Demandes HEAD inhabituelles aux URL non-sens de Chrome

56

J'ai remarqué un trafic inhabituel en provenance de mon poste de travail au cours des derniers jours. Des requêtes HEAD sont envoyées à des URL de caractères aléatoires, généralement trois ou quatre en une seconde, et elles semblent provenir de mon navigateur Chrome. Les demandes ne se répètent que trois ou quatre fois par jour, mais je n’ai pas identifié de tendance particulière. Les caractères de l'URL sont différents pour chaque demande.

Voici un exemple de la requête enregistrée par Fiddler 2:

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

La réponse à cette demande est la suivante:

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

Je n'ai trouvé aucune information dans les recherches Google liées à ce problème. Je ne me souviens pas d’avoir vu ce genre de trafic avant la fin de la semaine dernière, mais il se peut que j’ai juste manqué de le faire auparavant. La seule modification inhabituelle que j'ai apportée à mon système la semaine dernière a été l'ajout du complément / de l'extension Delicious à IE et à Chrome. Depuis, j'ai enlevé ces deux objets, mais je vois toujours le trafic. J'ai exécuté une recherche de virus (Trend Micro) et HiJackThis à la recherche de code malveillant, mais je n'en ai trouvé aucun.

J'apprécierais toute aide pour localiser la source des demandes, afin que je puisse déterminer si elles sont bénignes ou indicatrices d'un problème plus grave. Merci.

JeremyDWill
la source

Réponses:

78

C'est un comportement légitime. Certains fournisseurs d'accès à Internet répondent incorrectement aux requêtes DNS de domaines inexistants avec un enregistrement A sur une page qu'ils contrôlent, généralement avec de la publicité, comme un "voulez-vous dire?" genre de chose, au lieu de passer NXDOMAIN comme le requiert la RFC. Pour lutter contre cela, Chrome envoie plusieurs requêtes HEAD aux domaines qui ne peuvent exister pour vérifier comment les serveurs DNS les résolvent. S'ils renvoient des enregistrements A, Chrome sait effectuer une requête de recherche pour l'hôte au lieu d'obéir à l'enregistrement DNS afin que vous ne soyez pas affecté par le comportement inapproprié des fournisseurs de services Internet. [1]

Scribe
la source
4
@Jacob: D'après mon expérience, presque toujours, si vous appelez le support technique et que vous criez pendant un moment, ils vous donneront un autre ensemble de serveurs DNS en amont sur lesquels cette "fonctionnalité" n'est pas activée. Je sais que Verizon et One Communications ont tous deux un serveur de remplacement, même s’ils s’efforcent de ne pas en faire la publicité.
Scrivener
2
Je suis heureux de découvrir qu'il ne s'agit pas d'une étrange infestation sur ma machine. Merci pour la réponse informative.
JeremyDWill
5
@Jobob: Vous ne l'avez pas entendu dire, et ce ne sera peut-être pas le même pour vous que pour moi, mais ... changer le dernier octet du serveur DNS de .12 à .14 supprime la "fonctionnalité d'assistance DNS" ".
Scrivener le
5
Ce serait bien si cela était documenté. Vraiment sympa.
Chiggsy
4
Il aurait été beaucoup plus gentil de leur part d'intégrer chrome_dns_test dans l'URL. Pour les pessimistes, cela ressemble à un virus de ping.
crokusek
2

En travaillant avec Microsoft sur ce problème et sur le comportement d’IE9, nous avons trouvé des informations de Verizon sur la procédure de retrait de ce service. Ils l'appellent "Assistance DNS". En travaillant avec un autre utilisateur de ce problème qui possède BrightHouse ISP en FL, ils ont la même chose. Mais, eux aussi, fournissent des informations sur la façon de se retirer de ce service. J'aime comment ils appellent cela un service. :)

Mike Dowd
la source