奇怪的DNS查询，有人看到这个了吗？

Question

我注意到，我们公司网络上的一台计算机(Windows 10)对我们的(内部) DNS服务器(dns.company.com)进行了一些奇怪的查询。

我每分钟都会看到wpad查询，然后每隔10分钟就会出现一堆或奇怪的主机名。

我搜索"wpad"..。网络代理自动发现..。我在那台计算机上的设置->网络/互联网->代理中关闭了它。

现在wpad条目较少，但仍会出现。每隔10分钟我就会看到这些奇怪的主机名。

所有这些主机名都是我们的DNS服务器的名称，其中有一些占优势的内容。有人知道这可能是什么吗？

这里没有任何Windows /控制器。DHCP和路由是Linux和DNS (dnsmasq)。

( AV扫描是空的.)

Feb 17 12:57:16 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:40 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:40 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] tauidkyonnprqc.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] ukvdexscffer.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] gspmcswgglvski.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] gspmcswgglvski.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] tauidkyonnprqc.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] ukvdexscffer.dns.company.com from 10.10.2.42
Feb 17 13:01:42 dns dnsmasq[18678]: query[A] tauidkyonnprqc.dns.company.com from 10.10.2.42
Feb 17 13:01:48 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:48 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:55 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42
Feb 17 13:01:55 dns dnsmasq[18678]: query[A] wpad.dns.company.com from 10.10.2.42

Answer 1

在发送这些查询的客户端上，DNS解析程序设置看起来如何？它是多个域的一部分吗？它有一个庞大的搜索列表吗？

https://en.wikipedia.org/wiki/Web_代理_自动发现_Protocol#Context记录了如何发现代理设置的方式。

在您配置浏览器之后，查询数量减少的原因可能是安装了多个浏览器，而这些浏览器并不都是通过您的操作重新配置的。

Answer 2

在安装Chrome的Windows 10计算机上，我可以确认完全相同的行为。我认为有两个不相关的问题：

1. 在我的示例中，wpad DNS查询是由WinHttpAutoProxySvc服务引起的。在我的机器中，我无法直接停止和禁用此服务。我必须修改注册表设置(请参阅：https://community.spiceworks.com/topic/2189290-disabling-winhttp-web-proxy-auto-discover-on-win10 )并重新启动机器。

HKLM\System\CurrentControlSet\Services\WinHttpAutoProxySvc

"Start" DWORD

Value = 4 (Disabled)

1. 如果启动Chrome浏览器后随机/怪异的DNS条目以3组的形式出现，那么它可能与以下内容有关：https://unix.stackexchange.com/questions/363512/chrome-dns-requests-with-random-dns-names-malware

如果您输入一个单词搜索查询，chrome需要发送一个DNS请求来检查这是否是一个单词主机名:例如，"test“可能是对"test”的搜索，或者是对"http://test““的导航。如果查询最终成为主机，chrome将显示一个infobar，该infobar会问“您是否打算去‘测试’”。出于性能原因，DNS查询需要是异步的。现在，一些ISP开始为不存在的域名( http://en.wikipedia.org/wiki/DNS_劫持 )显示广告，这意味着Chrome总是为每一个单词的查询显示infobar。由于这很烦人，chrome现在会在启动时发送三个随机的DNS请求，如果它们都解析(我认为是同一个IP )，那么现在它知道不显示解决该IP的单字查询的“您的意思是”infobar了。

我希望这能帮到你。