Oude Chrome-functie verzadigt root-DNS met onbestaande url’s

chrome

Een enkele functie in Chromium blijkt verantwoordelijk voor de helft van alle DNS-queries die bij de root servers terechtkomen. De trafiek is haast vergelijkbaar met een DDoS-aanval.

Een oude beveiligingsfunctie in Chromium is verantwoordelijk voor de helft van de trafiek die DNS-rootservers te slikken krijgen. Dat constateerde beveiligingsonderzoeker Matthew Thomas. DNS rootservers maken deel uit van de ruggengraat van het internet. Dat de helft van het werk dat ze vandaag verzetten het resultaat is van een enkele functie binnen Chrome en andere Chromium-browsers, roept vragen op.

Telefoonboek

Domain name servers zijn als telefoonboeken voor het internet. Ze vertalen de url die jij intypt in een ip-adres waar je browser mee aan de slag kan om een wegpagina te vinden. Het internet vertrouwt op tienduizenden domain name servers, uitgebaat door providers, internetbedrijven zoals Google of Cloudflare en vele anderen.

De servers maken deel uit van een hiërarchie. Een url zal doorgaans voor vertaling naar je provider gaan, waar de DNS meteen het juiste IP-adres kent. Is dat niet het geval, dan stuurt de DNS de aanvraag een trapje hoger naar een server die misschien niet de url zelf weet zijn, maar wel weet welk telefoonboek adressen bevat die bijvoorbeeld eindigen op .be. Helemaal bovenaan de hiërarchie staan enkele duizenden ‘root’-servers. Zonder die root name servers stort het internet in elkaar.

Onbestaande url’s als test

Idealiter komt een aanvraag van een browser zoals gezegd niet bij de rootservers terecht omdat een DNS onderweg het juiste adres al kent. Toch is de trafiek naar de rootservers de laatste jaren erg gestegen. Die stijging is voor de helft te verklaren door een beveiligingsfunctie die sinds 2010 in Chromium zit.

De functie in kwestie beschermt gebruikers van een erg zeldzame aanval waarbij een netwerk zich moeit met de dns-queries van een browser. Het gaat om gevallen waarbij een onbestaande url, het gevolg van bijvoorbeeld een typfout, toch gekoppeld wordt aan een ip-adres. Dat kan dan een pagina van een hacker zijn waarop malware staat. Chromium begint iedere browsersessie door sdrie willekeurige domeinnamen te verzinnen met een lengte van 7 tot 15 tekens. Als twee van die drie nonsens-domeinen toch hetzelfde ip-adres als resultaat opleveren, weet de browser dat er iets niet koosjer is.

Nodeloze escalatie

Het probleem: onbestaande domeinen staan per definitie niet in het DNS-telefoonboek. De aanvragen van de browser worden dus onvermijdelijk geëscaleerd tot de root server op zoek naar een onbestaande IP-link. De populariteit van Chromium maakt dat 50 procent van het werk dat de rootservers vandaag verzetten, gelinkt is aan die ene beveiligingsfunctie binnen Chrome. Thomas stipt aan dat zoiets in eender welke andere context de noemer DDoS-aanval zou meekrijgen.

Het onderzoek brengt aan het licht dat er iets grondig fout loopt met de functie binnen Chromium. Firefox biedt bijvoorbeeld een gelijkaardige bescherming, maar slaagt er in om daar geen rootservers bij te betrekken. Idealiter verandert er binnenkort iets binnen Chromium. De capaciteit van de rootservers volstaat maar dat is geen reden om ze uit te dagen. Een beperkte fout binnen het rootsysteem zorgt er immers al snel voor dat het gros van het internet onbereikbaar wordt.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.
terug naar home