Richieste HEAD insolite a URL senza senso da Chrome

56

Ho notato traffico insolito proveniente dalla mia workstation negli ultimi due giorni. Sto vedendo richieste HEAD inviate a URL di caratteri casuali, di solito tre o quattro in un secondo, e sembrano provenire dal mio browser Chrome. Le richieste si ripetono solo tre o quattro volte al giorno, ma non ho identificato un modello particolare. I caratteri URL sono diversi per ogni richiesta.

Ecco un esempio della richiesta registrata da Fiddler 2:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

La risposta a questa richiesta è la seguente:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

Non sono stato in grado di trovare alcuna informazione tramite le ricerche di Google relative a questo problema. Non ricordo di aver visto questo tipo di traffico prima della fine della scorsa settimana, ma è possibile che mi sia appena perso. L'unica modifica che ho apportato al mio sistema la scorsa settimana che era insolita è stata l'aggiunta del componente aggiuntivo / estensione Delicious a IE e Chrome. Da allora ho rimosso entrambi, ma sto ancora vedendo il traffico. Ho eseguito la scansione antivirus (Trend Micro) e HiJack Questo è alla ricerca di codice dannoso, ma non ne ho trovato nessuno.

Gradirei qualsiasi aiuto per rintracciare l'origine delle richieste, in modo da poter determinare se sono benigne o indicative di un problema più grande. Grazie.

http  malware  chrome 
JeremyDWill
fonte

Risposte:

78

Questo è in realtà un comportamento legittimo. Alcuni ISP rispondono erroneamente a query DNS a domini inesistenti con un record A a una pagina che controllano, di solito con la pubblicità, come "intendevi?" tipo di cosa, invece di passare NXDOMAIN come RFC richiede. Per contrastare ciò, Chrome invia diverse richieste HEAD ai domini che non possono esistere per verificare come i server DNS li risolvono. Se restituiscono record A, Chrome sa eseguire una query di ricerca per l'host invece di obbedire al record DNS in modo da non essere influenzato dal comportamento improprio degli ISP. [1]

Scrivano
fonte
4
@Jacob: Quasi sempre, nella mia esperienza, se chiami il supporto aziendale e dai un calcio e urli per un po ', ti daranno un altro set di server DNS upstream che non hanno quella "funzione" abilitata. So che Verizon e One Communications hanno entrambi server alternativi, anche se fanno di tutto per non pubblicizzarli.
Scrivener,
2
Sono felice di scoprire che questa non è una strana infestazione sulla mia macchina. Grazie per la risposta informativa.
JeremyD, il
5
@Jacob: Non mi hai sentito questo, e potrebbe non essere lo stesso per te come lo era per me, ma ... cambiando l'ultimo ottetto del server DNS da .12 a .14 rimuove la "funzione di assistenza DNS ".
Scrivener,
5
Sarebbe bello se fosse documentato. Davvero carino.
Chiggsy,
4
Sarebbe stato molto più carino da parte loro incorporare chrome_dns_test nell'URL. Per i pessimisti, sembra un virus ping.
crokusek,
2

Lavorando con Microsoft in merito a questo problema e al comportamento di IE9, abbiamo trovato informazioni da Verizon su come disattivare questo servizio. Lo chiamano "Assistenza DNS". Lavorando con un altro utente su questo problema che ha BrightHouse ISP in FL, stanno succedendo le stesse cose. Ma anche loro forniscono informazioni su come rinunciare a questo servizio. Mi piace come lo chiamano un servizio. :)

Mike Dowd
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.