Rejestrator APNIC, odpowiedzialny za dystrybucję adresów IP w regionie Azji i Pacyfiku, wyniki analizy rozkładu ruchu na jednym z głównych serwerów DNS a.root-servers.net. 45.80% żądań do serwera root dotyczyło kontroli przeprowadzanych przez przeglądarki oparte na silniku Chromium. W związku z tym prawie połowa zasobów głównych serwerów DNS jest wydawana na wykonywanie testów diagnostycznych Chromium, a nie na przetwarzanie żądań z serwerów DNS w celu określenia stref głównych. Biorąc pod uwagę, że Chrome stanowi 70% rynku przeglądarek internetowych, tego typu działania diagnostyczne powodują, że dziennie do serwerów root wysyłanych jest około 60 miliardów żądań.
Kontrole diagnostyczne są używane w Chromium w celu wykrycia, czy dostawcy usług korzystają z usług przekierowujących żądania do nieistniejących nazw do swoich programów obsługi. Podobne systemy wdrażane są przez niektórych dostawców w celu kierowania ruchu do błędnie wprowadzonych nazw domen - z reguły w przypadku domen nieistniejących wyświetlane są strony z ostrzeżeniem o błędzie, oferujące listę prawdopodobnie poprawnych nazw i reklamę. Co więcej, takie działanie całkowicie niszczy logikę ustalania hostów intranetowych w przeglądarce.
Jeśli podczas przetwarzania zapytania wprowadzonego w pasku adresu tylko jedno słowo zostanie wprowadzone bez kropek, najpierw przeglądarka określić dane słowo w DNS, przy założeniu, że użytkownik może próbować uzyskać dostęp do strony intranetowej w sieci wewnętrznej, zamiast wysyłać zapytanie do wyszukiwarki. Jeśli dostawca przekierowuje zapytania do nieistniejących nazw domen, użytkownicy mają problem – każde jednowyrazowe zapytanie wpisane w pasku adresu zaczyna być przekierowywane na strony dostawcy, a nie wysyłane do wyszukiwarki.
Aby rozwiązać ten problem, programiści Chromium dodali do przeglądarki , które w przypadku wykrycia przekierowań zmieniają logikę przetwarzania żądań w pasku adresu.
Przy każdym uruchomieniu, zmianie ustawień DNS lub zmianie adresu IP przeglądarka wysyła trzy żądania DNS z losowymi nazwami domen pierwszego poziomu, które najprawdopodobniej nie istnieją. Nazwy zawierają od 7 do 15 liter łacińskich (bez kropek) i służą do wykrywania przekierowania nieistniejących nazw domen przez dostawcę na jego hosta. Jeśli podczas przetwarzania trzech żądań HTTP o losowych nazwach dwa otrzymają przekierowanie na tę samą stronę, Chromium uzna, że użytkownik został przekierowany na stronę strony trzeciej.
Nietypowe rozmiary domen pierwszego poziomu (od 7 do 15 liter) oraz współczynnik powtarzalności zapytań (nazwy były każdorazowo generowane losowo i nie powtarzały się) posłużyły jako znaki izolowające aktywność Chromium od ogólnego przepływu żądań na głównym serwerze DNS.
W logu w pierwszej kolejności filtrowano żądania dotyczące nieistniejących domen (78.09%), następnie wybierano żądania, które powtarzały się nie więcej niż trzykrotnie (51.41%), a następnie filtrowano domeny zawierające od 7 do 15 liter (45.80%) . Co ciekawe, jedynie 21.91% żądań do serwerów root dotyczyło definicji istniejących domen.
W badaniu zbadano także zależność rosnącego obciążenia serwerów root a.root-servers.net i j.root-servers.net od rosnącej popularności przeglądarki Chrome.
W przeglądarce Firefox sprawdzane jest przekierowanie DNS definiowanie przekierowań na strony uwierzytelniające (portal przechwytujący) oraz с naprawiono subdomenę „detectportal.firefox.com” bez żądania nazw domen pierwszego poziomu. To zachowanie nie powoduje dodatkowego obciążenia głównych serwerów DNS, ale potencjalnie może jako wyciek poufnych danych o adresie IP użytkownika (przy każdym uruchomieniu wywoływana jest strona „detectportal.firefox.com/success.txt”). Aby wyłączyć skanowanie w przeglądarce Firefox, dostępne jest ustawienie „network.captive-portal-service.enabled”, które można zmienić na stronie „about:config”.
Źródło: opennet.ru