• IT-Karriere:
  • Services:

Domain-Validierung: Chromium verursacht Hälfte der Anfragen an DNS-Root-Server

Um gegen DNS-Hijacking vorzugehen, erstellt der Chrome-Browser zufällige Domain-Anfragen. Diese sorgen inzwischen für extrem viel Traffic.

Artikel veröffentlicht am ,
Der Chrome-Browser erstellt automatisch zufällige DNS-Anfragen.
Der Chrome-Browser erstellt automatisch zufällige DNS-Anfragen. (Bild: Tobias Költzsch/Golem.de)

Einer Untersuchung des US-amerikanischen Internetanbieters Verisign zufolge verursacht Code in der Chromium-Basis von Browsern inzwischen rund 50 Prozent aller Anfragen an die DNS-Root-Server. Chromium dient unter anderen als Basis für Googles Chrome-Browser. Diese Angaben beziehen sich auf die von Verisign selbst betriebenen Root-Server und dürften sich so ähnlich wohl auch auf die anderen Root-Server übertragen lassen. Der Untersuchung zufolge, die als Gastbeitrag im Blog des APNIC veröffentlicht wurde, werden damit rund 60 Milliarden DNS-Abfragen an die Root-Server täglich allein durch den Browser verursacht.

Stellenmarkt
  1. Der Polizeipräsident in Berlin, Berlin
  2. BAM Bundesanstalt für Materialforschung und -prüfung, Berlin-Steglitz

Dass dies überhaupt geschieht und aus Sicht des Entwicklungsteam des Browsers-Codes nötig ist, liegt an einer Kombination verschiedener Eigenheiten des Browsers sowie auch des DNS selbst. So startet die sogenannte Omnibox des Browsers, also die zentrale Eingabezeile etwa für URLs, unter Umständen auch automatisch Suchabfragen in der Google-Suchmaschine, wenn keine komplette Domain angegeben wird. Der Browser zeigt hier dann alternativ möglicherweise auch einen Hinweis darauf, dass es sich um einen Tippfehler handeln könnte.

Bei derartigen Tippfehlern zeigen viele Internet-Provider jedoch eine eigene Webseite an, wenn die falsch eingegebe Domain nicht existiert. Letzteres wiederum ist nur durch sogenanntes DNS-Hijacking möglich. Statt der eigentlich richtigen Antwort (NXDomain), dass die Domain nicht existiert, liefert der Provider mit der eigenen Webseite eine andere und genau genommen falsche Antwort.

Wenig ressourcenschonende Heuristik

Der Browser würde in diesem Fall jedoch ebenfalls ständig auf einen Tippfehler hinweisen. Um dies zu vermeiden, erzeugt der Browser drei zufällige Anfragen für Domains, die sehr wahrscheinlich nicht existieren. Erhalten diese jedoch die gleiche IP-Adresse als Antwort, eben weil der Provider diese Antworten umleitet, speichert dies der Browser. Diese Anfragen erzeugen den massiven Netzwerkverkehr an den Root-Servern.

Golem Akademie
  1. Ansible Fundamentals: Systemdeployment & -management
    26.-30. April 2021, online
  2. Terraform mit AWS
    4./5. Mai 2021, online
Weitere IT-Trainings

Möglichkeiten, das bisherige Vorgehen zu verändern, sind eher schwierig umsetzbar. In dem Blogeintrag wird etwa vorgeschlagen, diese Domaintests auf eigene Infrastruktur des Browser-Herstellers umzuleiten, statt die Root-Server abzufragen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Surviving Mars - First Colony Edition für 5,29€, Monopoly - Nintendo Switch Download Code...
  2. (u. a. Patriot Viper 4 8-GB-Kit DDR4-3000 für 38,99€ + 6,99€ Versand statt 55,14€ inkl...
  3. 139,90€ (Bestpreis mit Cyberport. Vergleichspreis ca. 160€)
  4. 279,99€ (Vergleichspreis 332,19€)

ikhaya 25. Aug 2020

Wenn du deine Loginseite im DHCP schon bekannt gibst, musst du keine Verbindungen mehr...

LH 25. Aug 2020

Kann ich bestätigen, ich hatte den Artikel kurz nach Veröffentlichung gelesen, zu dieser...

elknipso 25. Aug 2020

Die Provider eigenen Fehlerseiten sind eine Unsitte. Wenn eine Domain nicht existiert...

ikhaya 25. Aug 2020

Niemand, denn er hat vorher schon gemerkt dass es keinen Sinn macht https://forum.golem...

zilti 24. Aug 2020

DoH ist Müll, aber ja, DNSSEC.


Folgen Sie uns
       


Geforce RTX 3060 - Test

Schneller als eine Geforce RTX 2070, so günstig wie die Geforce GTX 1060 (theoretisch).

Geforce RTX 3060 - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /