过去几天,我注意到我的工作站出现了异常流量。我看到 HEAD 请求发送到随机字符 URL,通常一秒钟内有三到四个,它们似乎来自我的 Chrome 浏览器。这些请求每天只重复三到四次,但我没有发现特定的模式。每个请求的 URL 字符都不同。
以下是 Fiddler 2 记录的请求示例:
HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
对此请求的答复如下:
HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283
Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known
我无法通过 Google 搜索找到与此问题相关的任何信息。我不记得在上周晚些时候之前看到过这种流量,但可能是我之前错过了。上周我对系统所做的一项不寻常的修改是将 Delicious 插件/扩展添加到 IE 和 Chrome。此后我删除了这两个插件/扩展,但仍能看到流量。我运行了病毒扫描(趋势科技)和 HiJackThis 来查找恶意代码,但我没有发现任何恶意代码。
我将非常感激任何帮助我追踪请求来源的帮助,这样我就可以确定它们是良性的还是预示着更大的问题。谢谢。
答案1
这实际上是合法的行为。一些 ISP 会错误地响应对不存在的域的 DNS 查询,并使用 A 记录指向他们控制的页面,通常带有广告,就像“您是指什么?”之类的东西,而不是像 RFC 要求的那样传递 NXDOMAIN。为了解决这个问题,Chrome 会向不存在的域发出几个 HEAD 请求,以检查 DNS 服务器如何解析它们。如果它们返回 A 记录,Chrome 就会知道要对主机执行搜索查询,而不是遵循 DNS 记录,这样您就不会受到 ISP 不当行为的影响。[1]
答案2
在与 Microsoft 就此问题以及 IE9 的行为方式进行合作的过程中,我们从 Verizon 那里找到了有关如何选择退出此服务的信息。他们称之为“DNS 协助”。在与另一位在 FL 使用 BrightHouse ISP 的用户就此问题进行合作时,他们也遇到了同样的问题。但他们也提供了有关如何选择退出此服务的信息。我喜欢他们称之为服务的方式。:)
答案3
另一种可能性“可能是木马在检查自己是否在虚拟机中运行”-- 如果这些虚假域名由于虚拟机试图记录数据包而“连接”,该木马将自行终止。