суббота, 17 ноября 2012 г.

Узел wpad не разрешается в DNS

В DNS-сервере создана запись типа A, которая преобразует имя wpad в некоторый IP-адрес.
Если попытаться получить IP-адрес для имени wpad, то DNS-сервер сообщает об ошибке:
C:\>nslookup wpad <DNSServer1>
Сервер:  <DNSServer1>
Address:  <IPofDNSServer1>
*** <DNSServer1>.domain.com не удалось найти wpad: Non-existent domain

C:\>nslookup wpad <DNSServer1>
Server:  <DNSServer1>.domain.net
Address:  <IPofDNSServer1>
*** <DNSServer1>.domain.net can't find wpad: Non-existent domain 

Очевидно, что ping также не проходит:
C:\>ping wpad
При проверке связи не удалось обнаружить узел wpad.
Проверьте имя узла и повторите попытку.

C:\>ping wpad
Ping request could not find host wpad. Please check the name and try again.

Всё дело в защитном механизме, суть которого в следующем. Как известно, обозреватели, если в настройках стоит соответствующая галочка, пытаются автоматически определить прокси-сервер. Начиная с текущего домена, они добавляют имя wpad и пытаются найти узел wpad.xxx.yyy.zzz. Например, текущий домен bm.k43.guap.ru. Тогда производится опрос следующих узлов:
wpad.bm.k43.guap.ru
wpad.k43.guap.ru
wpad.guap.ru
и если такой найден, то запрашивается файл конфигурации прокси-сервера "/wpad.dat". Далее обозреватель работает через указанный в файле прокси-сервер.

Опасность состоит в следующем. Злоумышленник регистрирует в DNS свою машину под именем wpad. Обозреватели пользователей локальной сети будут обращаться к нему за файлом конфигурации прокси-сервера. Злоумышленник запускает свой прокси-сервер, и всех пользователей направляет на него, тем самым собирает пароли или совершая другие тёмные дела. Подробно об этом написано здесь.

Поэтому в DNS-сервера Windows внедрён дополнительный механизм защиты от атак подобного типа - чёрный список DNS. Как работать с этим списком написано здесь. Оказывается, что из командной строки можно либо запретить использование этого списка целиком, либо задать новый список. Для редактирования списка возможностей нет, кроме как править реестр.

Для этого в параметре "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList" удаляем строку wpad. После перезагрузки DNS-сервера узел wpad будет разрешается в DNS и сможет указывать на сервер настроек прокси-сервера.

Внимание! Данную настройку нужно сделать для каждого DNS-сервера в вашей сети.

Рекомендую почитать:
http://www.mpking.com/archives/36-WPAD-does-not-resolve-in-DNS.html
http://technet.microsoft.com/ru-ru/library/cc441517.aspx
http://www.securitylab.ru/analytics/379619.php

Комментариев нет:

Отправить комментарий