Les requêtes Web drôles dans le proxy Charles, est-ce un virus?

3

Je vois des requêtes URL drôles dans Charles avec des caractères apparemment aléatoires (voir ci-dessous). Toutes les demandes échouent mais cela ressemble beaucoup à un virus. Comment puis-je savoir quelle application les a envoyés?

Demandes drôles dans Charles

entrez la description de l'image ici

laurent
la source
1
quand vous voyez quelque chose comme ça, vous pouvez vérifier quels processus sont connectés à quoi en s'exécutant netstat -a -b -ndans l'invite de commande. Cependant, cela peut ou non apparaître, car netstat peut uniquement suivre les connexions, pas les demandes
Nate Koppenhaver
Cela se produit-il une fois que vous avez démarré ou est-ce juste après l'ouverture de votre navigateur?
ItsNotAboutTheName

Réponses:

8

Laisse-moi deviner; vous utilisez bien Chrome?

Il ne s'agit pas d'un virus (remarquez qu'ils sont tous des «domaines» de 10 lettres). Il s'agit en fait de tester les serveurs DNS de Chrome pour détecter une redirection d'échec.

Ce qui se passe, c’est que certains FAI ont modifié leurs serveurs DNS. Ainsi, lorsque vous essayez de naviguer vers une URL qui n’existe pas, au lieu de vous fournir une simple page d’erreur, le FAI vous fournit plutôt une page Web contenant des annonces. résultats de recherche et autres indésirables - vraisemblablement liés à l'URL / terme de recherche auquel vous avez tenté d'accéder. (Chrome lui-même offre cela en option.)

Chrome combine la barre de recherche et la barre d'adresse ensemble dans l'Omnibar et masque également le protocole par défaut (vous n'avez pas à entrer spécifiquement http://; c'est supposé). De plus, une URL ne doit pas forcément avoir un TLD, elle peut ressembler à quelque chose http://svn/. Par conséquent, lorsque vous tapez un mot dans l’Omnibar, il n’est pas évident que vous essayiez de saisir une URL ou un terme de recherche. En tant que tel, Chrome a besoin d'un moyen de détecter si vous effectuez une recherche ou essayez de naviguer sur un site.

Par conséquent, pour éviter que l'utilisateur ne soit frustré de toujours voir toujours une page d'annonce / d'annonce de FAI lorsqu'il tape de tels termes dans Omnibar, Google Chrome tente de se connecter à quelques URL aléatoires et non sens. S'ils résolvent tous (par magie), et sur la même adresse IP, Chrome sait que le serveur DNS est en train de rediriger vers une page d'erreur. Ainsi, Chrome peut réagir en conséquence (par exemple, traiter le terme comme une requête de recherche, vous demander de mots alternatifs, apparentés, etc.)

De plus, cela aide également à éviter le détournement de DNS car dans ce scénario, la plupart sinon les requêtes DNS (en fonction de l'implémentation du piratage) seront généralement résolues à la même adresse IP pour être espionnées avant d'être transmises (le cas échéant) à l'adresse IP réelle. .

Voici quelques endroits où cela a été discuté: [1] , [2] , [3] , [4] , [5]

Synetech
la source
1

Quelques choses que vous pouvez essayer:

  • Charles lui-même peut-être enregistrer quelle application fait ces demandes (si elle envoie une chaîne d'agent utilisateur).

    Vous pouvez rechercher l' agent utilisateur dans l' onglet Demande de l' entrée <par défaut> :

    capture d'écran

  • Si les demandes se produisent assez souvent, vous pouvez essayer un moniteur de connexion comme CurrPorts .

    Commandez par hôte distant et actualisez jusqu'à ce que vous trouviez une entrée correspondant à randomletters:

    capture d'écran

  • randomletters n’est pas un nom de domaine complet. Par conséquent, si ces demandes sont faites intentionnellement (plutôt que par une erreur humaine telle que, par exemple, le fait de pointer sur une URL absolue au lieu d’une adresse relative), le nom d’hôte doit être mappé sur une adresse IP.

    Essayez d’envoyer une requête ping à un nom d’hôte récent ( ping randomletters) pour voir s’il le fait.

  • Vérifiez le fichier hosts (généralement C:\Windows\system32\drivers\etc\hosts) pour toutes les entrées pour randomletters.

    S'il en contient, vous pouvez utiliser Process Monitor pour rechercher l'application qui modifie le fichier hosts.

    Lancez-le, appuyez sur Ctrl+ Lpour ouvrir la boîte de dialogue Filtre ... et créez un filtre qui exclut tout ce qui n'a pas accès au fichier hosts:

    capture d'écran

Dennis
la source
> Quelques choses à essayer… Qu'est-ce qu'il faut essayer? C'est une «fonctionnalité» connue et documentée de Chrome.
Synetech
@ Synetech: J'ai posté ma réponse avant de voir la vôtre ...
Dennis
o.ODeux heures après avant?
Synetech
2
@ Synetech: Eh bien, j'ai commencé à taper, j'ai regardé la finale de l'Euro 2012 et j'ai continué ...
Dennis