← Zurück zur Hauptseite

Was ist DNS und wie funktioniert es?

Aktiviere DNS over HTTPS/TLS in deinem Browser oder Betriebssystem und nutze schnelle Resolver wie 1.1.1.1, 9.9.9.9 oder 8.8.8.8, um Latenz zu senken und deine DNS-Anfragen zu schützen.

Kurzantwort

DNS (Domain Name System) ist das Telefonbuch des Internets: Es übersetzt leicht merkbare Domainnamen wie beispiel.de in IP-Adressen, unter denen Server erreichbar sind. Ein rekursiver Resolver fragt dazu schrittweise Root-, TLD- und autoritative Nameserver ab, cached die Antwort per TTL und liefert den passenden Record (z. B. A/AAAA) zurück.

DNS: Das Telefonbuch des Internets

DNS (Domain Name System) ist die zentrale Namensauflösung des Internets. Es ordnet Domainnamen wie example.com den dahinterliegenden IP-Adressen und weiteren Informationen zu. Ohne DNS müssten wir uns IPs merken – mit DNS genügt ein Name.

Was ist DNS?

DNS ist ein hierarchisches, verteiltes Verzeichnisdienst-System. Es speichert und liefert Informationen zu Domains, Hosts und Diensten, darunter:

  • IP-Auflösung (A, AAAA)
  • Mail-Routing (MX)
  • Alias-Zuordnungen (CNAME)
  • Sicherheits- und Policy-Infos (TXT, SPF, DMARC, DKIM, CAA)
  • Service Discovery (SRV)

Wie funktioniert DNS? (Ablauf der Namensauflösung)

  1. Eingabe: Ein Nutzer ruft www.example.com im Browser auf.
  2. Lokale Prüfung: Betriebssystem/Browser prüfen Hosts-Datei und DNS-Cache.
  3. Anfrage an den rekursiven Resolver: Meist vom ISP oder ein öffentlicher Resolver (z. B. 1.1.1.1, 8.8.8.8).
  4. Iterative Auflösung durch den Resolver (falls nicht gecached):
    • Root-Nameserver verweisen auf TLD-Nameserver (z. B. .com).
    • TLD-Nameserver verweisen auf autoritative Nameserver der Zone example.com.
    • Autoritativer Nameserver liefert den endgültigen Record (z. B. A/AAAA für www).
  5. Caching: Der Resolver speichert die Antwort gemäß TTL und gibt sie an den Client zurück.

Technikdetails:

  • Standard-Transport: UDP Port 53 (kleine Antworten) und TCP Port 53 (z. B. Zonen-Transfers, große Antworten).
  • Datenschutz: DNS over TLS (DoT, Port 853) und DNS over HTTPS (DoH, Port 443) verschlüsseln DNS-Anfragen auf dem Transportweg.

Wichtige DNS-Record-Typen

  • A: IPv4-Adresse eines Hosts (www → 93.184.216.34).
  • AAAA: IPv6-Adresse eines Hosts (www → 2606:2800:220:1:248:1893:25c8:1946).
  • CNAME: Alias auf einen anderen Namen (kein Mix mit A/AAAA am selben Label).
  • MX: Mail-Exchanger für E-Mail-Zustellung, inkl. Prioritäten.
  • NS: Zuständige Nameserver einer Zone oder Delegation.
  • SOA: Start of Authority, Zonen-Metadaten (u. a. Serial, Refresh, Retry).
  • TXT: Freitext, häufig für SPF, DKIM, DMARC, Verifizierungen.
  • SRV: Service Discovery (z. B. _sip._tcp), gibt Host und Port an.
  • CAA: Erlaubt festzulegen, welche CAs Zertifikate für die Domain ausstellen dürfen.
  • PTR: Reverse DNS (IP → Name), wichtig für Mail-Server-Reputation.

Hierarchie, Zonen und Delegation

  • Root-Zone: Oberste Ebene, verwaltet durch eine kleine Anzahl global verteilter Root-Server (Anycast).
  • TLDs: Top-Level-Domains wie .de, .com, .org (Registries verwalten sie).
  • Zonen: Verantwortungsbereiche für Domains (z. B. example.com). Delegation erfolgt über NS-Records.
  • Glue-Records: Notwendige A/AAAA-Records im Parent für Nameserver, deren Namen innerhalb der delegierten Zone liegen.

Caching, TTL und Propagation

  • TTL (Time To Live): Bestimmt, wie lange Antworten im Cache bleiben (Sekunden). Kurze TTLs ermöglichen schnelle Änderungen, lange TTLs sparen Latenz.
  • Propagation: Änderungen benötigen Zeit, bis alle Resolver-Caches aktualisiert sind.
  • Negatives Caching: Nicht-Existenz (NXDOMAIN) wird ebenfalls kurzzeitig gecached (gemäß SOA und RFC 2308).

Sicherheit: Risiken und Schutzmaßnahmen

Bedrohungen:

  • Cache-Poisoning und Spoofing: Gefälschte Antworten einschleusen.
  • Amplification-DDoS: Offene Resolver als Verstärker missbrauchen.
  • Zone-Hijacking: Fehlkonfigurationen, Social Engineering beim Registrar.

Schutz:

  • DNSSEC: Signiert Zonen, liefert Integrität und Authentizität (Records: DNSKEY, RRSIG, DS). Resolver validieren die Kette bis zur Root.
  • DoT/DoH: Verschlüsselte Transportwege für Privatsphäre.
  • Härtung: Rekursion nur für vertrauenswürdige Clients, Rate Limiting, Response Policy Zones (RPZ), Minimal Responses, Monitoring und Alarming.
  • Registrar-Sicherheit: 2FA, Registry-Locks, aktuelle WHOIS/Handle-Daten.

Performance und Skalierung

  • Anycast: Global verteilte Endpunkte unter derselben IP verkürzen Wege und erhöhen Resilienz (für autoritative Server und Public Resolver).
  • GeoDNS und Latency-Based Routing: Nutzer erhalten regionale Antworten.
  • DNS-Load-Balancing: Mehrere A/AAAA-Records (Round Robin) oder Health-Checks via Managed DNS.
  • Optimale TTLs: Balance zwischen Agilität (schnelle Umschaltungen) und Cache-Hit-Rate.

Anwendungsfälle

  • Webhosting: www zeigt auf Webserver oder CDN (oft via CNAME).
  • E-Mail: MX, SPF (TXT), DKIM (TXT), DMARC (TXT) für Zustellung und Anti-Spoofing.
  • Service Discovery: SRV-Records für SIP, LDAP, Kerberos; intern oft via CoreDNS/Kubernetes.
  • Hybrid- und Multi-Cloud: Delegation, Split-Horizon-DNS für interne vs. externe Antworten.

Fehlerbehebung (Troubleshooting)

  • Tools: dig, nslookup, kdig.
  • Beispiele:
    • dig www.example.com A +trace zeigt den vollständigen Auflösungspfad.
    • dig example.com NS prüft Delegation.
    • dig example.com SOA prüft Serial und Zonenparameter.
  • Prüfen: Autoritative vs. rekursive Antworten, TTL, DNSSEC-Status (AD-Flag), CNAME-Ketten.
  • Caches leeren: Betriebssystem, Browser, Resolver.

Best Practices

  • Mindestens zwei autoritative Nameserver in unterschiedlichen Netzen/Regionen.
  • Sinnvolle TTLs (z. B. 300–3600 s für dynamische Dienste, höher für statische).
  • DNSSEC signieren und Resolver-Validierung aktivieren.
  • Rekursion auf autoritativen Servern deaktivieren; offene Resolver vermeiden.
  • Changes planen: TTL vor Umzug senken, nach Abschluss wieder erhöhen.
  • Konsistenz: Seriennummern (SOA) sauber pflegen, Zonen validieren (Linting).
  • Monitoring und Alerting: Erreichbarkeit, Antwortzeiten, DNSSEC-Validation, Domain- und Zertifikatsablauf.

Fazit

DNS ist die unsichtbare Grundlage der Erreichbarkeit im Internet. Es übersetzt Namen in Adressen, steuert E-Mail-Flüsse, ermöglicht Service Discovery und kann sogar Last verteilen. Mit korrekt konfigurierten Records, sinnvollen TTLs, Härtung und DNSSEC bleibt die Namensauflösung schnell, sicher und hochverfügbar.

Weitere Informationen

DeltaNEXT IT Support

DeltaNEXT IT Support

Benötigen Sie technische Unterstützung? Unser Support-Team steht Ihnen zur Verfügung.

support@deltanext.de
+49 341 23 68 995
Zu DeltaNEXT

Wie funktioniert ein Quantencomputer?

Ein Quantencomputer nutzt die Prinzipien der Quantenmechanik, insbesondere Superposition und Verschränkung. Im Gegensatz zu klassischen Computern, die Daten in Bits verarbeiten, die als 0 oder 1 existieren, verwendet ein Quantencomputer Qubits, die gleichzeitig mehrere Zustände annehmen können. Diese Eigenschaft ermöglicht es Quantencomputern, komplexe Berechnungen erheblich schneller durchzuführen als klassische Computer.

Mehr lesen

Was ist Cloud Computing?

Cloud Computing ermöglicht den Zugriff auf Rechnerressourcen über das Internet. Dazu zählen Speicher, Rechenleistung und Datenbanken, die von Cloud-Anbietern bereitgestellt werden und flexible, skalierbare IT-Ressourcen ermöglichen.

Mehr lesen

Was ist das Internet der Dinge (IoT)?

Das Internet der Dinge (IoT) beschreibt ein Netzwerk aus physischen Geräten, Fahrzeugen und anderen Objekten, die Sensoren und Software eingebettet haben, um miteinander und mit anderen Systemen über das Internet zu kommunizieren.

Mehr lesen
Was ist DNS und wie funktioniert es? - Technik Fragen