Als Mittel gegen DNS-Hijacking erstellt der Chrome-Browser zufällige Domain-Anfragen, die inzwischen extrem viel Traffic produzieren.
Nach einer Untersuchung des Internetanbieters Verisign aus den USA verursacht Code in der Chromium-Basis aller auf Chromium basierenden Browser inzwischen schon 50 Prozent aller Anfragen an die DNS-Root-Server.
Chromium dient unter anderen als Grundlage für Googles Chrome-Browser. Die Zahlen beziehen sich auf die von Verisign selbst betriebenen Root-Server und können wohl so ähnlich auch auf die anderen Root-Server übertragen werden.
Nach dieser Untersuchung, die auch als Gastbeitrag im Blog des APNIC veröffentlicht wurde, werden so täglich rund 60 Milliarden DNS-Abfragen an die Root-Server allein durch diese Browser verursacht.
Wie die immense Zahl der DNS-Abfragen zustande kommt
Dass dies überhaupt passiert und aus Sicht der Entwickler des Browsers-Codes auch nötig ist, liegt an der Kombination verschiedener Eigenheiten des Browsers und auch des DNS selbst.
So startet zum Beispiel die sogenannte Omnibox des Browsers, die zentrale Eingabezeile für URLs und Suchbegriffe unter Umständen auch automatisch Suchabfragen in der Google-Suchmaschine, wenn keine komplette Domain angegeben wuirde. Der Browser zeigt in diesen Fällen möglicherweise auch einen Hinweis darauf, dass hier ein Tippfehler vorliegen könnte.
Bei solchen Tippfehlern zeigen viele Internet-Provider allerdings eine eigene Webseite an, wenn die falsch eingegebe Domain gar nicht existiert. Das wiederum ist nur durch sogenanntes DNS-Hijacking machbar. Anstelle der eigentlich richtigen Antwort (NXDomain), nämlich dass diese Domain nicht existiert, liefert der Provider mit seiner eigenen Webseite eine andere und im Grunde auch falsche Antwort.
Eine maßlos ressourcenfressende Heuristik
Allerdings würde der Browser in diesem Fall ebenfalls ständig auf einen Tippfehler hinweisen. Um diese Folge zu vermeiden, erzeugt der Browser drei zufällige Anfragen für Domains, die mit hoher Wahrscheinlichkeit nicht existieren.
Erhalten diese dann die gleiche IP-Adresse als Antwort, weil der Provider diese Antworten ja auf seine eigene Seite umleitet, speichert der Browser das. Und genau diese Anfragen erzeugen den extrem massiven Netzwerkverkehr an den Root-Servern.
Andere Methoden, dieses Vorgehen zu ändern, sind nicht leicht umsetzbar. In dem Blogeintrag wird zum Beispiel als Lösung zur Minderung des DNS-Traffics vorgeschlagen, diese Domaintests auf eigene Infrastruktur des Browser-Herstellers umzuleiten, statt die Root-Server abzufragen.
