Was ist ein Root-Server? Definition und Funktionsweise
Sobald wir einen Online-Dienst (etwa eine Webseite oder E-Mail-Adresse) kontaktieren, leisten Root-Nameserver bzw. (DNS-)Root-Server einen wichtigen Beitrag bei der Adressfindung des Dienstes. Sie sind ein Bestandteil des Domain Name Systems (DNS) – einer elementaren Säule des Internets – und wesentlich für die Namensauflösung im DNS, bei der ein Domain-Name (z. B. „www.IONOS.de“) in eine IP-Adresse übersetzt wird. Dieser Vorgang ist erforderlich, da man nur mit der IP-Adresse den Server eines Online-Dienstes kontaktieren und die angeforderten Daten von diesem beziehen kann.
Was ist ein Root-Server?
Ein Root-Nameserver (auch DNS-Root-Server oder kurz Root-Server) ist ein Server, der eine grundlegende Funktion bei der Übersetzung eines Domain-Namens in eine IP-Adresse einnimmt: Er beantwortet Client-Anfragen (Requests) in der Root-Zone des Domain Name Systems.
Die Root-Zone markiert die höchste Ebene im Namensraum vom DNS. Dabei führen die Root-Nameserver die Namensauflösung nicht selbst aus, sondern geben den anfragenden Clients allein die Auskunft, von welchem anderen Nameserver (DNS-Server) sie weitere Informationen über die angeforderte IP-Adresse erhalten.
Dies geschieht über die sogenannte Root-Zone-Datei, die Bestandteil eines jeden DNS-Root-Servers ist. Die Datei als solche besitzt dabei nur eine Größe von knapp 2 MB. Dennoch enthält sie sämtliche Namen und IP-Adressen jeglicher Nameserver von allen Top-Level-Domains (TLDs). Diesen Daten kommt eine wichtige Funktion zu: Auf sie greift ein Root-Server zurück, wenn er dem Client denjenigen Nameserver nennt, bei dem weitere benötigte Auskünfte bezüglich seines Requests vorliegen.
Doch auch, wenn sie nur Anfragen weiterleiten, sind die Root-Nameserver für die Namensauflösung unverzichtbar – ohne sie würde das DNS in seiner jetzigen Form nicht funktionieren. Ein Root-Server arbeitet an der Wurzel (englisch: Root) des Domain Name Systems und ist hier gewissermaßen die wichtigste Vermittlungsstelle von Internetadressen.
IONOS Root Server mieten und je nach Wunsch vollen Root-Zugriff auf VPS, Dedicated und Cloud erhalten.
Die Arbeitsweise von Root-Servern
Doch wie genau hilft ein Root-Nameserver dabei, die IP-Adresse einer Website zu identifizieren? Um die Funktionsweise der Root-Server zu verstehen, hilft es, sich zunächst den grundsätzlichen Verlauf der Namensauflösung im DNS vor Augen zu führen. Jeder Internetdienst hat neben einer individuellen Internetadresse (dem Domain-Namen) eine einmalige numerische IP-Adresse, die mit dem Domain-Namen verknüpft ist – so wurde der IONOS-Website beispielweise die IPv4-Adresse „17.160.72.6“ zugeordnet. Wenn Sie in Ihrem Browser „www.IONOS.de“ aufrufen, muss zunächst der alphanumerische Name der Website in diese IP-Adresse umgewandelt werden, damit Ihr Browser die Seite darstellen kann.
Der Prozess der Namensauflösung im DNS
Die vorrangige Aufgabe des Domain Name Systems besteht in der Übersetzung von Domain-Namen in IP-Adressen (auch „forward lookup“ genannt). Der Vorgang der Namensauflösung im Internet bildet einen hierarchisch organisierten Vorgang. Doch bevor das DNS mit der Namensauflösung beauftragt wird, versucht das verwendete System in aller Regel selbst, die benötigte IP-Adresse im eigenen Datenspeicher zu finden.
Wie viele verschiedene Stationen ein Request durchläuft und in welcher Reihenfolge dies geschieht, hängt von unterschiedlichen Faktoren ab – etwa vom verwendeten Betriebssystem oder davon, ob UDP oder NetBIOS over TCP/IP als Protokoll zum Einsatz kommt. Allein die Namensauflösung über die verschiedenen Server im DNS verläuft prinzipiell immer gleich. Wir erläutern Ihnen exemplarisch die wichtigsten Phasen, die bei der Suche nach der passenden IP-Adresse einer Website durchlaufen werden, und erklären, welche Rolle dabei ein DNS-Root-Server einnimmt.
- Nachdem Sie den Aufruf einer Webseite (etwa „www.IONOS.de“) in Ihrem Client initiiert haben, wird zunächst der lokale DNS-Resolver Ihres Rechners mit der Namensauflösung beauftragt – ein Resolver ist ein Modul, das als Schnittstelle zwischen einer Anwendung und einem DNS-Server dient. Dieser schaut als Erstes in der hosts-Datei nach, ob hier ein Eintrag für den Domain-Namen vorliegt. Mittels dieser Textdatei kann die Namensauflösung direkt über den eigenen Rechner erfolgen – zumindest wenn man hier im Vorfeld manuell einem Hostnamen eine IP-Adresse zugewiesen hat. Da die hosts-Datei ein Relikt aus der Zeit vor dem Domain Name System darstellt und von diesem ersetzt wurde, pflegen und nutzen die meisten User die Datei nicht, weshalb sie zumeist auch nicht bei der Namensauflösung behilflich ist.
- Wenn kein Eintrag zur angeforderten Webseite in der hosts-Datei vorliegt, prüft nun der DNS-Resolver der Anwendung bzw. des Betriebssystems den Cache (Puffer-Speicher) Ihres Clients auf den Domain-Namen. Sollten Sie die angeforderte Webseite oder eine andere Seite desselben Internetauftritts (z. B. „www.ionos.de/digitalguide“) schon einmal besucht haben und die Informationen darüber noch im Cache vorhanden sein, wird die IP-Adresse aus selbigem bezogen.
- Sobald der lokale Resolver auch im Cache keinen Erfolg bei der Namensauflösung hatte, kommt daraufhin der Nameserver im Netzwerk zum Einsatz – dies ist für gewöhnlich Ihr Netzwerkrouter, über den Sie ins Internet gehen. Der Router-Nameserver erkundigt sich, nachdem er (falls vorhanden) in seinem eigenen Cache nachgesehen hat und auch dort nicht fündig geworden ist, beim Nameserver Ihres Internetdienstanbieters (Providers) nach der IP-Adresse der Website.
- Über einen Abgleich mit seiner Datenbank versucht der DNS-Server Ihres Providers die IP-Adresse des Domain-Namens herauszufinden. Dabei setzen auch die verschiedenen Nameserver Resolver zum Einholen der Informationen ein.
- Sollte auch dies zu keinem Ergebnis führen, wendet sich der DNS-Server des Providers an einen Root-Nameserver und fordert von diesem weitere Informationen über die Top-Level-Domain (TLD) der gesuchten Webseite an (der hintere Teil eines Domain-Namens stellt die TLD dar; beispielsweise .com oder .de). Auf den DNS-Root-Servern ist in der Root-Zone-Datei hinterlegt, welche Top-Level-Domain-Nameserver (TLD-Nameserver) für weitere Auskünfte zu einer bestimmten TLD zuständig sind. Die zum Request passende Information wird daraufhin an den Nameserver des Providers weitergegeben. Bei dem Domain-Namen „www.IONOS.de“ würde der Root-Server auf den TLD-Nameserver der DENIC verweisen, da dieser für alle .de-Domain-Namen verantwortlich ist.
- Als Nächstes befragt der Provider-Nameserver den TLD-Nameserver und erhält auch hier keine definitive Antwort, sondern wird erneut weitergeschickt: Die TLD-Nameserver haben ebenfalls ausschließlich eine weiterleitende Funktion. Sie informieren die anfragenden Nameserver darüber, auf welchem autoritativen DNS-Server der gesuchte Domain-Name hinterlegt ist.
- Nun wendet sich der Provider-Nameserver an den für den Domain-Namen verantwortlichen autoritativen Nameserver und erhält schlussendlich die gewünschte IP-Adresse.
- Als Letztes übermittelt der Provider-Nameserver die IP-Adresse an den DNS-Server Ihres Routers, der diese an Ihren lokalen Resolver weitergibt. Von dort aus wird die IP-Adresse an Ihren Browser transferiert, der damit die Webseite anfordern, laden und darstellen kann.
Beim Prozess der Namensauflösung können somit viele verschiedene Nameserver zum Einsatz kommen. Dennoch nehmen innerhalb dieses Vorgangs die Root-Nameserver eine besondere Rolle ein: Sie stellen die oberste Instanz innerhalb der Namensauflösung dar – falls ein Domain-Name nicht über den lokalen Resolver oder den DNS-Server des Providers in eine IP-Adresse umgewandelt werden kann, bildet ein Root-Server die erste Anlaufstelle für die IP-Adressfindung. Und selbst, wenn die Namensauflösung schon in einem vorherigen Schritt erfolgreich ist, wurden die hierfür notwendigen Informationen in der Vergangenheit von einem DNS-Root-Server eingeholt und abgespeichert. Dementsprechend wichtig ist es, dass die Server konstant ihren Dienst verrichten können.
Übersicht der Root-Nameserver
Insgesamt existieren 13 Haupt-DNS-Root-Server, die jeweils mit Buchstaben von „A“ bis „M“ benannt sind. Sie alle verfügen über eine IPv4-Adresse, die meisten haben zudem auch eine IPv6-Adresse. Die grundsätzliche Verwaltung der Root-Server fällt hierbei in den Verantwortungsbereich der ICANN (Internet Corporation for Assigned Names and Numbers). Betrieben werden sie hingegen von verschiedenen Institutionen, die dafür Sorge tragen sollen, dass der Datenaustausch in der Root-Zone stets korrekt, erreichbar und sicher ist. Die Übersicht zeigt neben den Betreibern der einzelnen Root-Nameserver auch ihre IP-Adressen.
| Buchstabe des DNS-Root-Servers | IPv4-Adresse | IPv6-Adresse | Betreiber |
|---|---|---|---|
| A | 198.41.0.4 | 2001:503:ba3e::2:30 | VeriSign |
| B | 192.228.79.201 | 2001:478:65::53 | USC-ISI |
| C | 192.33.4.12 | 2001:500:2::c | Cogent Communications |
| D | 199.7.91.13 | 2001:500:2d::d | University of Maryland |
| E | 192.203.230.10 | NASA | |
| F | 192.5.5.241 | 2001:500:2f::f | ISC |
| G | 192.112.36.4 | U.S. DoD NIC | |
| H | 128.63.2.53 | 2001:500:1::803f:235 | US Army Research Lab |
| I | 192.36.148.17 | 2001:7FE::53 | Autonomica |
| J | 192.58.128.30 | 2001:503:c27::2:30 | VeriSign |
| K | 193.0.14.129 | 2001:7fd::1 | RIPE NCC |
| L | 199.7.83.42 | 2001:500:3::42 | ICANN |
| M | 202.12.27.33 | 2001:dc3::35 | WIDE Project |
Jeder dieser Root-Nameserver verfügt über eine identische Kopie der Root-Zone-Datei, die von Zeit zu Zeit eine Aktualisierung benötigt – etwa wenn sich die für eine TLD zuständige Domain Name Registry ändert. Die Änderung an der Root-Zone-Datei ist ein relativ komplexer Vorgang: Sobald ein Antrag auf eine Aktualisierung eingeht, überprüft diesen zunächst die IANA (Internet Assigned Numbers Authority; eine Abteilung der ICANN). Wenn alles seine Richtigkeit hat, muss danach noch das US-Handelsministerium diesen Antrag absegnen, da die ICANN vertraglich an dieses gebunden ist. Erst daraufhin wird die Änderung vom Unternehmen VeriSign (das selbst zwei Root-Server betreibt) in der Root-Zone implementiert.
Sicherheitsvorkehrungen der DNS-Root-Server
Tagtäglich sehen sich die Root-Server mit einer großen Anzahl an Requests konfrontiert. Der Großteil der 13 Root-Nameserver beantwortet die Anfragen der Clients allerdings nicht allein, sondern macht dies in Zusammenarbeit mit verschiedenen weiteren Servern: Hierbei wird über die Anycast-Technik die Verteilung der eingehenden Requests geregelt. Dementsprechend sind es in Wirklichkeit weitaus mehr als 13 Server, die sich um die Anfragen in der Root-Zone kümmern – insgesamt übernehmen diese Aufgabe mehrere Hundert, die über die Welt verteilt sind. Die meisten dieser Server befinden sich in den USA und Europa.
Die Streuung der Sever hat unter anderem zum Ziel, die Lastverteilung und damit die Ausfallsicherheit der Root-Server zu vergrößern: Vor dem Einsatz von Anycast gab es allein die 13 Haupt-Root-Nameserver, die sich um die Beantwortung der Requests kümmerten. Da 10 von ihnen in den USA stehen, konnte erst durch die Anycast-Technik eine relativ dezentrale Bearbeitung der Anfragen in der Root-Zone gesichert werden. Die weltweite Verteilung der Server begünstigt zudem auch kürzere Zugriffszeiten bei der Bearbeitung der Requests, da immer der Server mit der kürzesten Route auf diese antwortet.
Eine weitere Sicherheitsmaßnahme ist die Begrenzung der genutzten Root-Nameserver-Kapazitäten im Normalbetrieb: Lediglich ein Drittel der insgesamt zur Verfügung stehenden Rechnerressourcen wird von den Servern genutzt. Hierdurch soll gewährleistet werden, dass auch bei dem zeitgleichen Ausfall mehrerer DNS-Root-Server die Namensauflösung stabil funktioniert: Die restlichen aktiven Server übernehmen in diesem Fall die Anfragen, die eigentlich für die ausgefallenen Server vorgesehen waren.
Demgemäß hatten in der Vergangenheit diverse DDoS-Angriffe auf DNS-Root-Server auch keinen großen Erfolg – zu stark sind die Sicherheitsvorkehrungen. Die Betreiber der 13 Root-Server wissen einfach zu gut um die Bedeutung ihrer Server für das Internet: Ohne sie ist auf lange Sicht die Adressierung aller Internetdienste gefährdet.
Abgrenzung zu dedizierten Root-Servern
Bei den in diesem Artikel thematisierten (DNS-)Root-Servern handelt es sich um die Root-Nameserver aus dem Domain Name System. Diese darf man nicht mit dedizierten Root-Servern (auch Dedicated Root-Server genannt) verwechseln, die man von Webhosting-Anbietern mieten kann. Solche Hosts werden umgangssprachlich auch als Root-Server bezeichnet, da sie sich gegenüber Managed Servern durch einen Root-Zugriff unterscheiden (eine detailliertere Abgrenzung dieser beiden Server-Formen finden Sie am Ende des Artikels Server im Vergleich); sie sind jedoch nicht Gegenstand dieses Beitrags.