Ungewöhnliche HEAD-Anforderungen an unsinnige URLs von Chrome

55

In den letzten Tagen ist mir ungewöhnlicher Verkehr von meiner Workstation aufgefallen. Ich sehe HEAD-Anfragen an zufällige Zeichen-URLs, normalerweise drei oder vier innerhalb einer Sekunde, und sie scheinen von meinem Chrome-Browser zu kommen. Die Anfragen wiederholen sich nur drei- oder viermal am Tag, aber ich habe kein bestimmtes Muster identifiziert. Die URL-Zeichen sind für jede Anforderung unterschiedlich.

Hier ist ein Beispiel für die Anfrage, wie sie von Fiddler 2 aufgezeichnet wurde:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

Die Antwort auf diese Anfrage lautet wie folgt:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

Ich konnte über Google-Suchanfragen zu diesem Problem keine Informationen finden. Ich erinnere mich nicht, dass ich diese Art von Verkehr vor Ende letzter Woche gesehen habe, aber es kann sein, dass ich ihn gerade verpasst habe. Die eine ungewöhnliche Änderung, die ich letzte Woche an meinem System vorgenommen habe, war das Hinzufügen des Delicious-Add-Ins / der Delicious-Erweiterung zu IE und Chrome. Ich habe seitdem beide entfernt, sehe aber immer noch den Verkehr. Ich habe einen Virenscan (Trend Micro) und HiJackThis ausgeführt und nach bösartigem Code gesucht, aber keinen gefunden.

Ich würde mich über jede Hilfe freuen, die die Quelle der Anfragen aufspürt, damit ich feststellen kann, ob sie harmlos sind oder auf ein größeres Problem hindeuten. Vielen Dank.

http malware chrome JeremyDWill
quelle

Antworten:

77

Dies ist eigentlich legitimes Verhalten. Einige Internetdienstanbieter beantworten DNS-Anfragen an nicht vorhandene Domänen fälschlicherweise mit einem A-Eintrag auf einer Seite, die sie normalerweise mit Werbung steuern, als "Meinten Sie?" Anstatt NXDOMAIN zu übergeben, wie es der RFC erfordert. Um dem entgegenzuwirken, sendet Chrome mehrere HEAD-Anfragen an nicht existierende Domains, um zu überprüfen, wie die DNS-Server sie auflösen. Wenn sie A-Einträge zurückgeben, führt Chrome eine Suchabfrage für den Host durch, anstatt den DNS-Eintrag zu beachten, damit Sie nicht von dem unangemessenen Verhalten des Internetdienstanbieters betroffen sind. [1]

Schreiber
quelle
4
@Jacob: Meiner Erfahrung nach erhalten Sie fast immer, wenn Sie geschäftlichen Support anrufen und eine Weile kicken und schreien, einen weiteren Satz von Upstream-DNS-Servern, auf denen diese "Funktion" nicht aktiviert ist. Ich weiß, dass Verizon und One Communications beide alternative Server haben, obwohl sie sich alle Mühe geben, sie nicht zu bewerben.
Scrivener
2
Ich bin froh, dass dies kein seltsamer Befall meiner Maschine ist. Danke für die informative Antwort.
JeremyDWill
5
@Jacob: Sie haben dies nicht von mir gehört, und es ist möglicherweise nicht dasselbe für Sie wie für mich, aber ... durch Ändern des letzten Oktetts des DNS-Servers von .12 auf .14 wird die Funktion "DNS-Unterstützung" entfernt ".
Scrivener
5
Es wäre schön, wenn das dokumentiert wäre. Sehr schön.
Chiggsy
4
Wäre viel schöner gewesen, chrome_dns_test in die URL einzubetten. Für den Pessimisten sieht es aus wie ein Virus-Ping.
Crokusek
2

In der Zusammenarbeit mit Microsoft in Bezug auf dieses Problem und das Verhalten von IE9 haben wir Informationen von Verizon zur Deaktivierung dieses Dienstes erhalten. Sie nennen es "DNS-Unterstützung". In Zusammenarbeit mit einem anderen Benutzer in diesem Problem, der über BrightHouse ISP in FL verfügt, geschieht dasselbe. Aber auch sie geben Auskunft darüber, wie Sie diesen Service abbestellen können. Mir gefällt, wie sie es einen Service nennen. :)

Mike Dowd
quelle