Im Laufe der Jahre (seit 2005) habe ich auf mehreren von mir verwalteten DNS / BIND-Servern Protokolle mit seltsamen zufälligen DNS-Anfragen gesehen.
May 7 12:13:50 1.1.1.1 named[63742]: client 1.1.1.2#24123 (verxkgiicjmcnxg): view internal: query: verxkgiicjmcnxg IN A + (1.1.1.1)
May 7 12:13:50 1.1.1.1 named[63742]: client 1.1.1.2#29159 (epqoaqsayo): view internal: query: epqoaqsayo IN A + (1.1.1.1)
May 7 12:13:50 1.1.1.1 named[63742]: client 1.1.1.2#27411 (qlllglwcjglu): view internal: query: qlllglwcjglu IN A + (1.1.1.1)
Normalerweise habe ich Windows-Malware gefunden. Allerdings merke ich, dass es in letzter Zeit auch von Linux- und Mac-Clients kommt. Wieder dachte ich, es könnte an einigen böswilligen Browser-Plug-Ins liegen.
Beim Debuggen eines Google Chrome-Browserproblems in meinem neu installierten Macbook Pro / Chrome unter Verwendung der URL chrome: // net-internals / # dns habe ich jedoch ähnliche Anfragen auf meiner Chrome-DNS-Statistikseite gefunden.
In meinem Chrome-Browser sind ziemlich harmlose Plug-Ins installiert, und es gibt keine offensichtlichen Anzeichen von Malware .
Ich habe meine ehrlichen Zweifel, ob es sich um böswillige Handlungen handeln soll oder nicht. Was ist los?
(Wie im Bild zu sehen, benennen pnxcygqqemww , ryzypwbheguutkd und snplueo DNS Anfragen von Chrome).
Schnüffeln der DNS-Aktivität beim Öffnen des Chrome-Browsers mit:
sudo tcpdump -n port 53
Ich kann die folgenden DNS-Anfragen und erneut die zufälligen Anfragen um 10:20:34 sehen:
Chrome öffnen:
tcpdump: data link type PKTAP
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pktap, link-type PKTAP (Apple DLT_PKTAP), capture size 262144 bytes
10:20:27.119736 IP 1.1.1.2.12568 > 1.1.1.1.53: 10990+ A? apis.google.com. (33)
10:20:27.119962 IP 1.1.1.2.34930 > 1.1.1.1.53: 13828+ A? disconnect.me. (31)
10:20:27.120078 IP 1.1.1.2.17860 > 1.1.1.1.53: 37420+ A? mxr.mozilla.org. (33)
10:20:27.120314 IP 1.1.1.1.53 > 1.1.1.2.12568: 10990 2/4/4 CNAME plus.l.google.com., A 216.58.214.174 (206)
10:20:27.120479 IP 1.1.1.1.53 > 1.1.1.2.34930: 13828 3/4/8 A 54.197.255.152, A 54.225.94.202, A 204.236.239.134 (339)
10:20:27.120666 IP 1.1.1.1.53 > 1.1.1.2.17860: 37420 1/4/5 A 63.245.215.42 (234)
10:20:27.123394 IP 1.1.1.2.51642 > 1.1.1.1.53: 58375+ A? ssl.gstatic.com. (33)
10:20:27.123658 IP 1.1.1.2.17933 > 1.1.1.1.53: 48570+ A? www.google.pt. (31)
10:20:27.123726 IP 1.1.1.1.53 > 1.1.1.2.51642: 58375 1/4/4 A 216.58.214.163 (192)
10:20:27.123897 IP 1.1.1.2.57779 > 1.1.1.1.53: 7559+ A? www.gstatic.com. (33)
10:20:27.123946 IP 1.1.1.1.53 > 1.1.1.2.17933: 48570 1/4/4 A 216.58.207.163 (193)
10:20:27.124192 IP 1.1.1.1.53 > 1.1.1.2.57779: 7559 16/4/4 A 194.210.238.166, A 194.210.238.170, A 194.210.238.174, A 194.210.238.176, A 194.210.238.177, A 194.210.238.181, A 194.210.238.185, A 194.210.238.187, A 194.210.238.144, A 194.210.238.148, A 194.210.238.152, A 194.210.238.154, A 194.210.238.155, A 194.210.238.159, A 194.210.238.163, A 194.210.238.165 (432)
10:20:27.432926 IP 1.1.1.2.29865 > 1.1.1.1.53: 62300+ A? clients4.google.com. (37)
10:20:27.433219 IP 1.1.1.2.28193 > 1.1.1.1.53: 23734+ A? translate.googleapis.com. (42)
10:20:27.433703 IP 1.1.1.1.53 > 1.1.1.2.29865: 62300 2/4/4 CNAME clients.l.google.com., A 216.58.211.238 (213)
10:20:27.464772 IP 1.1.1.1.53 > 1.1.1.2.28193: 23734 1/4/4 A 216.58.198.202 (201)
10:20:28.430622 IP 1.1.1.2.46792 > 1.1.1.1.53: 1963+ A? accounts.google.com. (37)
10:20:28.431046 IP 1.1.1.1.53 > 1.1.1.2.46792: 1963 1/4/4 A 216.58.201.141 (189)
10:20:32.348765 IP 1.1.1.2.16654 > 1.1.1.1.53: 39847+ A? www.google.com. (32)
10:20:32.349362 IP 1.1.1.1.53 > 1.1.1.2.16654: 39847 1/4/4 A 216.58.213.164 (184)
Nach ein paar Sekunden erscheinen tatsächlich die erwähnten zufälligen DNS-Anfragen:
10:20:34.159229 IP 1.1.1.2.5042 > 1.1.1.1.53: 47676+ A? kblxfid.xxx.xxx.xxx. (44)
10:20:34.159829 IP 1.1.1.2.63360 > 1.1.1.1.53: 55094+ A? weefjmw.xxx.xxx.xxx. (44)
10:20:34.159893 IP 1.1.1.1.53 > 1.1.1.2.5042: 47676 NXDomain* 0/1/0 (104)
10:20:34.160230 IP 1.1.1.1.53 > 1.1.1.2.63360: 55094 NXDomain* 0/1/0 (104)
10:20:34.160872 IP 1.1.1.2.29339 > 1.1.1.1.53: 22434+ A? luebcanqpumlaj.xxx.xxx.xxx. (51)
10:20:34.161290 IP 1.1.1.1.53 > 1.1.1.2.29339: 22434 NXDomain* 0/1/0 (111)
10:20:34.162489 IP 1.1.1.2.64592 > 1.1.1.1.53: 49055+ A? kblxfid.xxx.xxx.xxx. (44)
10:20:34.162859 IP 1.1.1.1.53 > 1.1.1.2.64592: 49055 NXDomain* 0/1/0 (104)
10:20:34.164105 IP 1.1.1.2.50225 > 1.1.1.1.53: 1276+ A? weefjmw.xxx.xxx.xxx. (44)
10:20:34.164386 IP 1.1.1.2.52389 > 1.1.1.1.53: 59022+ A? luebcanqpumlaj.xxx.xxx.xxx. (51)
10:20:34.164472 IP 1.1.1.1.53 > 1.1.1.2.50225: 1276 NXDomain* 0/1/0 (104)
10:20:34.164751 IP 1.1.1.1.53 > 1.1.1.2.52389: 59022 NXDomain* 0/1/0 (111)
Öffnen eines neuen Tabs in Chrome:
10:20:44.106915 IP 1.1.1.2.26171 > 1.1.1.1.53: 14460+ A? clients2.google.com. (37)
10:20:44.139387 IP 1.1.1.1.53 > 1.1.1.2.26171: 14460 2/4/4 CNAME clients.l.google.com., A 216.58.211.238 (213)
Laut @Gilles Link können Sie bei Verwendung eines Proxys (Squid) in Chrome die zufälligen DNS-Namen auch in der entsprechenden Squid- access.log
Protokolldatei sehen, wenn Chrome bootet:
1494276554.709 216 127.0.0.1 TCP_MISS/504 277 HEAD http://vgifrooogs/ - DIRECT/vgifrooogs text/html
1494276554.731 238 127.0.0.1 TCP_MISS/504 277 HEAD http://cbwknhka/ - DIRECT/cbwknhka text/html
1494276554.875 382 127.0.0.1 TCP_MISS/504 277 HEAD http://vtjhiag/ - DIRECT/vtjhiag text/html
Antworten:
Ich habe eine Reihe von Beiträgen / Fehlerberichten zu zufälligen DNS-Anfragen von Chrome gefunden. Die Schlussfolgerung ist, dass zufällige DNS-Anfragen weder von Malware noch von Plugins oder Add-Ons generiert werden.
Die Anforderungen werden von Chrome ausgeführt, um zu ermitteln, ob Suchvorgänge in der Adressleiste verarbeitet werden können.
Die beste Erklärung, die ich gefunden habe, finden Sie weiter unten unter diesem Link .
Abgesehen von der ISP-Stufe oder dem Malware-DNS-Hijacking des oben verlinkten Wikipedia-Eintrags übernehmen einige kostenpflichtige WLAN-Zugangspunkte oder Captive-Portale auch DNS-Hijacking. Zufällige Anfragen werden in scheinbar zufälligen Abständen und nicht nur beim Starten von Chrome gestellt. Zumindest treten sie jedes Mal auf, wenn die aktuelle Netzwerkschnittstelle eine neue IP-Adresse erhält.
Hier ist ein weiterer Link zum Thema von @Gilles: Ungewöhnliche HEAD-Anfragen an unsinnige URLs von Chrome . Fügen Sie daher der Frage das Thema Proxy-Test-Setup hinzu. Am Ende werden Proxy-Protokolle angezeigt, da die Anforderungen bei der Konfiguration eines Proxys über den Proxy erfolgen. und es liegt an dem Proxy, die DNS-Anforderungen aufzulösen.
Da im Internet keine detaillierten Informationen verfügbar waren, habe ich den Chromium-Quellcode mit dem folgenden Befehl heruntergeladen und durchgesehen.
Das folgende Zitat wurde aus den Chromium-Quellcodekommentaren kopiert:
Mein Fazit ist, dass diese zufälligen DNS-Anforderungsnamen keine Manifestation des Malware-Verhaltens sind . Es handelt sich um Tests für Chromium (und Google Chrome), um zu erfahren, was es zumindest in Bezug auf Suchvorgänge leisten kann .
In Ermangelung genauerer Informationen im Internet habe ich die Chromquellen in meinen Nachforschungen heruntergeladen. Die Logik für diese Funktionalität finden Sie in der Datei
src/chrome/browser/intranet_redirect_detector.cc
undsrc/chrome/browser/ui/omnibox/chrome_omnibox_navigation_observer.cc
.Unten ist ein Auszug aus
src/chrome/browser/intranet_redirect_detector.cc
:....
Unten ist ein Auszug aus der Datei
src/chrome/browser/ui/omnibox/chrome_omnibox_navigation_observer.cc
:....
...
Weiterführender Link: DNS-Anfragen in Groß- und Kleinschreibung - Malware in meinem Netzwerk? .
Ein wenig verwandt: Warum speichert Chromium DNS nicht länger als eine Minute im Cache?
quelle