Hallo zusammen,
ich habe grade ein echt seltsames Verhalten bzgl. DNS festgestellt.
Es scheint als würde alles, was nicht bekannt ist auf besagte IP oben auflösen. Was auch immer da sein mag.
Es passiert nicht nur auf meinen PCs, sondern auch direkt auf der pfsense SG-2100.
Sogar wenn ich einen externen dnsserver forciere als 2. Parameter nach nslookup.
PS C:\sw> nslookup asdaddcd
Server: pfSense-HW.fritz.box
Address: 192.168.178.1
Non-authoritative answer:
Name: asdaddcd.fritz.box
Addresses: 2001:19f0:6c00:1b0e:5400:4ff:fecd:7828
45.76.93.104
PS C:\sw> nslookup asdaddcddfsdfasdfasd
Server: pfSense-HW.fritz.box
Address: 192.168.178.1
Non-authoritative answer:
Name: asdaddcddfsdfasdfasd.fritz.box
Addresses: 2001:19f0:6c00:1b0e:5400:4ff:fecd:7828
45.76.93.104
Was dann natürlich total super ist: Alle WPAD Anfragen versuchen dann ihr Glück bei dieser Adresse. Mir ist ja deswegen aufgefallen, weil mein PC in letzter Zeit bei allen Internet-Anwendungen ewig zum Starten braucht, bis endlich ein Timeout sagt, dass es bei der IP nix zu holen gibt.
Kann sich das zufällig wer erklären?
Ich betreibe übrigens den DNS-Resolver im Forwarder-Modus, da das echte DNS wohl blockiert wird bei mir. Verwende die Cloudflare DNS-Server 1.1.1.1 u. 1.0.0.1. Hatte auch mal QUAD9 drinnen.
hier der PCAP von meinem PC gefiltert auf diese IP. Da gehts ab. Fast alles WPAD
33dfa77c-1858-4b11-82f7-948d113cf5ae-image.png