Yêu cầu CHÍNH bất thường đối với các URL vô nghĩa từ Chrome

Tôi đã nhận thấy lưu lượng truy cập bất thường đến từ máy trạm của tôi trong vài ngày qua. Tôi đang thấy các yêu cầu CHÍNH được gửi đến các URL ký tự ngẫu nhiên, thường là ba hoặc bốn trong một giây và chúng dường như đến từ trình duyệt Chrome của tôi. Các yêu cầu chỉ lặp lại ba hoặc bốn lần một ngày, nhưng tôi chưa xác định được một mẫu cụ thể. Các ký tự URL khác nhau cho mỗi yêu cầu.

Dưới đây là một ví dụ về yêu cầu được ghi lại bởi Fiddler 2:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

Đáp ứng cho yêu cầu này như sau:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

Tôi đã không thể tìm thấy bất kỳ thông tin nào thông qua các tìm kiếm của Google liên quan đến vấn đề này. Tôi không nhớ đã nhìn thấy loại lưu lượng truy cập này trước cuối tuần trước, nhưng có thể là tôi đã bỏ lỡ nó trước đó. Một sửa đổi tôi đã thực hiện cho hệ thống của mình tuần trước là điều bất thường là thêm bổ trợ / tiện ích mở rộng Delicious cho cả IE và Chrome. Tôi đã loại bỏ cả hai thứ này, nhưng tôi vẫn thấy giao thông. Tôi đã chạy quét vi-rút (Trend Micro) và HiJackĐiều này đang tìm mã độc, nhưng tôi không tìm thấy.

Tôi sẽ đánh giá cao bất kỳ trợ giúp nào trong việc theo dõi nguồn gốc của các yêu cầu, vì vậy tôi có thể xác định xem chúng có lành tính không, hoặc chỉ ra một vấn đề lớn hơn. Cảm ơn.

http malware chrome

— JeremyDill
nguồn

Câu trả lời:

Đây thực sự là hành vi hợp pháp. Một số ISP trả lời không đúng các truy vấn DNS đến các tên miền không tồn tại có bản ghi A đến một trang mà họ kiểm soát, thường là với quảng cáo, như một "ý bạn là?" đại loại là, thay vì vượt qua NXDOMAIN như RFC yêu cầu. Để chống lại điều này, Chrome đưa ra một số yêu cầu CHÍNH cho các miền không thể tồn tại để kiểm tra cách các máy chủ DNS giải quyết chúng. Nếu họ trả về các bản ghi A, Chrome sẽ biết thực hiện truy vấn tìm kiếm cho máy chủ thay vì tuân theo bản ghi DNS để bạn không bị ảnh hưởng bởi các hành vi không đúng của ISP. [1]

— Máy quét
nguồn

@Jacob: Dù sao, theo kinh nghiệm của tôi, hầu như luôn luôn, nếu bạn gọi hỗ trợ kinh doanh và đá và hét lên một lúc, họ sẽ cung cấp cho bạn một bộ máy chủ DNS ngược dòng khác không bật "tính năng" đó. Tôi biết rằng cả Verizon và One Communications đều có máy chủ thay thế, mặc dù họ không muốn quảng cáo cho họ.

— Scrivener

Tôi rất vui khi biết rằng đây không phải là một sự phá hoại kỳ lạ trên máy của tôi. Cảm ơn câu trả lời thông tin.

— JeremyDWill

@Jacob: Bạn đã không nghe thấy điều này từ tôi và nó có thể không giống với tôi như đối với tôi, nhưng ... thay đổi octet cuối cùng của máy chủ DNS từ .12 thành .14 xóa "tính năng hỗ trợ DNS ".

— Scrivener

Nó sẽ là tốt đẹp nếu điều đó đã được ghi nhận. Giống như, thực sự tốt đẹp.

— chiggsy

Sẽ tốt hơn nhiều trong số họ để nhúng chrome_dns_test trong URL. Đối với người bi quan, nó trông giống như một ping virus.

— crokusek

Khi làm việc với Microsoft liên quan đến vấn đề này và cách IE9 hành xử, chúng tôi đã tìm thấy thông tin từ Verizon về cách từ chối dịch vụ này. Họ gọi đó là "Hỗ trợ DNS". Khi làm việc với một người dùng khác về vấn đề này có BrightHouse ISP ở FL, họ có điều tương tự đang diễn ra. Nhưng, họ cũng vậy, cung cấp thông tin về cách từ chối dịch vụ này. Tôi thích cách họ gọi nó là một dịch vụ. :)

— Mike Dowd
nguồn