Реєстратор APNIC, що відповідає за розподіл IP-адрес в Азіатсько-Тихоокеанському регіоні, результати аналізу розподілу трафіку на одному із кореневих DNS-серверів a.root-servers.net. 45.80% запитів до кореневого сервера пов'язані з перевірками, що виконуються браузерами на основі двигуна Chromium. Таким чином, майже половина ресурсів кореневих DNS-серверів йде на виконання діагностичних перевірок Chromium, а не на обробку запитів від DNS-серверів при визначенні кореневих зон. З урахуванням того, що Chrome займає 70% ринку web-браузерів, подібна діагностична активність призводить до надсилання близько 60 мільярдів запитів до кореневих серверів на день.
Діагностичні перевірки використовуються у Chromium для визначення застосування провайдерами сервісів, які перенаправляють запити до неіснуючих імен на свої обробники. Подібні системи впроваджуються деякими провайдерами для направлення на себе трафіку до доменних імен, введених з помилкою - як правило, для неіснуючих доменів показуються сторінки з попередженням про помилку, пропозицією списку вірних імен і рекламою. При цьому подібна активність повністю руйнує логіку визначення інтранет-хостів у браузері.
Під час обробки пошукового запиту, введеного в адресному рядку, якщо введено лише одне слово без точок, браузер спочатку визначити це слово в DNS, вважаючи, що користувач може намагатися звернутися до сайту інтранет у внутрішній мережі, а не надсилає запит пошуковій системі. Якщо провайдер перенаправляє на себе запити до неіснуючих доменних імен, у користувачів виникає проблема - будь-які пошукові запити з одного слова, введені в адресному рядку, починають перенаправлятися на сторінки провайдера, а не прямувати до пошукової системи.
Для вирішення проблеми розробники Chromium додали в браузер , які у разі виявлення перенаправлень змінюють логіку обробки запитів адресному рядку.
При кожному запуску, зміні налаштувань DNS або зміні IP-адреси браузер відправляє три запити DNS з випадковими іменами доменів першого рівня, які з високою ймовірністю не існують. Імена включають від 7 до 15 латинських букв (без крапок) і використовуються для виявлення перенаправлення неіснуючих доменних імен провайдером на свій хост. Якщо при обробці трьох HTTP-запитів з випадковими іменами для двох буде отримано редирект на ту саму сторінку, Chromium вважає, що користувач перекинутий на сторонню сторінку.
Як ознаки для виділення активності Chromium із загального потоку запитів на кореневому DNS-сервері були використані нетипові розміри домену першого рівня (від 7 до 15 літер) та фактор повторюваності запитів (імена щоразу генерувалися випадково і не повторювалися).
У лозі були спочатку відфільтровані запити неіснуючих доменів (78.09%), потім виділені запити, що повторюються трохи більше трьох разів (51.41%), та був відфільтровані домени, які включають від 7 до 15 букв (45.80%). Цікаво, що лише 21.91% запитів до кореневих серверів пов'язані з визначенням існуючих доменів.
У ході дослідження також було вивчено залежність зростання навантаження на кореневі сервери a.root-servers.net та j.root-servers.net від зростання популярності Chrome.
Firefox перевіряє перенаправлення через DNS визначенням переадресації на сторінки аутентифікації (captive portal) та с фіксованого піддомена "detectportal.firefox.com", без запиту доменних імен першого рівня. Подібна поведінка не створює додаткового навантаження на кореневі DNS-сервери, але потенційно може як витік конфіденційних даних про IP-адресу користувача (при кожному запуску запитується сторінка "detectportal.firefox.com/success.txt"). Для відключення перевірки Firefox передбачено налаштування «network.captive-portal-service.enabled», яке можна змінити на сторінці «about:config».
Джерело: opennet.ru