多数热门歌曲都没有意思,但是我无法弄清一个域:
fhepfcelehfcepfffacacacacacacabn
是什么域?看似随机的字符串大致给出了Google搜索结果的两页,但其中似乎没有任何有用的信息。
日志表显示该条目是
NIMLOC
类型的DNS记录,但这似乎是另一个死胡同的查询方式。#1 楼
该域是字符串“ WORKGROUP”的编码形式。它使用的是十六进制编码的变体,使用字母AP,而不是数字0-9,后跟AF。$ echo fhepfcelehfcepfffacacacacacacabn |
tr a-p 0-9a-f |
xxd -r -p |
xxd
00000000: 574f 524b 4752 4f55 5020 2020 2020 201d WORKGROUP .
这似乎是NetBIOS名称,这就是为什么要用空格填充15个ASCII字符,然后在末尾添加一个不同的字符作为后缀的原因。在NetBIOS-over-TCP / UDP概念RFC中描述了十六进制编码,称为“第一级编码”。同样,NetBIOS使用DNS记录类型ID 32作为其“名称服务”数据包。该ID后来分配给了NIMLOC(参考),它解释了日志的这一部分。但是,我不确定您的计算机上究竟是什么软件在进行此DNS查询。如果您使用的是Windows,则似乎是操作系统级别的问题。
我不认为NextDNS支持的答案在此关于此特定查询的来源是正确的-可能是不是来自Chrome。
评论
哦,这很有趣,而且比支持人员提供的原始答案更具启发性。您是如何知道字母转换出来的?
– Etheryte
20-3-30在11:11
只是一种预感。重复的CA模式看起来很可疑,字母表末尾没有字母。这些东西给我建议了一种替代的十六进制编码。
–里程
20 Mar 30 '11:16
我离开了Wireshark录音,日志条目确实与端口137上的NBNS请求一致。请求的源是usr / sbin / netbiosd,在Mac上是开箱即用的。
– Etheryte
20年3月30日在15:30
这看起来像是puzzling.stackexchange.com上的典型答案
–马夫
20年3月31日9:00
@DavidConrad虽然为真,但在这种情况下没有这个含义;请参阅NetBIOS Wikipedia页面上有关后缀的部分。
–里程
20 Mar 31 '20在17:45
#2 楼
更新:Miles的答案是更好的见解,NextDNS支持提供的解释似乎有误。我联系了NextDNS支持,要求提供更多详细信息,他们说这是Google Chrome浏览器正在测试Internet连接。
了解了哪里后,我发现了许多有关相同行为的参考文献:2012年的这篇文章讨论了具有相似混杂域的机制,尽管字符串较短。这张2010年的Chromium票证报告了相关行为中的错误,并且还显示了类似的垃圾域。
总之,这看起来很安全,尽管出乎意料。
评论
对我来说似乎并不安全。似乎很容易被黑客入侵。
– LabGecko
20-3-29在23:24
@LabGecko好吧,这在很大程度上取决于DNS响应返回电话后如何处理(如果有的话)。
– David Z
20 Mar 29 '20在23:53
如果使用的是Chrome,那么其他人似乎应该能够复制。我希望随机域对于用户而言是唯一的,这可能是隐私相关用户感兴趣的。
– Shanecandoit
20年4月1日在22:34
评论
有关更多背景信息,我是开发人员,因此是localhost条目。我也有许多Chrome扩展程序,尽管我无法找到一种方法来确认或拒绝它们是否已链接到域。该字符串还会出现在Google的2009年发布的wireshark日志中,该日志与samba错误(bugzilla.samba.org/attachment.cgi?id=4050&action=edit)有关。因此该字符串可能不是随机的,它可能意味着或引用了某些内容。
它似乎是有关NETBIOS协议的消息,也许您的分析仪正在数据包检查级别上工作并将其选为域,无论哪种方式,这都是网络问题,请查看以下链接:elitepvpers.com/forum/sro -private-server / ...
我不确定这与信息安全有何关系?
@ConorMancone最初,我怀疑这是来自恶意软件或系统中安装的其他种类的请求,尤其是在垃圾域的情况下。进一步的查询显示情况并非如此。