[GTER] Problemas com WPAD (Web Proxy Autodiscovery Protocol)

Marcelo Balbinot marcelo at gegnet.com.br
Thu Sep 28 09:58:53 -03 2017


Também aplicamos blackhole para os destinos

wpad.domain.name has address 159.253.28.197
wpad.domain.name has address 159.253.25.197
wpad.domain.name has address 31.192.228.197

Isso deve ajudar para os clientes que utilizam DNSes públicos ou seus 
próprios recursivos,
pelo menos não vai baixar o arquivo de configuração :)

Vamos ver se os IPs não mudam no decorrer dos dias...

[]'s

---
Marcelo Balbinot
GegNET Telecomunicações
IP/MPLS Backbone Manager
ASN 53062
INOC-DBA 53062*200
INOC-DBA 53062*NOC

Em 2017-09-28 08:32, Gustavo Stocco escreveu:
> Brincadeira, hein...
> Registraram mesmo esse domain.name.
> O que já gerou de dor de cabeça aqui não foi pouco, considerando que 
> temos
> muita carteira residencial principalmente.
> 
> Já estamos aplicando em nossos servidores dns o apontamento pra 
> 127.0.0.1
> também.
> 
> Quem estiver utilizando servidores públicos (google, giga e etc)
> continuarão a ter problemas, visto que o domínio está sendo resolvido?
> 
> On Sep 28, 2017 6:10 AM, "Alan Gregory" <alan at opcaonet.com.br> wrote:
> 
> Confirmo o mesmo comportamento.
> Um teste rápido pelo Chrome, acessar chrome://net-internals/#proxy 
> retorna
> a configuração automática atual.
> Hora de checar a configuração default dos outros 
> equipamentos/fabricantes.
> 
> Atenciosamente,
> 
> 
> 
> 
> 
> Alan Gregory
> 
> Opcão Telecom
> 
> Departamento de Redes
> 
> +55 45 2032-0002 | 45 9 9907-9669
> 
> alan @opcaonet.com.br
> 
> skype: alan at opcaonet.com.br
> 
> 
> 
> De: "Marcelo Balbinot" <marcelo at gegnet.com.br>
> Para: "gter" <gter at eng.registro.br>
> Enviadas: Quarta-feira, 27 de setembro de 2017 21:44:08
> Assunto: Re: [GTER] Problemas com WPAD (Web Proxy Autodiscovery 
> Protocol)
> 
> Boa Noite,
> 
> Identificamos isso ontem durante testes com um cliente...
> 
> Notamos que a configuração padrão do DHCP nos roteadores DLINK, utiliza
> o campo "domain" do dhcp configurado como "domain.name"
> 
> Então, alguém teve a ideia de registrar o domínio domain.name :)
> 
> Na maquina windows de um cliente que está atrás de um desses roteadores
> DLINK, o nome "wpad" resolve (pois acaba consultando wpad.domain.name)
> 
> http://www.isptools.com.br/dns#1!21!A!wpad.domain.name
> 
> 
> host wpad.domain.name 8.8.8.8
> Using domain server:
> Name: 8.8.8.8
> Address: 8.8.8.8#53
> Aliases:
> wpad.domain.name has address 159.253.25.197
> wpad.domain.name has address 31.192.228.197
> wpad.domain.name has address 159.253.28.197
> 
> 
> Então, a configuração automática de proxy dos navegadores acaba 
> baixando
> o arquivo de configuração
> 
> http://wpad/wpad.dat -> http://wpad.domain.name/wpad.dat
> 
> http://159.253.25.197/wpad.dat
> 
>> no arquivo temos:
> 
> function FindProxyForURL(url, host) {
> return 'PROXY 185.82.212.95:8080; DIRECT';
> }
> 
> 
> Por fim, optamos por criar em nossos recursivos a zona "domain.name" 
> sem
> nenhuma entrada...
> 
> E, sugerimos, aos clientes configurar adequadamente a opção domain do
> dhcp em seus roteadores...
> 
> []'s
> 
> ---
> Marcelo Balbinot
> GegNET Telecomunicações
> IP/MPLS Backbone Manager
> ASN 53062
> INOC-DBA 53062*200
> INOC-DBA 53062*NOC
> 
> Em 2017-09-27 17:59, Gustavo Stocco escreveu:
>> Boa noite,
>> 
>> Desde ontem de noite tive relatos de vários clientes espalhados por aí
>> de
>> lentidão e falha de acesso em determinadas aplicações. A primeiro
>> momento
>> achávamos que poderia ser um problema na plataforma da "Steam", onde
>> teve o
>> primeiro relato de madrugada.
>> 
>> Avaliando mais a fundo chegamos a conclusão de que o problema se trata
>> de
>> um problema no WPAD. Isso sempre ocorre nas máquinas onde a opção de
>> "Detectar automaticamente as configurações", lá dentro de "opções da
>> Internet" está habilitada.
>> 
>> Vários destinos são encaminhados para um proxy fora do Brasil e por
>> isso a
>> conexão volta e outra fica intermitente ou indisponível.
>> 
>> Ao tentar resolver o domínio "wpad.domain.name" ele aponta para 3
>> endereços
>> IPs de origem suspeita. Ao solicitar a abertura deste domínio ele abre
>> páginas de bitcoin, propagandas aleatórias e mais um monte de itens.
>> 
>> Alguém tem ideia do que pode estar acontecendo? Parece até algum tipo
>> de
>> "poison" de dns.
>> Algo bem estranho que nunca passamos por aqui.
>> Na lista caiu também iniciaram um tópico com esse problema.
>> 
>> Abraços
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list