Solicitações da Web engraçadas no proxy Charles, isso é um vírus?

Navegue suas respostas
3

Estou vendo solicitações de URL engraçadas em Charles com caracteres aparentemente aleatórios (veja abaixo). Todas as solicitações falham, mas parece muito com um vírus. Como posso saber qual aplicativo os enviou?

    
por this.lau_ 16.06.2012 / 06:13

2 respostas

7

Deixe-me adivinhar; você está usando o Chrome, certo?

Isso não é um vírus (observe como eles são todos os "domínios" de 10 letras), isso é o teste de servidores DNS do Chrome para detectar o redirecionamento de falhas.

O que acontece é que alguns ISPs alteraram seus servidores DNS para que, quando você tenta navegar para uma URL que não existe, em vez de fornecer uma página de erro simples, o ISP fornece uma página da Web real tem anúncios, resultados de pesquisa e outros lixos, presumivelmente relacionados ao URL / termo de pesquisa para o qual você tentou acessar. (O próprio Chrome oferece isso como uma opção).

O Chrome combina a barra de pesquisa e a barra de endereço no Omnibar e também oculta o protocolo por padrão (você não precisa inserir especificamente http:// ; é assumido). Além disso, um URL não tem para ter um TLD, pode ser algo como http://svn/ . Portanto, quando você digita uma palavra no Omnibar, não é óbvio se você está tentando inserir um URL ou um termo de pesquisa. Como tal, o Chrome precisa de uma maneira de detectar se você está realizando uma pesquisa ou tentando navegar para um site.

Para evitar que o usuário veja sempre uma página de erro / anúncio de ISPs quando digita esses termos no Omnibar, o que o Chrome faz é tentar conectar-se a alguns URLs aleatórios e sem sentido. Se todos eles resolvem (magicamente), e para o mesmo IP, o Chrome sabe que o servidor DNS está redirecionando para uma página de erro e, portanto, o Chrome pode reagir de acordo (por exemplo, tratar o termo como uma consulta de pesquisa, perguntar por termos alternativos, relacionados, etc.)

Além disso, também ajuda a evitar o seqüestro de DNS, pois nesse cenário, a maioria, senão todas (dependendo da implementação do seqüestro), as consultas DNS geralmente serão resolvidas no mesmo IP para espionagem antes de serem passadas (se forem) para o IP real.

Veja alguns lugares que foram discutidos: [1] , [2] , [3] , [4] , [5]

    
por 01.07.2012 / 21:31
1

Algumas coisas que você pode experimentar:

  • O próprio Charles pode estar registrando qual aplicativo está fazendo essas solicitações (se ele enviar uma string do agente do usuário).

    Você pode pesquisar o User-Agent na guia Solicitar da entrada < default > :

  • Se as solicitações ocorrerem com frequência suficiente, você pode tentar um monitor de conexão como CurrPorts .

    Solicite por host remoto e atualize até encontrar uma entrada correspondente a randomletters :

  • randomletters não é um FQDN, portanto, se essas solicitações forem feitas intencionalmente - em vez de algum erro humano como, por exemplo, apontar para uma URL absoluta em vez de uma relativa - o nome do host precisa ser mapeado para um IP de alguma forma .

    Tente pingar um nome de host recente ( ping randomletters ) para ver se funciona.

  • Verifique o arquivo hosts (geralmente C:\Windows\system32\drivers\etc\hosts ) para quaisquer entradas para randomletters .

    Se ele contiver algum, você pode usar o Process Monitor para encontrar o aplicativo que modifica o arquivo hosts .

    Inicie, pressione Ctrl + L para abrir o diálogo Filtro ... e crie um filtro que exclui tudo o que não acesse o arquivo hosts:

por 01.07.2012 / 22:43

Tags

A importação de um CSV modifica o formato numérico para notação científica (1,23E + 18) Internet muito lenta com Linksys WRT54GL apenas no modo sem fio (com fio está OK)