Permintaan HEAD yang tidak biasa untuk URL yang tidak masuk akal dari Chrome

56

Saya perhatikan lalu lintas yang tidak biasa datang dari tempat kerja saya beberapa hari terakhir. Saya melihat permintaan HEAD dikirim ke URL karakter acak, biasanya tiga atau empat dalam satu detik, dan tampaknya berasal dari browser Chrome saya. Permintaan hanya berulang tiga atau empat kali sehari, tetapi saya belum mengidentifikasi pola tertentu. Karakter URL berbeda untuk setiap permintaan.

Berikut adalah contoh permintaan yang dicatat oleh Fiddler 2:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

Tanggapan atas permintaan ini adalah sebagai berikut:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

Saya tidak dapat menemukan informasi apa pun melalui pencarian Google yang terkait dengan masalah ini. Saya tidak ingat melihat lalu lintas semacam ini sebelum akhir pekan lalu, tetapi mungkin saya hanya melewatkannya sebelumnya. Satu modifikasi yang saya buat untuk sistem saya minggu lalu yang tidak biasa adalah menambahkan add-in / ekstensi Delicious untuk IE dan Chrome. Saya telah menghapus keduanya, tetapi saya masih melihat lalu lintas. Saya telah menjalankan pemindaian virus (Trend Micro) dan HiJackThis mencari kode berbahaya, tetapi saya belum menemukannya.

Saya akan menghargai bantuan apa pun yang melacak sumber permintaan, sehingga saya dapat menentukan apakah permintaan itu jinak, atau menunjukkan masalah yang lebih besar. Terima kasih.

http malware chrome JeremyDill
sumber

Jawaban:

78

Ini sebenarnya perilaku yang sah. Beberapa ISP merespons permintaan DNS dengan tidak benar ke domain yang tidak ada dengan catatan A ke halaman yang mereka kontrol, biasanya dengan iklan, sebagai "maksud Anda?" semacam itu, alih-alih melewati NXDOMAIN seperti yang diminta RFC. Untuk mengatasi hal ini, Chrome membuat beberapa permintaan HEAD ke domain yang tidak ada untuk memeriksa bagaimana server DNS menyelesaikannya. Jika mereka mengembalikan catatan A, Chrome tahu untuk melakukan kueri pencarian untuk host alih-alih mematuhi catatan DNS sehingga Anda tidak terpengaruh oleh perilaku ISP yang tidak patut. [1]

Ahli menulis
sumber
4
@ Jacob: Hampir selalu, dalam pengalaman saya, jika Anda memanggil dukungan bisnis dan menendang dan menjerit untuk sementara waktu, mereka akan memberi Anda satu set server DNS upstream yang tidak memiliki "fitur" yang diaktifkan. Saya tahu bahwa Verizon dan One Communications keduanya memiliki server alternatif, meskipun mereka berusaha keras untuk tidak mengiklankannya.
Scrivener
2
Saya senang mengetahui ini bukan serangan aneh pada mesin saya. Terima kasih atas jawaban yang informatif.
JeremyDWill
5
@ Jacob: Anda tidak mendengar ini dari saya, dan mungkin tidak sama untuk Anda seperti bagi saya, tapi ... mengubah oktet terakhir dari server DNS dari .12 menjadi .14 menghapus "fitur bantuan DNS" ".
Ahli menulis
5
Akan lebih baik jika itu didokumentasikan. Sangat bagus.
chiggsy
4
Akan jauh lebih baik dari mereka untuk menanamkan chrome_dns_test di URL. Untuk yang pesimistis, sepertinya virus ping.
crokusek
2

Dalam bekerja dengan Microsoft mengenai masalah ini dan bagaimana IE9 berperilaku, kami telah menemukan informasi dari Verizon tentang cara keluar dari layanan ini. Mereka menyebutnya "Bantuan DNS". Dalam bekerja dengan pengguna lain pada masalah ini yang memiliki BrightHouse ISP di FL, mereka memiliki hal yang sama terjadi. Tetapi, mereka juga memberikan informasi tentang cara keluar dari layanan ini. Saya suka bagaimana mereka menyebutnya layanan. :)

Mike Dowd
sumber