DNS
17.10.2017, 14:47 Uhr
Google Chrome und die seltsamen DNS-Anfragen
Wer als Google-Chrome-Nutzer mal ein lokales Traffic-Logging-Tool installiert, dürfte im Logfile auf sehr merkwürdige DNS-Anfragen stossen. Was ist da los?
Angenommen, Sie installierten ein Tool, das in der Lage ist, den Netzwerkverkehr auf Ihrem Gerät aufzuzeichnen. Geeignet wären hierfür beispielsweise Wireshark auf dem PC oder etwas wie Adguard auf dem Android-Smartphone. Falls Google Chrome auf demselben Gerät benutzt wird, dürften in der resultierenden Logdatei viele höchst fragwürdige DNS-Abfragen auftauchen, zum Beispiel zu Nonsense-Domains wie «dns://yuxswhxd/» oder «dns://eytdvtlxpxkr/». Man dürfte auch herausfinden, dass es Google Chrome ist, das diese unsinnigen DNS-Abfragen zu nicht existierenden Domains durchführt.
Was ist denn der Zweck dieser Übung? Beim Internet Storm Center hat sich jemand bereits einmal Gedanken darüber gemacht und erhellende Antworten publiziert. Der englischsprachige Originalartikel ist hier zu lesen.
Kurz übersetzend und zusammenfassend: Es gibt verschiedene Gründe für sinnlose DNS-Abfragen eines Browsers.
Aber was ist eine DNS-Abfrage? DNS steht für Domain Name Service und ist der Grund, warum wir uns keine komplizierten IP-Adressen merken müssen, sondern für die Webadressen etwas einfacher zu merkende Domainnamen verwenden dürfen. Angenommen, Sie beauftragen Ihren Webbrowser, jetzt eine Webadresse wie www.pctipp.ch aufzurufen. Ihr Browser bzw. die Netzwerkmodule Ihres Computers starten eine Abfrage beim in der Netzwerkkonfiguration hinterlegten Domainnamensserver; das ist meistens jener Ihres Internetproviders. Der schaut nach, unter welcher IP-Adresse denn dieses «pctipp.ch» erreichbar ist, und meldet die IP an den anfragenden PC zurück. Der gibt die Info an den Browser weiter, der sich jetzt die Webseite unter der genannten IP-Adresse holt. All dies ist inzwischen eine Frage von Sekundenbruchteilen.
Sie können sich nun bestimmt vorstellen, dass es nicht viel braucht, um den Nutzer mit gefälschten Domainnamensservern auf falsche Seiten zu lotsen. Es gibt Schädlinge, die Domainnamensanfragen umbiegen und falsche IP-Adressen zurückmelden. Das bedeutet, dass ein Nutzer dadurch nicht bei «meinebank.ch» landet, wenn er «meinebank.ch» eingibt, sondern vielleicht auf einer Phishing-Seite. Wer das DNS-Prinzip versteht, dem ist klar, dass kuriose DNS-Anfragen in einem Logfile ein paar Fragen aufwerfen. Aber nicht alles, was kurios ist, muss zwangsläufig böse sein.
Prefetching: Zum einen gibt es natürlich Prefetching, was übrigens viele Browser machen. Sie versuchen, dem User jede Zehntelssekunde Wartezeit zu sparen. Beim Start des Browsers oder beim Aufrufen einer Websuche führt Chrome Domainabfragen zu früher besuchten Websites durch sowie für jene, die im Resultat zur gerade durchgeführte Websuche erscheinen. Dies mit dem einfachen Grund, die IP-Adressen jener Sites schon parat zu haben, die der Nutzer wohl als Nächstes besuchen könnte.
Malware-Check: In diese vorab durchgeführten DNS-Abfragen mischt Chrome auch welche mit frei erfundenen, garantiert nicht existierenden Domains. Dies um zu testen, ob jemand oder etwas in Ihrer Netzwerkverbindung die DNS-Angaben manipuliert. Bei diesen ungültigen Angaben muss ein vernünftiger DNS zurückmelden, dass es die Domain nicht gibt. Suspekt wäre ein DNS, der hier eine gültige IP zurückliefert.
Kleine Einschränkung: Auch das muss nicht zwingend kriminell sein. Es gibt Provider, die es «gut meinen» und die den Nutzer bei allen Domains, die der DNS gerade nicht findet, mal präventiv auf die providereigene Homepage schicken. Das ist höchstens seltsam und vielleicht etwas nervig.
Getippte Adressen: Eine weitere Ursache für überflüssige und völlig sinnlose DNS-Abfragen seitens Google Chrome sind die Adressen, die Sie jetzt gerade in die Adresszeile eintippen. Chrome versucht nämlich immer, unverzüglich die DNS-Abfrage parat zu haben, sobald die in der Adresszeile eingetippten paar Zeichen eine gültige Domain sein könnten.
Die oben erwähnte Webseite des Internet Storm Centers «ics.sans.org» liefert gleich selbst ein gutes Beispiel dafür. Fangen Sie mal an, die Adresse einzutippen. Spätestens, wenn die Zeichen ics.sa in der Adressleiste stehen, könnte dies bereits eine gültige Domain (mit Endung .sa, also in Saudiarabien) sein. Chrome semmelt los und holt sich für ics.sa via DNS-Abfrage die passende IP. Nur um festzustellen, dass Sie weitertippen und dass die vollständige Adresse ics.sans.org heisst. Wieder eine DNS-Anfrage vergeblich gemacht.
Infos über die Prefetch-Funktionen von Google Chrome gibts auch hier (in Englisch).