Вопрос: Необычные запросы HEAD для бессмысленных URL-адресов из Chrome


Я заметил необычный трафик, приходящий с моей рабочей станции последние пару дней. Я вижу, что запросы HEAD отправляются на случайные URL-адреса символов, обычно три или четыре в течение секунды, и они, похоже, поступают из моего браузера Chrome. Запросы повторяются только три или четыре раза в день, но я не определил конкретный шаблон. Для каждого запроса символы URL различаются.

Вот пример запроса, записанного Fiddler 2:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

Ответ на этот запрос выглядит следующим образом:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

Я не смог найти какую-либо информацию с помощью поисковых запросов Google, связанных с этой проблемой. Я не помню, чтобы этот вид трафика до конца прошлой недели, но, возможно, я просто пропустил его раньше. Единственной модификацией, которую я сделал в моей системе на прошлой неделе, что было необычно, было добавление надстройки / расширения Delicious для IE и Chrome. С тех пор я удалил оба из них, но я все еще вижу трафик. Я запустил антивирусную проверку (Trend Micro) и HiJackThis ищет вредоносный код, но я его не нашел.

Я был бы признателен за любую помощь, отслеживающую источник запросов, поэтому я могу определить, являются ли они доброкачественными или указывают на большую проблему. Благодарю.


51
2018-02-14 14:58


Источник




Ответы:


Это на самом деле законное поведение. Некоторые интернет-провайдеры ненадлежащим образом отвечают на DNS-запросы на несуществующие домены с записью A на страницу, которую они контролируют, обычно с рекламой, как «вы имели в виду?». а не пропускать NXDOMAIN, как требует RFC. Чтобы бороться с этим, Chrome делает несколько запросов HEAD для доменов, которые не могут существовать, чтобы проверить, как DNS-серверы разрешают их. Если они возвращают записи A, Chrome знает, как выполнить запрос поиска для хоста вместо того, чтобы подчиняться записи DNS, чтобы на вас не повлияло неправильное поведение ISP. [1]


73
2018-02-14 16:04



@Jacob: Практически всегда, по моему опыту, если вы вызовете поддержку бизнеса и напишите и закричите какое-то время, они дадут вам еще один набор восходящих DNS-серверов, которые не имеют этой «функции». Я знаю, что Verizon и One Communications имеют альтернативные серверы, хотя они не хотят их рекламировать. - Scrivener
@Jacob: Вы не слышали об этом от меня, и это может быть не так для вас, как для меня, но ... изменение последнего октета DNS-сервера с .12 до .14 устраняет функцию поддержки DNS ». - Scrivener
Хороший. Я спросил об этом на superuser.com и получил ответ «d00d u получил инфекцию» (я перефразирую). - mackenir
Было бы неплохо, если бы это было задокументировано. Нравится, очень приятно. - chiggsy
Было бы намного лучше, если бы они вставляли chrome_dns_test в URL. Пессимистично, это похоже на вирусный пинг. - crokusek


При работе с Microsoft в отношении этой проблемы и того, как работает IE9, мы обнаружили информацию от Verizon о том, как отказаться от этой услуги. Они называют это «Помощь DNS». При работе с другим пользователем по этой проблеме, у которого есть BrightHouse ISP в FL, у них происходит то же самое. Но они также предоставляют информацию о том, как отказаться от этой услуги. Мне нравится, как они называют это услугой. :)


2
2018-03-14 12:58