В DNS-сервере создана запись типа A, которая преобразует имя wpad в некоторый IP-адрес.
Если попытаться получить IP-адрес для имени wpad, то DNS-сервер сообщает об ошибке:
Очевидно, что ping также не проходит:
Всё дело в защитном механизме, суть которого в следующем. Как известно, обозреватели, если в настройках стоит соответствующая галочка, пытаются автоматически определить прокси-сервер. Начиная с текущего домена, они добавляют имя wpad и пытаются найти узел wpad.xxx.yyy.zzz. Например, текущий домен bm.k43.guap.ru. Тогда производится опрос следующих узлов:
wpad.bm.k43.guap.ru
wpad.k43.guap.ru
wpad.guap.ru
и если такой найден, то запрашивается файл конфигурации прокси-сервера "/wpad.dat". Далее обозреватель работает через указанный в файле прокси-сервер.
Опасность состоит в следующем. Злоумышленник регистрирует в DNS свою машину под именем wpad. Обозреватели пользователей локальной сети будут обращаться к нему за файлом конфигурации прокси-сервера. Злоумышленник запускает свой прокси-сервер, и всех пользователей направляет на него, тем самым собирает пароли или совершая другие тёмные дела. Подробно об этом написано здесь.
Поэтому в DNS-сервера Windows внедрён дополнительный механизм защиты от атак подобного типа - чёрный список DNS. Как работать с этим списком написано здесь. Оказывается, что из командной строки можно либо запретить использование этого списка целиком, либо задать новый список. Для редактирования списка возможностей нет, кроме как править реестр.
Для этого в параметре "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList" удаляем строку wpad. После перезагрузки DNS-сервера узел wpad будет разрешается в DNS и сможет указывать на сервер настроек прокси-сервера.
Внимание! Данную настройку нужно сделать для каждого DNS-сервера в вашей сети.
Рекомендую почитать:
http://www.mpking.com/archives/36-WPAD-does-not-resolve-in-DNS.html
http://technet.microsoft.com/ru-ru/library/cc441517.aspx
http://www.securitylab.ru/analytics/379619.php
Если попытаться получить IP-адрес для имени wpad, то DNS-сервер сообщает об ошибке:
C:\>nslookup wpad <DNSServer1> Сервер: <DNSServer1> Address: <IPofDNSServer1> *** <DNSServer1>.domain.com не удалось найти wpad: Non-existent domain C:\>nslookup wpad <DNSServer1> Server: <DNSServer1>.domain.net Address: <IPofDNSServer1> *** <DNSServer1>.domain.net can't find wpad: Non-existent domain
Очевидно, что ping также не проходит:
C:\>ping wpad При проверке связи не удалось обнаружить узел wpad. Проверьте имя узла и повторите попытку. C:\>ping wpad Ping request could not find host wpad. Please check the name and try again.
Всё дело в защитном механизме, суть которого в следующем. Как известно, обозреватели, если в настройках стоит соответствующая галочка, пытаются автоматически определить прокси-сервер. Начиная с текущего домена, они добавляют имя wpad и пытаются найти узел wpad.xxx.yyy.zzz. Например, текущий домен bm.k43.guap.ru. Тогда производится опрос следующих узлов:
wpad.bm.k43.guap.ru
wpad.k43.guap.ru
wpad.guap.ru
и если такой найден, то запрашивается файл конфигурации прокси-сервера "/wpad.dat". Далее обозреватель работает через указанный в файле прокси-сервер.
Опасность состоит в следующем. Злоумышленник регистрирует в DNS свою машину под именем wpad. Обозреватели пользователей локальной сети будут обращаться к нему за файлом конфигурации прокси-сервера. Злоумышленник запускает свой прокси-сервер, и всех пользователей направляет на него, тем самым собирает пароли или совершая другие тёмные дела. Подробно об этом написано здесь.
Поэтому в DNS-сервера Windows внедрён дополнительный механизм защиты от атак подобного типа - чёрный список DNS. Как работать с этим списком написано здесь. Оказывается, что из командной строки можно либо запретить использование этого списка целиком, либо задать новый список. Для редактирования списка возможностей нет, кроме как править реестр.
Для этого в параметре "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList" удаляем строку wpad. После перезагрузки DNS-сервера узел wpad будет разрешается в DNS и сможет указывать на сервер настроек прокси-сервера.
Внимание! Данную настройку нужно сделать для каждого DNS-сервера в вашей сети.
Рекомендую почитать:
http://www.mpking.com/archives/36-WPAD-does-not-resolve-in-DNS.html
http://technet.microsoft.com/ru-ru/library/cc441517.aspx
http://www.securitylab.ru/analytics/379619.php
Комментариев нет:
Отправить комментарий