Solicitações HEAD incomuns para URLs sem sentido do Chrome

56

Percebi tráfego incomum vindo da minha estação de trabalho nos últimos dias. Estou vendo solicitações HEAD enviadas para URLs de caracteres aleatórios, geralmente três ou quatro em um segundo, e eles parecem vir do meu navegador Chrome. Os pedidos repetem apenas três ou quatro vezes ao dia, mas não identifiquei um padrão específico. Os caracteres da URL são diferentes para cada solicitação.

Aqui está um exemplo da solicitação, conforme registrada pelo Fiddler 2:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

A resposta a esta solicitação é a seguinte:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

Não foi possível encontrar nenhuma informação nas pesquisas do Google relacionadas a esse problema. Não me lembro de ter visto esse tipo de tráfego antes do final da semana passada, mas pode ser que eu tenha sentido falta dele antes. A única modificação que fiz no meu sistema na semana passada, que era incomum, foi adicionar o complemento / extensão Delicious ao IE e ao Chrome. Desde então, removi os dois, mas ainda estou vendo o tráfego. Eu executei a verificação de vírus (Trend Micro) e o HiJackThis procurando por código malicioso, mas não encontrei nenhum.

Agradecemos qualquer ajuda para rastrear a origem das solicitações, para que eu possa determinar se elas são benignas ou indicativas de um problema maior. Obrigado.

http malware chrome JeremyDWill
fonte

Respostas:

78

Este é realmente um comportamento legítimo. Alguns ISPs respondem indevidamente a consultas DNS para domínios inexistentes com um registro A em uma página que eles controlam, geralmente com publicidade, como "você quis dizer?" tipo de coisa, em vez de passar NXDOMAIN conforme o RFC exige. Para combater isso, o Chrome faz várias solicitações HEAD para domínios que não existem para verificar como os servidores DNS os resolvem. Se eles retornarem registros A, o Chrome saberá executar uma consulta de pesquisa para o host, em vez de obedecer ao registro DNS, para que você não seja afetado pelo comportamento inadequado dos ISPs. [1]

Scrivener
fonte
4
@ Jacob: Quase sempre, na minha experiência, de qualquer maneira, se você ligar para o suporte comercial e chutar e gritar por um tempo, eles fornecerão outro conjunto de servidores DNS upstream que não têm esse "recurso" ativado. Sei que a Verizon e a One Communications têm servidores alternativos, embora se esforcem ao máximo para não divulgá-los.
Scrivener
2
Fico feliz em descobrir que essa não é uma infestação estranha na minha máquina. Obrigado pela resposta informativa.
21411 JeremyDWill
5
@ Jacob: Você não ouviu isso de mim, e pode não ser o mesmo para você, mas ... alterar o último octeto do servidor DNS de 0,12 para 0,14 remove o "recurso de assistência ao DNS "
Scrivener
5
Seria bom se isso estivesse documentado. Muito legal.
18750 chiggsy #
4
Teria sido muito mais agradável incorporar chrome_dns_test no URL. Para os pessimistas, parece um ping de vírus.
crokusek
2

Ao trabalhar com a Microsoft sobre esse problema e como o IE9 se comporta, encontramos informações da Verizon sobre como optar por não participar deste serviço. Eles chamam de "Assistência DNS". Ao trabalhar com outro usuário nesta questão que tenha o BrightHouse ISP na FL, eles têm a mesma coisa. Mas eles também fornecem informações sobre como desativar esse serviço. Eu gosto de como eles chamam de serviço. :)

Mike Dowd
fonte