Korzystasz z przeglądarki Chrome? Zauważyłeś, że od czasu do czasu Twój komputer próbuje się łączyć z dziwnymi domenami?
Domeny te składają się z samych liter i są różnej długości – od 7 do 15 znaków?
Obawiasz się, że na Twoim komputerze znajduje się złośliwe oprogramowanie?
Mam dobrą wiadomość. Nic się nie dzieje, to standardowe zachowanie przeglądarki.
Ale dlaczego wykonuje ona takie dziwne operacje? #od0dopentestera
Omnibox to pasek, w którym możemy podać dokładny adres strony (https://szurek.pl), bądź też słowo kluczowe, które zostanie przekazane do wyszukiwarki.
Normalnie domena internetowa składa się z dwóch części – nazwy głównej oraz rozszerzenia – a więc teoretycznie, w Internecie nie może istnieć domena składająca się wyłącznie z samych liter, która nie kończy się kropką i rozszerzeniem.
Dla przykładu domena: test, intranet, jira.
I rzeczywiście, w publicznym Internecie nie jest to prawidłowa nazwa domenowa.
Ale taki adres może istnieć w pewnej określonej infrastrukturze, na przykład w Twojej firmie – ponieważ korzystasz tam z firmowego serwera DNS, który będzie rozpoznawał takie wewnętrzne domeny.
I tu pojawia się problem: co robić, jeżeli użytkownik wpisze frazę (np. intranet), która może być równocześnie wewnętrzną domeną lub też słowem kluczowym, które chce znaleźć w Google?
Chrome przekazuje ten wyraz do wyszukiwarki. Ale w tle wysyła zapytanie do serwera DNS.
Jeżeli otrzyma odpowiedź, że taka domena istnieje – poniżej paska omnibox wyświetla komunikat: Czy chodziło o przejście do witryny: http://intranet.
Niestety, to rozwiązanie nie zawsze działa prawidłowo. Na świecie istnieją dostawcy Internetu, którzy używają techniki NXDomain hijacking.
Polega ona na tym, że serwer DNS zwraca odpowiedź dla każdej domeny – nawet takiej, która nie istnieje i nie jest zarejestrowana.
Przez to za każdym razem gdy użytkownik wpisuje w pole omnibox wyraz, który chce znaleźć w wyszukiwarce – równocześnie wyświetla mu się komunikat: „czy chodziło o przejście do witryny x”.
Dlaczego? Przeglądarka wysyła zapytanie do serwera DNS. Serwer odpowiada, że taka domena istnieje. Chrome więc wyświetla dodatkową informację użytkownikowi.
Jak rozwiązano ten problem? Przeglądarka za każdym razem gdy jest uruchamiana – generuje 3 losowe domeny, z których każda składa się z od 7 do 15 małych liter.
Jeżeli otrzyma odpowiedź od serwera DNS, że takie domeny istnieją – wie, że nie ma sensu wyświetlać okienka „Czy chodziło o przejście do witryny”.
Czy tą funkcję można jakoś wyłączyć?
W przypadku Chrome Enterprise – skorzystaj z opcji DNSInterceptionChecksEnabled.
Kod źródłowy funkcji odpowiedzialnej za generowanie losowych domen znajdziesz tutaj.
Subskrybuj kanał na YouTube
Chcesz otrzymywać takie materiały na swój email? Dołącz do newslettera.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Korzystasz z Discorda? Zapraszam do rozmów na naszym kanale.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
#gruparatowaniapoziomu #ciekawostki #informatyka #nauka #swiat #technologia #zainteresowania #bezpieczenstwo #komputery #technologia #webdev