Solicitudes HEAD inusuales a URL sin sentido de Chrome

56

He notado tráfico inusual proveniente de mi estación de trabajo en los últimos días. Veo solicitudes HEAD enviadas a URL de caracteres aleatorios, generalmente tres o cuatro en un segundo, y parecen provenir de mi navegador Chrome. Las solicitudes se repiten solo tres o cuatro veces al día, pero no he identificado un patrón en particular. Los caracteres de URL son diferentes para cada solicitud.

Aquí hay un ejemplo de la solicitud registrada por Fiddler 2:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

La respuesta a esta solicitud es la siguiente:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

No he podido encontrar ninguna información a través de las búsquedas de Google relacionadas con este problema. No recuerdo haber visto este tipo de tráfico antes de fines de la semana pasada, pero es posible que lo haya perdido antes. La única modificación que hice a mi sistema la semana pasada que fue inusual fue agregar el complemento / extensión Delicious tanto a IE como a Chrome. Desde entonces he eliminado ambos, pero todavía veo el tráfico. He ejecutado el análisis de virus (Trend Micro) y HiJack, buscando código malicioso, pero no he encontrado ninguno.

Agradecería cualquier ayuda para rastrear el origen de las solicitudes, por lo que puedo determinar si son benignas o indican un problema mayor. Gracias.

http  malware  chrome 
JeremyDWill
fuente

Respuestas:

78

Este es en realidad un comportamiento legítimo. Algunos ISP responden de manera inadecuada a las consultas de DNS a dominios inexistentes con un registro A en una página que controlan, generalmente con publicidad, como un "¿quiso decir?" tipo de cosas, en lugar de pasar NXDOMAIN como lo requiere el RFC. Para combatir esto, Chrome realiza varias solicitudes HEAD a dominios que no pueden existir para verificar cómo los resuelven los servidores DNS. Si devuelven registros A, Chrome sabe que debe realizar una consulta de búsqueda para el host en lugar de obedecer el registro DNS para que no se vea afectado por el comportamiento incorrecto del ISP. [1]

Amanuense
fuente
44
@Jacob: Casi siempre, en mi experiencia de todos modos, si llamas al soporte comercial y pateas y gritas por un tiempo, te darán otro conjunto de servidores DNS ascendentes que no tienen habilitada esa "característica". Sé que Verizon y One Communications tienen servidores alternativos, aunque se desviven por no anunciarlos.
Scrivener
2
Me alegra descubrir que esto no es una infestación extraña en mi máquina. Gracias por la respuesta informativa.
JeremyDWill
55
@Jacob: No escuchaste esto de mí, y podría no ser lo mismo para ti que para mí, pero ... cambiar el último octeto del servidor DNS de .12 a .14 elimina la "función de asistencia DNS ".
Scrivener
55
Sería bueno si eso fuera documentado. Me gusta, muy bien.
chiggsy
44
Hubiera sido mucho más amable de ellos incrustar chrome_dns_test en la URL. Para los pesimistas, parece un virus ping.
crokusek
2

Al trabajar con Microsoft con respecto a este problema y cómo se comporta IE9, hemos encontrado información de Verizon sobre cómo darse de baja de este servicio. Lo llaman "Asistencia DNS". Al trabajar con otro usuario en este tema que tiene BrightHouse ISP en FL, tienen lo mismo. Pero ellos también brindan información sobre cómo darse de baja de este servicio. Me gusta cómo lo llaman servicio. :)

Mike Dowd
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.