Необычные запросы HEAD на бессмысленные URL-адреса из Chrome

56

В последние пару дней я заметил необычный трафик с моей рабочей станции. Я вижу запросы HEAD, отправляемые на произвольные символьные URL-адреса, обычно три или четыре в секунду, и они, похоже, поступают из моего браузера Chrome. Запросы повторяются только три или четыре раза в день, но я не определил конкретный шаблон. Символы URL разные для каждого запроса.

Вот пример запроса, записанного Fiddler 2:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

Ответ на этот запрос следующий:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

Мне не удалось найти какую-либо информацию в поиске Google, связанную с этой проблемой. Я не помню, чтобы видел этот вид трафика до конца прошлой недели, но, возможно, я просто пропустил его раньше. Одна необычная модификация, которую я сделал в своей системе на прошлой неделе, заключалась в добавлении надстройки / расширения Delicious как в IE, так и в Chrome. С тех пор я удалил оба из них, но все еще вижу движение. Я запустил проверку на вирусы (Trend Micro) и HiJack, которые ищут вредоносный код, но я не нашел ни одного.

Я был бы признателен за любую помощь в отслеживании источника запросов, чтобы я мог определить, являются ли они доброкачественными или указывают на большую проблему. Благодарю.

http malware chrome JeremyDWill
источник

Ответы:

78

Это на самом деле законное поведение. Некоторые интернет-провайдеры неправильно отвечают на запросы DNS к несуществующим доменам с записью A на страницу, которую они контролируют, обычно с помощью рекламы, как «Вы имели в виду?» Такие вещи, вместо передачи NXDOMAIN, как того требует RFC. Для этого Chrome отправляет несколько HEAD-запросов к доменам, которые не могут существовать, чтобы проверить, как их разрешают DNS-серверы. Если они возвращают записи A, Chrome знает, что должен выполнить поиск для хоста, а не подчиняться записи DNS, чтобы на вас не влияло ненадлежащее поведение интернет-провайдеров. [1]

писец
источник
4
@Jacob: Почти всегда, по моему опыту, в любом случае, если вы позвоните в службу поддержки и пинаете какое-то время, они дадут вам другой набор вышестоящих DNS-серверов, у которых эта «функция» не включена. Я знаю, что у Verizon и One Communications есть альтернативные серверы, хотя они стараются не рекламировать их.
Scrivener
2
Я рад узнать, что это не какое-то странное заражение моей машины. Спасибо за информативный ответ.
JeremyDWill
5
@Jacob: Вы не слышали этого от меня, и для вас это может быть не так, как для меня, но ... изменение последнего октета DNS-сервера с .12 на .14 удаляет «функцию поддержки DNS» ».
Scrivener
5
Было бы хорошо, если бы это было задокументировано. Мол, очень мило.
Чиггси
4
Было бы намного приятнее встраивать chrome_dns_test в URL. Для пессимистов это похоже на вирусный пинг.
Crokusek
2

Работая с Microsoft в отношении этой проблемы и поведения IE9, мы обнаружили в Verizon информацию о том, как отказаться от этой услуги. Они называют это «DNS Assistance». При работе с другим пользователем по этому вопросу, у которого есть BrightHouse ISP в FL, у них происходит то же самое. Но они также предоставляют информацию о том, как отказаться от этой услуги. Мне нравится, как они называют это услугой. :)

Майк Дауд
источник