Незвичайні HEAD запити на безглузді URL-адреси від Chrome

Останні кілька днів я помітив незвичний рух транспорту зі своєї робочої станції. Я бачу запити HEAD, що надсилаються випадковим URL-адресам символів, як правило, три або чотири за секунду, і вони, як видається, надходять із мого браузера Chrome. Прохання повторюються лише три-чотири рази на день, але я не визначив конкретного шаблону. Символи URL-адреси різні для кожного запиту.

Ось приклад запиту, записаного Fiddler 2:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

Відповідь на цей запит така:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

Я не зміг знайти будь-яку інформацію за допомогою пошукових запитів Google, пов’язаних із цією проблемою. Я не пам’ятаю, як бачив подібний рух раніше наприкінці минулого тижня, але, можливо, я просто пропускав його раніше. Єдиною модифікацією, яку я зробив у своїй системі на минулому тижні, що було незвично, було додавання смачної надбудови / розширення для IE та Chrome. З тих пір я видалив обоє, але все ще бачу рух. Я запустив сканування вірусів (Trend Micro) та HiJackЦе шукає шкідливий код, але я не знайшов жодного.

Я буду вдячний за будь-яку допомогу в пошуку джерела запитів, тому я можу визначити, чи є вони доброякісними чи свідчать про більшу проблему. Дякую.

http malware chrome

— JeremyDWill
джерело

Відповіді:

Це насправді законне поведінка. Деякі провайдери неправильно відповідають на запити DNS до неіснуючих доменів із записом A на сторінку, яку вони контролюють, як правило, з рекламою, як "ви мали на увазі?" щось, а не передавати NXDOMAIN, як цього вимагає RFC. Для боротьби з цим Chrome робить кілька запитів HEAD до доменів, які не можуть існувати, щоб перевірити, як сервери DNS їх вирішують. Якщо вони повертають записи A, Chrome знає виконати пошуковий запит для хоста, а не підпорядковувати DNS-запис, щоб на вас не вплинули неналежна поведінка провайдерів. [1]

— Письменник
джерело

@Jacob: На моєму досвіді, в будь-якому випадку, якщо ви зателефонуєте в службу підтримки, натискаєте і кричатимете на деякий час, вони нададуть вам ще один набір серверів DNS, що не мають цієї функції. Я знаю, що і Verizon і One Communications мають альтернативні сервери, хоча вони не виходять з реклами.

— Scrivener

Я радий дізнатися, що це не якесь дивне зараження моєю машиною. Дякую за інформативну відповідь.

— JeremyDWill

@Jacob: Ви цього не чули від мене, і це може бути для вас не таким, як для мене, але ... зміна останнього октету DNS-сервера з .12 на .14 видаляє "функцію допомоги DNS ".

— Scrivener

Було б добре, якби це було зафіксовано документально. Мовляв, справді приємно.

— chiggsy

Було б набагато приємніше з них вставити chrome_dns_test в URL. Песимістично це схоже на вірусний пінг.

— crokusek

Працюючи з Microsoft щодо цієї проблеми та того, як поводиться IE9, ми знайшли інформацію від Verizon про те, як відмовитися від цієї послуги. Вони називають це "Допомога DNS". Працюючи з іншим користувачем з цього питання, який має провайдера BrightHouse в FL, у них відбувається те саме. Але вони також надають інформацію про те, як відмовитися від цієї послуги. Мені подобається, як вони називають це послугою. :)

— Майк Дауд
джерело