Im Windows 2008 DNS gibt es ein gut verstecktes Feature, die Global Query Blocklist. Mit diesem Feature ist es möglich, gewisse DNS Namen in eine Liste einzupflegen, die vom DNS Server nicht aufgelöst werden können.

mit dnscmd /info /globalqueryblocklist kann man diese Liste auslesen, hier finden sich zwei interessante Einträge: WPAD und ISATAP.

WPAD wird dazu verwendet, dass Internet Explorer automatisch den aktuellen Proxyserver im jeweiligen Netzwerk auslesen können. WPAD zeigt dabei auf den A-Record eines Servers, der eine XML-Datei mit der Proxykonfiguration hält.

ISATAP ist ein IPv4 zu IPv6 Tunneling Mode, der es ermöglich, IPv6 Pakete über ein IPv4 Netzwerk zu tunneln. ISATAP-Router werden seitens der Geräte via einem DNS-Record gefunden, der in der jeweiligen DNS-Zone des Clients angelegt ist.

Beide Strings WPAD und ISATAP sind demnach potenzielle Angriffsziele für Dynamische DNS Attacken. Aus diesem Grund müssen sie aus der Queryblocklist entfernt werden, bevor sie verwendet werden können.

Mit dem Kommando: dnscmd /config /globalqueryblocklist [<name> [<name>]…] kann die Liste auf die unter <name> angegebenen Strings gesetzt werden und somit WPAD und ISATAP DNS-Unterstützung aktiviert werden.