Nietypowe żądania HEAD do nonsensownych adresów URL z Chrome

55

W ciągu ostatnich kilku dni zauważyłem niezwykły ruch z mojego stanowiska pracy. Widzę żądania HEAD wysyłane na losowe adresy URL znaków, zwykle trzy lub cztery w ciągu sekundy, i wydaje się, że pochodzą one z mojej przeglądarki Chrome. Prośby powtarzają się tylko trzy lub cztery razy dziennie, ale nie zidentyfikowałem żadnego konkretnego wzoru. Znaki URL są różne dla każdego żądania.

Oto przykład żądania zarejestrowanego przez Fiddlera 2:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

Odpowiedź na to żądanie jest następująca:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

Nie udało mi się znaleźć żadnych informacji w wynikach wyszukiwania Google związanych z tym problemem. Nie pamiętam, aby widziałem tego rodzaju ruch przed końcem ubiegłego tygodnia, ale być może wcześniej go przegapiłem. Jedną modyfikacją, którą wprowadziłem do mojego systemu w zeszłym tygodniu, która była niezwykła, było dodanie dodatku / rozszerzenia Delicious zarówno do przeglądarki IE, jak i Chrome. Od tego czasu usunąłem oba, ale nadal widzę ruch. Uruchomiłem skanowanie w poszukiwaniu wirusów (Trend Micro) i HiJack. To szuka złośliwego kodu, ale go nie znalazłem.

Byłbym wdzięczny za pomoc w śledzeniu źródła żądań, dzięki czemu mogę ustalić, czy są one łagodne, czy wskazują na większy problem. Dzięki.

http malware chrome JeremyDWill
źródło

Odpowiedzi:

77

To jest właściwie uzasadnione zachowanie. Niektórzy usługodawcy internetowi niewłaściwie odpowiadają na zapytania DNS do nieistniejących domen za pomocą rekordu A na stronie, którą kontrolują, zwykle za pomocą reklamy, jako „miałeś na myśli?” coś w rodzaju, zamiast przekazywania NXDOMAIN, jak wymaga RFC. Aby temu zaradzić, Chrome wysyła kilka żądań HEAD do domen, które nie mogą istnieć, aby sprawdzić, w jaki sposób serwery DNS je rozwiązują. Jeśli zwrócą rekordy A, Chrome wie, że wykona zapytanie dotyczące hosta zamiast przestrzegać rekordu DNS, aby niewłaściwe zachowanie dostawców usług internetowych nie miało na ciebie wpływu. [1]

Scrivener
źródło
4
@Jacob: Prawie zawsze, z mojego doświadczenia i tak, jeśli wezwiesz wsparcie biznesowe i kopiesz i krzyczysz przez jakiś czas, dadzą ci inny zestaw serwerów DNS, które nie mają włączonej tej „funkcji”. Wiem, że Verizon i One Communications mają alternatywne serwery, choć robią wszystko, aby ich nie reklamować.
Scrivener,
2
Cieszę się, że nie jest to żadna dziwna infekcja na mojej maszynie. Dzięki za pouczającą odpowiedź.
JeremyDWill
5
@Jacob: Nie usłyszałeś tego ode mnie i może nie być tak samo dla ciebie, jak ... ale ... zmiana ostatniego oktetu serwera DNS z .12 na .14 usuwa funkcję „pomocy DNS” „.
Scrivener,
5
Byłoby miło, gdyby zostało to udokumentowane. Naprawdę fajnie.
chiggsy
4
Byłoby znacznie ładniej z nich osadzić chrome_dns_test w adresie URL. Dla pesymisty wygląda to jak ping wirusa.
crokusek
2

Współpracując z firmą Microsoft w zakresie tego problemu i zachowania IE9, znaleźliśmy informacje od Verizon dotyczące sposobu rezygnacji z tej usługi. Nazywają to „Pomocą DNS”. Pracując z innym użytkownikiem nad tym problemem, który ma BrightHouse ISP we FL, mają to samo. Ale oni również dostarczają informacji o tym, jak zrezygnować z tej usługi. Podoba mi się, jak nazywają to usługą. :)

Mike Dowd
źródło