Das Domain Name System ist Be­stand­teil des täglichen Surfens im Netz, ohne dass man es überhaupt merkt. Denn mithilfe von DNS werden die Domain-Namen, die Userinnen und User in den Browser eintippen, in Server-IP-Adressen übersetzt, mit denen der Computer arbeiten kann.

Kos­ten­lo­ses DNS Hosting
Top Website-La­de­zei­ten mit kos­ten­lo­sem DNS
  • Schnel­le­re Domain-Auflösung für op­ti­mier­te La­de­zei­ten
  • Zu­sätz­li­cher Schutz gegen Ausfälle und Un­ter­bre­chun­gen
  • Kein Domain-Umzug notwendig

Was ist DNS?

Die Abkürzung DNS steht für „Domain Name System“. Mithilfe des DNS werden men­schen­les­ba­re Domain-Namen in Server-IP-Adressen um­ge­wan­delt. Sobald Sie eine Ihnen bekannte Domain wie z. B. www.ionos.de in Ihren Browser eintippen, durch­sucht dieser ver­schie­de­ne DNS-Server nach dem Domain-Namen. Die Suche startet in der Regel bei dem DNS-Server des Routers. Von dort ausgehend wird eine Reihe weiterer DNS-Server so lange nach dem ge­wünsch­ten Domain-Namen durch­sucht, bis dieser gefunden wird.

Am Fundort findet Ihr Browser dann die kor­re­spon­die­ren­de IP-Adresse, über die er schließ­lich eine Ver­bin­dung zur ge­wünsch­ten Website aufbauen kann. Das Domain Name System wird also benötigt, um in einem Netzwerk ohne Wissen um die je­wei­li­gen IP-Adressen zu kom­mu­ni­zie­ren.

Wie funk­tio­niert das Domain Name System?

Vielfach wird das Domain Name System auch als „Te­le­fon­buch des Internets“ be­zeich­net. Das kommt nicht von ungefähr, sondern zielt direkt auf die Funk­ti­ons­wei­se von DNS ab, passende IP-Adressen zu gegebenen Domain-Namen her­aus­zu­su­chen. Dieser Prozess wird als DNS-Na­mens­auf­lö­sung be­zeich­net und lässt sich schritt­wei­se nach­voll­zie­hen:

  1. Sie geben eine beliebige Web­adres­se in die Suchzeile Ihres Browsers ein.
  2. Die Suche wird an einen DNS-Resolver wei­ter­ge­lei­tet, der in der Regel von Ihrem In­ter­net­an­bie­ter verwaltet wird.
  3. Der DNS-Resolver leitet die Suche an einen DNS-Server weiter und wird an einen weiteren DNS-Server verwiesen.
  4. Der DNS-Resolver wird so lange auf ver­schie­de­ne DNS-Server wei­ter­ge­lei­tet, bis er den Namen der Web­adres­se gefunden hat.
  5. Der finale Server durch­sucht seine Einträge, bis er die ent­spre­chen­de IP-Adresse gefunden hat, und gibt diese an den DNS-Resolver zurück.
  6. Der DNS-Resolver liefert die IP-Adresse an den Web­brow­ser. Dieser ruft die zu­ge­hö­ri­ge Website auf.

Bei der Na­mens­auf­lö­sung spielen also ver­schie­de­ne Kom­po­nen­ten wie der DNS-Resolver und un­ter­schied­li­che Name­ser­ver eine Rolle. Beim DNS-Resolver handelt es sich grob gesagt um das Programm, das den Prozess der Na­mens­auf­lö­sung steuert und die not­wen­di­gen In­for­ma­tio­nen aus dem Domain Name System besorgt. Um nach­zu­voll­zie­hen, ob die Na­mens­auf­lö­sung richtig funk­tio­niert, kann das Kom­man­do­zei­len­tool nslookup hilfreich sein.

Welche Server kommen bei DNS zum Einsatz?

Man kann zwischen ver­schie­de­nen Name­ser­vern un­ter­schei­den, die bei der Na­mens­auf­lö­sung eine Rolle spielen:

  • DNS-Root-Server: Bei Root-Servern handelt es sich um au­to­ri­ta­ti­ve Name­ser­ver, die im Nor­mal­fall eine Liste mit weiteren au­to­ri­ta­ti­ven Name­ser­vern für eine bestimmte Top-Level-Domain zu­rück­ge­ben.
  • TLD-Name­ser­ver: Der TLD-Server reagiert in Ab­hän­gig­keit von der je­wei­li­gen Top-Level-Domain. Wenn Sie nach www.ionos.de suchen, antwortet ein TLD-Name­ser­ver für die Domain-Endung .de.
  • Au­to­ri­ta­ti­ve Name­ser­ver: Au­to­ri­ta­ti­ve Name­ser­ver sind für eine DNS-Zone, also für eine in­di­vi­du­el­le Domain oder Un­ter­do­main, ver­ant­wort­lich. Die In­for­ma­tio­nen, die au­to­ri­ta­ti­ve Name­ser­ver liefern, sind ver­bind­lich. Man un­ter­schei­det zwischen Primary und Secondary DNS.
  • Nicht­au­to­ri­ta­ti­ve Name­ser­ver: Nicht­au­to­ri­ta­ti­ve Name­ser­ver beziehen ihre In­for­ma­tio­nen von anderen, au­to­ri­ta­ti­ven Name­ser­vern.
Tipp

Es kann auch passieren, dass ein DNS-Server mal nicht antwortet. In diesem Fall sollten Sie z. B. versuchen, Ihren Web­brow­ser zu wechseln, die Firewall vor­über­ge­hend zu de­ak­ti­vie­ren oder Ihren Router neu zu starten.

Kritik am Domain Name System

Obwohl das DNS für den täglichen Netz­ver­kehr eine große Rolle spielt, hat das System auch Schwach­stel­len. Eines der größten Probleme des DNS sind seine Si­cher­heits­lü­cken. Da DNS-Server die zu einer Domain gehörigen IP-Adressen un­ver­schlüs­selt speichern und grund­sätz­lich an jeden wei­ter­ge­ben, der danach fragt, sind sie ein ideales Ziel für Cy­ber­kri­mi­nel­le.

Auch DNS Leaks sind ein Problem, mit dem sich Nut­ze­rin­nen und Nutzer, die ihr Surf­ver­hal­ten gerne privat halten möchten, kon­fron­tiert sehen. Statt über das VPN wird eine DNS-Anfrage im Falle eines Leaks un­ge­schützt zu einem Name­ser­ver geschickt.

Das DNS kann außerdem im Hinblick auf ein freies, un­zen­sier­tes Internet für Probleme sorgen. Erst kürzlich ordnete das russische Di­gi­ta­li­sie­rungs­mi­nis­te­ri­um bei­spiels­wei­se an, alle in­län­disch ver­füg­ba­ren In­ter­net­diens­te über russische DNS-Server zu leiten, sodass aus­län­di­sche Websites gesperrt werden. So ist es au­to­ri­tä­ren Re­gie­run­gen möglich, den gesamten Netz­ver­kehr zu über­wa­chen. Eine Zensur durch das DNS ist ebenfalls denkbar, wenn z. B. eine bestimmte Top-Level-Domain gesperrt würde. Auch die In­ter­net­pro­vi­der können den Zugriff auf bestimmte Websites sperren, um staat­li­che Zen­sur­vor­ga­ben um­zu­set­zen.

DNS-Er­wei­te­run­gen im Überblick

Es gibt eine Reihe von DNS-Er­wei­te­run­gen, mit deren Hilfe das Domain Name System zu­sätz­li­che Funk­tio­nen erhält:

  • DynDNS oder DDNS: DynDNS bzw. dy­na­mi­sches DNS soll dafür sorgen, die Domains im Domain Name System re­gel­mä­ßig und au­to­ma­ti­siert zu ak­tua­li­sie­ren. Sobald ein Computer also seine IP-Adresse ändert, soll diese Änderung im zu­ge­hö­ri­gen DNS-Record erfasst werden.
  • Extended DNS: Ver­schie­de­ne Pro­to­koll­er­wei­te­run­gen von DNS wurden zu Extended DNS zu­sam­men­ge­fasst. Die Er­wei­te­rung ist ins­be­son­de­re für den Transport von UDP-Paketen es­sen­zi­ell.
  • DNSSEC: Eine Er­wei­te­rung in Sachen Si­cher­heit bietet DNSSEC. Mithilfe von DNSSEC soll ver­hin­dert werden, dass Ha­cke­rin­nen und Hacker in die DNS-Na­mens­auf­lö­sung ein­grei­fen. Hierfür setzt die Er­wei­te­rung asym­me­tri­sche Ver­schlüs­se­lung ein.

Gefahren bei DNS-Abfragen

Für die Netz­werk­si­cher­heit kann ein ver­al­te­tes oder schlecht ge­pfleg­tes DNS pro­ble­ma­tisch sein. Eine beliebte An­griffs­stra­te­gie ist das DNS-Hijacking. Hier wird der Name­ser­ver von Ha­cke­rin­nen oder Hackern kon­trol­liert und Sie werden auf eine Seite wei­ter­ge­lei­tet, die Sie ur­sprüng­lich gar nicht besuchen wollten. In Kom­bi­na­ti­on mit Pharming oder Phishing probieren die An­grei­fe­rin­nen und Angreifer dann häufig, Ihre sensiblen Daten zu erfassen. Denkbar ist auch, dass die Seiten, zu denen Sie wei­ter­ge­lei­tet wurden, Ihren Rechner mit schäd­li­cher Malware in­fi­zie­ren sollen.

Auch das DNS-Spoofing ist eine reelle Gefahr, die bei einer DNS-Abfrage besteht. Hier wird kein ganzer Name­ser­ver kon­trol­liert, sondern lediglich die Na­mens­auf­lö­sung ma­ni­pu­liert. Das bedeutet, dass Sie nicht die korrekte IP-Adresse erhalten, sondern der DNS-Record so verändert wurde, dass eine von den An­grei­fe­rin­nen und An­grei­fern kon­trol­lier­te IP-Adresse zu­rück­ge­lie­fert wird. Die Seite, auf die Sie gelangen, sieht auf den ersten Blick legitim aus. Das Einzige, was ihr fehlt, ist ein Si­cher­heits­zer­ti­fi­kat.

DNS-Abfragen: Rekursiv und iterativ

Bei der Na­mens­auf­lö­sung sorgen ver­schie­de­ne Arten von DNS-Abfragen dafür, dass die richtigen In­for­ma­tio­nen abgefragt werden:

  • Rekursive Abfrage: Der Computer fordert eine IP-Adresse an oder die Be­stä­ti­gung, dass der Name­ser­ver diese IP-Adresse nicht kennt.
  • Iterative Abfrage: Iterative Abfragen treten am häu­figs­ten auf. Hierbei fordert der Computer die best­mög­li­che Antwort beim DNS-Server an. Kennt der Server die zu­ge­hö­ri­ge Adresse nicht, leitet er die an­trag­stel­len­de Person an au­to­ri­ta­ti­ve Name­ser­ver weiter.

DNS-Records: A, CNAME, TXT und MX

Bei den DNS-Records handelt es sich wichtige Einträge eines DNS-Servers. Sie geben an, zu welcher Ziel­adres­se ein be­stimm­ter Domain-Name gehört. Man un­ter­schei­det ver­schie­de­ne Arten von DNS-Records:

  • A-Records: A-Records sind die ver­brei­tets­ten DNS-Records. Sie weisen einer Domain eine IPv4-Adresse zu und werden dazu verwendet, eine Domain auf einen Webserver zu verweisen.
  • CNAME-Records: Diese Art von Records wird verwendet, um eine Subdomain einer über­ge­ord­ne­ten Domain zu­zu­wei­sen.
  • TXT-Records: Mithilfe von TXT-Records kann man einer Domain be­lie­bi­gen Text zuweisen.
  • MX-Records: MX-Records werden genutzt, um eine beliebige Domain einem E-Mail-Dienst zu­zu­ord­nen.
Zum Hauptmenü