Я вижу забавные URL-запросы в Чарльзе с, казалось бы, случайными символами (см. Ниже). Все запросы терпят неудачу, но это очень похоже на вирус. Как я могу узнать, какое приложение отправило их?
2 ответа
8
Дай угадаю; вы используете Chrome правильно?
Это не вирус (обратите внимание, что все они представляют собой 10-буквенные «домены»), это Chrome, тестирующий DNS-серверы для обнаружения перенаправления сбоев.
Случается так, что некоторые интернет-провайдеры изменили свои DNS-серверы, так что, когда вы пытаетесь перейти к несуществующему URL-адресу, вместо того, чтобы предоставить вам простую страницу с ошибкой, вместо этого интернет-провайдер предоставляет вам реальную веб-страницу с рекламой, результаты поиска и другие нежелательные сообщения, предположительно связанные с URL/ поисковым запросом, на который вы пытались перейти. (Сам Chrome предлагает это в качестве опции.)
Chrome объединяет строку поиска и адресную строку в омнибар, а также скрывает протокол по умолчанию (вам не нужно специально вводить http:// ; предполагается). Более того, URL не должен иметь ДВУ, это может быть что-то вроде http://svn/ . Поэтому, когда вы вводите слово в омнибар, неясно, пытаетесь ли вы ввести URL или поисковый запрос. Таким образом, Chrome нужен способ определения, выполняете ли вы поиск или пытаетесь перейти на сайт.
Таким образом, чтобы пользователь не разочаровывался при просмотре таких терминов в омнибаре, он всегда видит страницу с ошибкой / рекламой интернет-провайдера, поэтому Chrome пытается подключиться к нескольким случайным бессмысленным URL-адресам. Если они все (волшебным образом) разрешают и при этом на один и тот же IP-адрес, то Chrome знает, что DNS-сервер перенаправляет на страницу с ошибкой, и поэтому Chrome может реагировать соответствующим образом (например, обрабатывать термин как поисковый запрос, попросить вас альтернативные, связанные термины и т. д.)
Кроме того, это также помогает избежать перехвата DNS, поскольку в этом сценарии большинство, если не все (в зависимости от реализации перехвата) запросов DNS обычно разрешаются на один и тот же IP-адрес для шпионажа, прежде чем они будут переданы (если вообще будут) на реальный IP-адрес. ,
Вот несколько мест, где это обсуждалось: [1], [2], [3], [4], [5]
1
Несколько вещей, которые вы можете попробовать:
Сам Чарльз может регистрировать, какое приложение делает эти запросы (если оно отправляет строку агента пользователя).
Вы можете найти User-Agent на вкладке Запрос записи <default>:
Если запросы происходят достаточно часто, вы можете попробовать монитор подключений, такой как CurrPorts.
Закажите удаленный хост и обновите, пока не найдете запись, соответствующую
randomletters:
randomlettersне является полным доменным именем , поэтому, если эти запросы сделаны преднамеренно, а не из-за человеческой ошибки, такой как, например, указание на абсолютный URL-адрес вместо относительного - имя хоста должно каким-то образом отображаться на IP.Попробуйте пропинговать недавнее имя хоста (
ping randomletters), чтобы проверить, так ли это.Проверьте файл hosts (обычно
C:\Windows\system32\drivers\etc\hosts) на наличие записей дляrandomletters.Если он есть, вы можете использовать Process Monitor, чтобы найти приложение, которое изменяет файл hosts.
Запустите его, нажмите Ctrl + L, чтобы открыть диалог Filter ... и создайте фильтр, который исключает все, что не имеет доступа к файлу hosts:
