Необычные запросы HEAD на бессмысленные URL-адреса из Chrome
В последние пару дней я заметил необычный трафик с моей рабочей станции. Я вижу запросы HEAD, отправляемые на произвольные символьные URL-адреса, обычно три или четыре в секунду, и они, похоже, поступают из моего браузера Chrome. Запросы повторяются только три или четыре раза в день, но я не определил конкретный шаблон. Символы URL разные для каждого запроса.
Вот пример запроса, записанного Fiddler 2:
HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Ответ на этот запрос следующий:
HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283
Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known
Мне не удалось найти какую-либо информацию в поиске Google, связанную с этой проблемой. Я не помню, чтобы видел этот вид трафика до конца прошлой недели, но, возможно, я просто пропустил его раньше. Одна необычная модификация, которую я сделал в своей системе на прошлой неделе, заключалась в добавлении надстройки / расширения Delicious как в IE, так и в Chrome. С тех пор я удалил оба из них, но все еще вижу движение. Я запустил проверку на вирусы (Trend Micro) и HiJack, которые ищут вредоносный код, но я не нашел ни одного.
Я был бы признателен за любую помощь в отслеживании источника запросов, чтобы я мог определить, являются ли они доброкачественными или указывают на большую проблему. Благодарю.
2 ответа
Это на самом деле законное поведение. Некоторые интернет-провайдеры неправильно отвечают на запросы DNS к несуществующим доменам с записью A на страницу, которую они контролируют, обычно с помощью рекламы, как "Вы имели в виду?" Такие вещи, вместо передачи NXDOMAIN, как того требует RFC. Для этого Chrome отправляет несколько HEAD-запросов к доменам, которые не могут существовать, чтобы проверить, как их разрешают DNS-серверы. Если они возвращают записи A, Chrome знает, что должен выполнить поиск для хоста, а не подчиняться записи DNS, чтобы на вас не влияло ненадлежащее поведение интернет-провайдеров. [1]
Работая с Microsoft в отношении этой проблемы и поведения IE9, мы обнаружили в Verizon информацию о том, как отказаться от этой услуги. Они называют это "DNS Assistance". При работе с другим пользователем по этому вопросу, у которого есть BrightHouse ISP в FL, у них происходит то же самое. Но они также предоставляют информацию о том, как отказаться от этой услуги. Мне нравится, как они называют это услугой.:)
Другая возможность "могла быть связана с проверкой троянов, чтобы увидеть, запущены ли они в виртуальной машине". Если эти поддельные домены "подключаются" из-за того, что виртуальная машина пытается записывать пакеты, троянец самоуничтожится.