Pregunta:
He notado tráfico inusual proveniente de mi estación de trabajo en los últimos días. Veo solicitudes HEAD enviadas a URL de caracteres aleatorios, generalmente tres o cuatro en un segundo, y parecen provenir de mi navegador Chrome. Las solicitudes se repiten solo tres o cuatro veces al día, pero no he identificado un patrón en particular. Los caracteres de la URL son diferentes para cada solicitud.
A continuación, se muestra un ejemplo de la solicitud registrada por Fiddler 2:
HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
La respuesta a esta solicitud es la siguiente:
HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283
Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known
No he podido encontrar ninguna información a través de las búsquedas de Google relacionada con este problema. No recuerdo haber visto este tipo de tráfico antes de finales de la semana pasada, pero es posible que lo haya perdido antes. La única modificación que hice a mi sistema la semana pasada que fue inusual fue agregar el complemento / extensión Delicious a IE y Chrome. Desde entonces, eliminé ambos, pero todavía veo el tráfico. He ejecutado un escaneo de virus (Trend Micro) y HiJackThis en busca de código malicioso, pero no he encontrado ninguno.
Agradecería cualquier ayuda para rastrear el origen de las solicitudes, para poder determinar si son benignas o indicativas de un problema mayor. Gracias.
Respuesta:
Este es realmente un comportamiento legítimo. Algunos ISP responden incorrectamente a las consultas de DNS de dominios inexistentes con un registro A en una página que controlan, generalmente con publicidad, como un "¿quiso decir?" tipo de cosas, en lugar de pasar NXDOMAIN como requiere el RFC. Para combatir esto, Chrome realiza varias solicitudes HEAD a los dominios que no pueden existir para verificar cómo los resuelven los servidores DNS. Si devuelven registros A, Chrome sabe que debe realizar una consulta de búsqueda para el host en lugar de obedecer el registro DNS para que usted no se vea afectado por el comportamiento inadecuado de los ISP. [1]