma outra solução?
>> 
>> Em 27 de setembro de 2017 17:47, Gustavo Stocco 
>> <gustavostocco em gmail.com>
>> escreveu:
>> 
>> > Sim, utilizamos o Wireshark mas também foi possível detectar pelo Torch
>> > (ferramento do mikrotik que roda no concentrador ppp) a tentativa de
>> acesso
>> > aos 3 endereços (159.253.25.197, 31.192.228.197, 159.253.28.197).
>> > Queria entender o que está rolando, rs.
>> >
>> > Pelo visto a zica começou ontem de noite.
>> > No fórum da Steam teve algumas pessoas que não conseguiam acesso e tals e
>> > acabaram fazendo esse mesmo procedimento (desabilitar as configurações
>> > automáticas do proxy) e acabou resolvendo.
>> >
>> > 2017-09-27 17:34 GMT-03:00 Provedor SC <provedorscsul em gmail.com>:
>> >
>> > > Gustavo tudo certo fiz um drop nele e funcionou agora normal, para
>> > capturar
>> > > esse problema voce usou o wireshark no pc com problema?
>> > >
>> > > Obrigado
>> > >
>> > > Em 27 de setembro de 2017 17:26, Gustavo Stocco <
>> gustavostocco em gmail.com
>> > >
>> > > escreveu:
>> > >
>> > > > Olá,
>> > > >
>> > > > Não somente com o Dropbox.
>> > > > Aparenta ser algum tipo de DNS que foi envenenado e aponta para um
>> > Proxy
>> > > lá
>> > > > na Suécia ou algo no gênero.
>> > > > Utilizam a porta 8080 para isso (caso você faça uma varredura via
>> > > wireshark
>> > > > ou torch).
>> > > >
>> > > > Experimente ir no navegador que está com essa opção de "configuração
>> > > > automática ativada" e digita "wpad.domain.name"
>> > > > Vai ver que abrirá uma página aleatória de propaganda.
>> > > >
>> > > > Aqui os clientes relataram instabilidades em diversos destinos,
>> dentro
>> > > eles
>> > > > origin, steam, sites em geral e etc.
>> > > >
>> > > > Não sei o que está ocorrendo ainda, mas a única forma de evitar que a
>> > > > conexão dos clientes saiam com destino à esses 3 endereços de proxy
>> que
>> > > > resolve o endereço acima (wpad.domain.name) foi bloqueando no
>> firewall
>> > > > dentro do Core de rede.
>> > > >
>> > > > Abcs
>> > > >
>> > > > 2017-09-27 14:38 GMT-03:00 Provedor SC <provedorscsul em gmail.com>:
>> > > >
>> > > > > Alguem com problema de conexão drop box com pc com windows7?
>> > > > > Ao ir em Configuração da Lan e desmarcar a opção Detectar
>> > > automaticamente
>> > > > > as configurações, volta a funcionar.
>> > > > >
>> > > > >
>> > > > > Obrigado
>> > > > > _______________________________________________
>> > > > > caiu mailing list
>> > > > > caiu em eng.registro.br
>> > > > > https://eng.registro.br/mailman/listinfo/caiu
>> > > > >
>> > > > >
>> > > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> > > > >
>> > > > > https://eng.registro.br/mailman/options/caiu
>> > > > >
>> > > >
>> > > >
>> > > >
>> > > > --
>> > > >
>> > > > Gustavo Stocco
>> > > > NAXI TELECOMUNICAÇÕES
>> > > > +55 (47) 3054-2233
>> > > > 0800-932-0000 R.3322
>> > > > INOC-DBA BR 53001*100
>> > > > ASN 53001
>> > > > _______________________________________________
>> > > > caiu mailing list
>> > > > caiu em eng.registro.br
>> > > > https://eng.registro.br/mailman/listinfo/caiu
>> > > >
>> > > >
>> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> > > >
>> > > > https://eng.registro.br/mailman/options/caiu
>> > > >
>> > > _______________________________________________
>> > > caiu mailing list
>> > > caiu em eng.registro.br
>> > > https://eng.registro.br/mailman/listinfo/caiu
>> > >
>> > >
>> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> > >
>> > > https://eng.registro.br/mailman/options/caiu
>> > >
>> >
>> >
>> >
>> > --
>> >
>> > Gustavo Stocco
>> > NAXI TELECOMUNICAÇÕES
>> > +55 (47) 3054-2233
>> > 0800-932-0000 R.3322
>> > INOC-DBA BR 53001*100
>> > ASN 53001
>> > _______________________________________________
>> > caiu mailing list
>> > caiu em eng.registro.br
>> > https://eng.registro.br/mailman/listinfo/caiu
>> >
>> >
>> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> >
>> > https://eng.registro.br/mailman/options/caiu
>> >
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>> 
>> 
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> 
>> https://eng.registro.br/mailman/options/caiu
>> 
> 
> 
> 
> --
> 
> Gustavo Stocco
> NAXI TELECOMUNICAÇÕES
> +55 (47) 3054-2233
> 0800-932-0000 R.3322
> INOC-DBA BR 53001*100
> ASN 53001
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
> 
> 
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> 
> https://eng.registro.br/mailman/options/caiu


Mais detalhes sobre a lista de discussão caiu