Was ist DNS? Das Domain Name System im Überblick
Das Domain Name System ist Bestandteil des täglichen Surfens im Netz, ohne dass man es überhaupt merkt. Denn mithilfe von DNS werden die Domain-Namen, die Userinnen und User in den Browser eintippen, in Server-IP-Adressen übersetzt, mit denen der Computer arbeiten kann.
Was ist DNS?
Die Abkürzung DNS steht für „Domain Name System“. Mithilfe des DNS werden menschenlesbare Domain-Namen in Server-IP-Adressen umgewandelt. Sobald Sie eine Ihnen bekannte Domain wie z. B. www.ionos.de in Ihren Browser eintippen, durchsucht dieser verschiedene DNS-Server nach dem Domain-Namen. Die Suche startet in der Regel bei dem DNS-Server des Routers. Von dort ausgehend wird eine Reihe weiterer DNS-Server so lange nach dem gewünschten Domain-Namen durchsucht, bis dieser gefunden wird.
Am Fundort findet Ihr Browser dann die korrespondierende IP-Adresse, über die er schließlich eine Verbindung zur gewünschten Website aufbauen kann. Das Domain Name System wird also benötigt, um in einem Netzwerk ohne Wissen um die jeweiligen IP-Adressen zu kommunizieren.
Wie funktioniert das Domain Name System?
Vielfach wird das Domain Name System auch als „Telefonbuch des Internets“ bezeichnet. Das kommt nicht von ungefähr, sondern zielt direkt auf die Funktionsweise von DNS ab, passende IP-Adressen zu gegebenen Domain-Namen herauszusuchen. Dieser Prozess wird als DNS-Namensauflösung bezeichnet und lässt sich schrittweise nachvollziehen:
- Sie geben eine beliebige Webadresse in die Suchzeile Ihres Browsers ein.
- Die Suche wird an einen DNS-Resolver weitergeleitet, der in der Regel von Ihrem Internetanbieter verwaltet wird.
- Der DNS-Resolver leitet die Suche an einen DNS-Server weiter und wird an einen weiteren DNS-Server verwiesen.
- Der DNS-Resolver wird so lange auf verschiedene DNS-Server weitergeleitet, bis er den Namen der Webadresse gefunden hat.
- Der finale Server durchsucht seine Einträge, bis er die entsprechende IP-Adresse gefunden hat, und gibt diese an den DNS-Resolver zurück.
- Der DNS-Resolver liefert die IP-Adresse an den Webbrowser. Dieser ruft die zugehörige Website auf.
Bei der Namensauflösung spielen also verschiedene Komponenten wie der DNS-Resolver und unterschiedliche Nameserver eine Rolle. Beim DNS-Resolver handelt es sich grob gesagt um das Programm, das den Prozess der Namensauflösung steuert und die notwendigen Informationen aus dem Domain Name System besorgt. Um nachzuvollziehen, ob die Namensauflösung richtig funktioniert, kann das Kommandozeilentool nslookup hilfreich sein.
Welche Server kommen bei DNS zum Einsatz?
Man kann zwischen verschiedenen Nameservern unterscheiden, die bei der Namensauflösung eine Rolle spielen:
- DNS-Root-Server: Bei Root-Servern handelt es sich um autoritative Nameserver, die im Normalfall eine Liste mit weiteren autoritativen Nameservern für eine bestimmte Top-Level-Domain zurückgeben.
- TLD-Nameserver: Der TLD-Server reagiert in Abhängigkeit von der jeweiligen Top-Level-Domain. Wenn Sie nach www.ionos.de suchen, antwortet ein TLD-Nameserver für die Domain-Endung .de.
- Autoritative Nameserver: Autoritative Nameserver sind für eine DNS-Zone, also für eine individuelle Domain oder Unterdomain, verantwortlich. Die Informationen, die autoritative Nameserver liefern, sind verbindlich. Man unterscheidet zwischen Primary und Secondary DNS.
- Nichtautoritative Nameserver: Nichtautoritative Nameserver beziehen ihre Informationen von anderen, autoritativen Nameservern.
Es kann auch passieren, dass ein DNS-Server mal nicht antwortet. In diesem Fall sollten Sie z. B. versuchen, Ihren Webbrowser zu wechseln, die Firewall vorübergehend zu deaktivieren oder Ihren Router neu zu starten.
Kritik am Domain Name System
Obwohl das DNS für den täglichen Netzverkehr eine große Rolle spielt, hat das System auch Schwachstellen. Eines der größten Probleme des DNS sind seine Sicherheitslücken. Da DNS-Server die zu einer Domain gehörigen IP-Adressen unverschlüsselt speichern und grundsätzlich an jeden weitergeben, der danach fragt, sind sie ein ideales Ziel für Cyberkriminelle.
Auch DNS Leaks sind ein Problem, mit dem sich Nutzerinnen und Nutzer, die ihr Surfverhalten gerne privat halten möchten, konfrontiert sehen. Statt über das VPN wird eine DNS-Anfrage im Falle eines Leaks ungeschützt zu einem Nameserver geschickt.
Das DNS kann außerdem im Hinblick auf ein freies, unzensiertes Internet für Probleme sorgen. Erst kürzlich ordnete das russische Digitalisierungsministerium beispielsweise an, alle inländisch verfügbaren Internetdienste über russische DNS-Server zu leiten, sodass ausländische Websites gesperrt werden. So ist es autoritären Regierungen möglich, den gesamten Netzverkehr zu überwachen. Eine Zensur durch das DNS ist ebenfalls denkbar, wenn z. B. eine bestimmte Top-Level-Domain gesperrt würde. Auch die Internetprovider können den Zugriff auf bestimmte Websites sperren, um staatliche Zensurvorgaben umzusetzen.
DNS-Erweiterungen im Überblick
Es gibt eine Reihe von DNS-Erweiterungen, mit deren Hilfe das Domain Name System zusätzliche Funktionen erhält:
- DynDNS oder DDNS: DynDNS bzw. dynamisches DNS soll dafür sorgen, die Domains im Domain Name System regelmäßig und automatisiert zu aktualisieren. Sobald ein Computer also seine IP-Adresse ändert, soll diese Änderung im zugehörigen DNS-Record erfasst werden.
- Extended DNS: Verschiedene Protokollerweiterungen von DNS wurden zu Extended DNS zusammengefasst. Die Erweiterung ist insbesondere für den Transport von UDP-Paketen essenziell.
- DNSSEC: Eine Erweiterung in Sachen Sicherheit bietet DNSSEC. Mithilfe von DNSSEC soll verhindert werden, dass Hackerinnen und Hacker in die DNS-Namensauflösung eingreifen. Hierfür setzt die Erweiterung asymmetrische Verschlüsselung ein.
Gefahren bei DNS-Abfragen
Für die Netzwerksicherheit kann ein veraltetes oder schlecht gepflegtes DNS problematisch sein. Eine beliebte Angriffsstrategie ist das DNS-Hijacking. Hier wird der Nameserver von Hackerinnen oder Hackern kontrolliert und Sie werden auf eine Seite weitergeleitet, die Sie ursprünglich gar nicht besuchen wollten. In Kombination mit Pharming oder Phishing probieren die Angreiferinnen und Angreifer dann häufig, Ihre sensiblen Daten zu erfassen. Denkbar ist auch, dass die Seiten, zu denen Sie weitergeleitet wurden, Ihren Rechner mit schädlicher Malware infizieren sollen.
Auch das DNS-Spoofing ist eine reelle Gefahr, die bei einer DNS-Abfrage besteht. Hier wird kein ganzer Nameserver kontrolliert, sondern lediglich die Namensauflösung manipuliert. Das bedeutet, dass Sie nicht die korrekte IP-Adresse erhalten, sondern der DNS-Record so verändert wurde, dass eine von den Angreiferinnen und Angreifern kontrollierte IP-Adresse zurückgeliefert wird. Die Seite, auf die Sie gelangen, sieht auf den ersten Blick legitim aus. Das Einzige, was ihr fehlt, ist ein Sicherheitszertifikat.
DNS-Abfragen: Rekursiv und iterativ
Bei der Namensauflösung sorgen verschiedene Arten von DNS-Abfragen dafür, dass die richtigen Informationen abgefragt werden:
- Rekursive Abfrage: Der Computer fordert eine IP-Adresse an oder die Bestätigung, dass der Nameserver diese IP-Adresse nicht kennt.
- Iterative Abfrage: Iterative Abfragen treten am häufigsten auf. Hierbei fordert der Computer die bestmögliche Antwort beim DNS-Server an. Kennt der Server die zugehörige Adresse nicht, leitet er die antragstellende Person an autoritative Nameserver weiter.
DNS-Records: A, CNAME, TXT und MX
Bei den DNS-Records handelt es sich wichtige Einträge eines DNS-Servers. Sie geben an, zu welcher Zieladresse ein bestimmter Domain-Name gehört. Man unterscheidet verschiedene Arten von DNS-Records:
- A-Records: A-Records sind die verbreitetsten DNS-Records. Sie weisen einer Domain eine IPv4-Adresse zu und werden dazu verwendet, eine Domain auf einen Webserver zu verweisen.
- CNAME-Records: Diese Art von Records wird verwendet, um eine Subdomain einer übergeordneten Domain zuzuweisen.
- TXT-Records: Mithilfe von TXT-Records kann man einer Domain beliebigen Text zuweisen.
- MX-Records: MX-Records werden genutzt, um eine beliebige Domain einem E-Mail-Dienst zuzuordnen.