Punycode é uma codificação ASCII, portanto, você está certo de que isso parece ser lixo. Precisamos ver todo o pacote para indicar mais do que isso. Eu quebrei essa string em ASCII e limites de bytes hex abaixo para que seja mais fácil perceber a estrutura do pacote.
(se alguém descobrir algum erro, basta editá-lo diretamente)
[03]
www
em [12][8b]
hH
em [1c][c5][11]
l
em [eb]
S
em [ba][de]
e
em% co_de [13]
% ' [illegal DNS ASCII: byte 0x27]
[d9][82]
u
[19][03]
com
- O Punycode não usa bytes acima do limite ASCII de 7 bits, que termina em% hexadecimal
[terminating null byte 0x00]
. - Mesmo se assumíssemos uma tentativa ilegal de incorporar bytes UTF-8 nessa string, eles começam com um byte inicial no intervalo de% hex
7F
aC2
. O byte imediatamente após o www inicial é hexF4
(feed de formulário) seguido por12
, que é um byte de continuação. Definitivamente não é válido UTF-8.
Neste ponto, ficamos com três possibilidades:
- Corrupção de dados
- Pacotes projetados para explorar uma vulnerabilidade
- Tentativa de codificar dados não-DNS sobre o protocolo DNS para contornar firewalls, como o software de VPN. Eu não passei muito tempo pesquisando implementações do presente, então não posso comentar sobre a probabilidade de este ser o caso. Se é isso que está acontecendo, eu diria que o principal "www" e o "com" à direita são uma tentativa fraca de enganar a inspeção profunda e rudimentar de pacotes.