Frage Ungewöhnliche HEAD-Anfragen an unsinnige URLs aus Chrome


Ich habe in den letzten Tagen ungewöhnlichen Verkehr von meinem Arbeitsplatz bemerkt. Ich sehe, dass HEAD-Anfragen an zufällige Zeichen-URLs gesendet werden, normalerweise drei oder vier innerhalb einer Sekunde, und sie scheinen aus meinem Chrome-Browser zu stammen. Die Anfragen wiederholen sich nur drei oder vier Mal am Tag, aber ich habe kein bestimmtes Muster identifiziert. Die URL-Zeichen sind für jede Anfrage unterschiedlich.

Hier ist ein Beispiel für die Anfrage von Fiddler 2:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

Die Antwort auf diese Anfrage lautet wie folgt:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

Ich konnte über Google-Suchanfragen zu diesem Problem keine Informationen finden. Ich kann mich nicht erinnern, diese Art von Verkehr vor Ende der letzten Woche gesehen zu haben, aber es könnte sein, dass ich es schon vorher verpasst habe. Die einzige Änderung, die ich letzte Woche an meinem System vorgenommen habe, war das Hinzufügen des Delicious Add-Ins / der Erweiterung zu IE und Chrome. Ich habe seitdem beide entfernt, aber sehe immer noch den Verkehr. Ich habe einen Virenscan (Trend Micro) und HiJackThis nach Schadcode gesucht, aber keinen gefunden.

Ich wäre dankbar für jede Hilfe, die die Quelle der Anfragen aufspürt, damit ich feststellen kann, ob sie gutartig sind oder auf ein größeres Problem hinweisen. Vielen Dank.


52
2018-02-14 14:58


Ursprung




Antworten:


Das ist eigentlich ein legitimes Verhalten. Einige Internetdienstanbieter reagieren nicht ordnungsgemäß auf DNS-Abfragen auf nicht vorhandene Domänen mit einem A-Eintrag auf einer Seite, die sie normalerweise mit Werbung steuern, als "meinten Sie"? Art der Sache, anstelle von NXDOMAIN wie der RFC erfordert. Um dies zu verhindern, führt Chrome mehrere HEAD-Anfragen an Domänen durch, die nicht existieren können, um zu überprüfen, wie die DNS-Server sie beheben. Wenn sie A-Datensätze zurückgeben, kann Chrome eine Suchabfrage für den Host durchführen, anstatt den DNS-Datensatz zu befolgen, sodass Sie von dem fehlerhaften Verhalten des ISPs nicht betroffen sind. [1]


74
2018-02-14 16:04



@ Jacob: Fast immer, in meiner Erfahrung sowieso, wenn Sie Business-Support anrufen und für eine Weile schreien und schreien, werden sie Ihnen einen weiteren Satz von Upstream-DNS-Servern geben, die dieses "Feature" nicht aktiviert haben. Ich weiß, dass Verizon und One Communications beide alternative Server haben, obwohl sie keine Mühen scheuen, sie nicht zu bewerben. - Scrivener
Ich bin froh, dass dies kein seltsamer Befall auf meiner Maschine ist. Danke für die informative Antwort. - JeremyDWill
@Jacob: Du hast das von mir nicht gehört, und es ist vielleicht nicht dasselbe für dich wie für mich, aber ... das letzte Oktett des DNS-Servers von .12 auf .14 zu ändern entfernt die "DNS-Hilfe-Funktion ". - Scrivener
Es wäre schön, wenn das dokumentiert wäre. Wie, wirklich nett. - chiggsy
Wäre viel besser von ihnen gewesen, chrome_dns_test in die URL einzubetten. Zum Pessimistischen sieht es wie ein Viren-Ping aus. - crokusek


In der Zusammenarbeit mit Microsoft in Bezug auf dieses Problem und wie sich IE9 verhält, haben wir Informationen von Verizon gefunden, wie Sie diesen Dienst deaktivieren können. Sie nennen es "DNS-Hilfe". Bei der Arbeit mit einem anderen Benutzer zu diesem Thema, der BrightHouse ISP in FL hat, geht es ihnen genauso. Aber auch sie bieten Informationen darüber, wie Sie diesen Dienst ablehnen können. Ich mag es, wie sie es einen Dienst nennen. :)


2
2018-03-14 12:58