Anmelden
Benutzerkonto erstellen
Heinrich Kley: Wettrennen
(Bild: gemeinfrei)
Spezialisierte Registrare investieren Millionen in den Wettlauf um Internetdomains, die abgelaufen sind und freigegeben werden. Wie ein Studie zeigt, fluten sie mittels Briefkastenfirmen die Registry-Server mit Bestellversuchen.
Täglich werden Hunderttausende Internetdomains frei. Viele werden von so genannten Drop-Catch-Diensten sofort wieder registriert. Noch am ersten Tag wird jede zehnte freigewordene .com-Domain so neu besetzt, der Großteil davon innerhalb einer Minute. Das zeigt eine Studie des Seclab der Bostoner Northeastern University über die Zonen .com, .net, .org, .biz und .name. Die Studie wurde im August auf der Usenix Security in Vancouver präsentiert wurde.
Drop-Catch am Beispiel der .org-Zone 
Bild: Tobias Lauinger et al Demnach sind drei Viertel aller zugelassenen Registrare auf Drop-Catch spezialisiert. Ähnlich wie High-Frequency-Trader stellen sie ihre Server möglichst nahe an die Zielserver der Registry. Und sie versuchen, den genauen Zeitpunkt zu erraten, an dem eine gewünschte Domain freigegeben wird. Rund um diesen Zeitpunkt probieren sie dann auf Teufel komm raus, die Domain zu ergattern.
Das schlägt fast immer fehl, weil die Anfrage zu früh oder zu spät kommt. Damit sorgen sie dafür, dass 99,9 Prozent aller Versuche, eine .com-Domain zu registrieren, fehlschlagen.
Viele Briefkastenregistrare
Die Präsentationsfolie zeigt die größten Cluster von Drop-Catch-Registraren.
Bild: Tobias Lauinger et al Die Zahl der echten Drop-Catch-Betreiber ist aber gar nicht so groß, wie es auf dem Papier scheint. Domainregistries müssen ihre Server davor schützen, in Milliarden Anfragen unterzugehen. Daher beschränken sie die Zahl der Zugriffe pro Registrar. Als Reaktion darauf haben die Drop-Catch-Registrare viele "Briefkastenregistrare" gegründet. Zwar kostet sie das Millionen an Gebühren, dafür können sie dann, auf ihre Tochterunternehmen verteilt, ein Vielfaches an Registrierungsanfragen stellen.
Die in der zweiten Jahreshälfte 2016 durchgeführte Studie hat nicht weniger als 1.252 Briefkastenregistrare von DropCatch.com gefunden. Die Firmennamen waren im Format "DropCatch.com n LLC" durchnummeriert. Auf jeweils rund 500 Briefkastenregistrare bringen es demnach Pheenix.com und SnapNames.com. Zusammen stellen sie damit drei Viertel aller Registrare, besorgen aber nur acht Prozent der Registrierungen in den fünf Zonen.
Fehlgeleitetes Vertrauen
Im August 2016 wurden 2,2 Millionen .com-Domains frei. Davon wurden 10,1% noch am selben Tag neu registriert. Danach tat sich wenig. Es dauerte etwa ein Monat, bis die nächsten fünf Prozent erneut registriert wurden. Bei .net wurden 6,6% der freigegebenen Domains noch am selben Tag neu vergeben, bei .org 4,7% und bei .biz immerhin noch 1,8%. Regelmäßig spielt sich das Geschehen vor allem in der ersten Minute ab.
Das Domainrecycling hat Nachteile für Dritte, die auf die vermeintlich bekannte Domain vertrauen. Sie wissen nichts vom Inhaberwechsel und schicken E-Mails, die dann in falsche Hände geraten, oder rufen eine Webseite auf, die oft nervtötende Werbung zeigt und im schlimmsten Fall sogar mit Schadcode verseucht ist oder Zugangsdaten abphisht. Das wird dadurch erleichtert, dass Domain-bezogene Browsereinstellungen üblich sind
Intransparenz erhöht Sicherheitsrisiko
Besonders unangenehm sind diesbezüglich Domains, die noch vor der Freigabe ohne Zustimmung des bisherigen Inhabers verhökert werden. Diverse Registrare machen sich eine Übergangsfrist zwischen Ablaufdatum und Freigabedatum zu nutze, die eigentlich dem Schutz des bisherigen Inhabers dienen soll: Er soll auch nach verstreichen des Ablaufdatums die Chance haben, seine Domain zu verlängern.
Canada Place ist Vancouvers bekanntestes Wahrzeichen. In der Pazifikstadt fand dieses Jahr die 26. Usenix Security statt.
Bild: Daniel AJ Sokolov Doch nicht wenige Registrare verkaufen während dieser Phase die Domains ihrer Kunden meistbietend. Dabei wird die Domain technisch gesehen gar nicht freigegeben, weshalb sich das Datum der erstmaligen Registrierung in der Whois-Datenbank nicht ändert. Selbst ein Blick in die Whois-Daten verrät also nicht unbedingt, dass nun jemand anderer die Domain kontrolliert.
Die Studienautoren fordern daher mehr Transparenz: Registrare sollten dazu verpflichtet werden, Inhaberwechsel offenzulegen. Diese Daten könnten dann dazu benutzt werden, um Domains von Whitelists zu entfernen, um Domain-bezogene Browsereinstellungen zurückzusetzen und anderswo gesetzte Links zu löschen. Das würde natürlich zu weniger Traffic zu den betroffenen Domains führen, weshalb die einschlägig tätigen Firmen wohl geringes Interesse an solcher Transparenz haben.
Domaintasting ist out, außer vielleicht bei SnapNames.com
Das früher weit verbreitete "Verkosten" von .com-Domains ("Domain Tasting") ist übrigens stark zurückgegangen. Bis zu fünf Tage nach Neuregistrierung einer .com-Domain kann diese bei voller Gebührenrückerstattung storniert werden. Das war insbesondere für die Bereinigung von Tippfehlern gedacht, führte aber zu Missbrauch: Viele Domains wurden nur registriert, um den dort auflaufenden Traffic zu messen. Nur gut besuchte Domains wurden behalten, der Rest storniert.
Doch seit 2008 bestraft ICANN Registrare, die eine hohe Rückgabequote aufweisen. Das hat das Domaintasting stark eingeschränkt. Die Studie hat ergeben, dass nur 2,1% der am Tag der Freigabe erneut registrierten .com-Domains innerhalb der Rückgabefrist von fünf Tagen wieder gelöscht werden. Und 98 Prozent dieser Rückläufer kamen von SnapNames.com zugeordneten Registraren.
- Das Paper "Game of Registrars: An Empirical Analysis of Post-Expiration Domain Name Takeovers"
Nach oben
Melden
News
Leaks
Classic Hacking
Favoured Toolbase
