Was ist DNS?

Die Abkürzung DNS steht für Domain Name System. Das Domain Name System setzt von Menschen lesbare Domain-Namen in IP-Adressen um, welche wiederum von Maschinen verarbeitet werden können. Damit ist das DNS das “Telefonbuch des Internets”, denn es ist ein Verzeichnis, welches es Nutzern ermöglicht, per Browser über eine bestimmte Adresse auf die entsprechende IP-Adresse zuzugreifen.

Auf einen Blick

  1. 1. DNS: eine Definition
    1. 2. Welche Arten von DNS-Servern gibt es?
      1. 3. Wie funktioniert eine DNS-Abfrage?
        1. 4. Kritik an DNS
          1. 5. DNS-Erweiterungen
            1. 6. Welche Gefahren birgt DNS?
              1. 7. DNS: Das müssen Sie wissen
                /

                01

                DNS: eine Definition

                Während menschliche Nutzer über Domainnamen, wie zum Beispiel www.myrasecurity.com, auf Websites zugreifen, interagieren Browser und Server über IP-Adressen. Das Domain Name System ermöglicht es Usern, Websites zu öffnen, ohne die entsprechende IP-Adresse kennen zu müssen. Mittels des DNS wird die Domain mit der dazugehörigen IP-Adresse verknüpft.

                Global verteilte DNS-Server übersetzen Domainnamen in IP-Adressen und übernehmen so die Steuerung, welchen Server ein Nutzer über eine bestimmte Domain erreicht.

                02

                Welche Arten von DNS-Servern gibt es?

                Für das Domain Name System kommen verschiedene Server an unterschiedlichen Punkten zum Einsatz.

                DNS-Root-Server

                Die Root-Server des DNS sind für die Top-Level-Domains zuständig. Als letzte Instanz werden sie erst angefragt, wenn der Nameserver nicht antwortet. Damit ist ein Root-Server die zentrale Schnittstelle zwischen Usern und Content im Internet, da er Domain und IP-Adresse miteinander verknüpft.

                Die ICANN (Internet Corporation for Assigned Names and Numbers) koordiniert die Arbeit der Root-Nameserver. Rund um den Globus gibt es 13 solcher Root-Server.

                Autoritativer Nameserver

                Die autoritativen Nameserver haben die Autorität für eine bestimmte Zone inne, das bedeutet, sie beantworten ausschließlich Anfragen aus ihrem Zuständigkeitsbereich, und ihre Angaben sind verbindlich.

                Kann ein autoritativer Nameserver die Anfrage eines Clients nicht beantworten, übernimmt an dieser Stelle der Root-Nameserver.

                Nicht-autoritativer Nameserver

                Nicht autoritative Nameserver sind nicht für eine bestimmte DNS-Zone verantwortlich. Stattdessen sammeln sie selbst Informationen zu bestimmten DNS-Zonen, dies geschieht mittels rekursiver oder iterativer DNS-Abfrage.

                Caching-Server

                Caching-Server speichern die Informationen von anderen Nameservern für eine bestimmte Zeitspanne zwischen. Die Dauer dieser Speicherung bestimmt der autoritative Nameserver.

                Forwarding-Server

                Forwarding-Server erfüllen nur eine einzige Funktion: Sie leiten DNS-Anfragen an einen anderen DNS-Server weiter.

                Resolver

                Resolver sind keine autoritativen DNS-Server, sondern führen die Namensauflösung lokal im Computer oder Router durch.

                /

                03

                Wie funktioniert eine DNS-Abfrage?

                Eine DNS-Abfrage ist immer dann erforderlich, wenn der Computer die für einen Webseitenaufruf benötigten Adressinformationen nicht im Cache vorliegen hat und der vorkonfigurierte DNS-Dienst des Internetdienstanbieters die Namensauflösung ebenfalls nicht bewerkstelligen kann. Im Detail läuft eine DNS-Anfrage nach folgendem Muster ab:

                1. Der Nutzer gibt die URL einer Website (z. B. www.google.com) im Browser ein.

                2. Der Resolver schickt eine Anfrage an einen DNS-Root-Server.

                3. Der Root-Server gibt dem Resolver an, unter welcher Top-Level-Domain die Information für die Website zu finden ist. Im Fall von www.google.com handelt es sich um die Top Level Domain .com.

                4. Der Resolver schickt eine Anfrage an die entsprechende Top Level Domain.

                5. Der Server der Top Level Domain gibt die IP-Adresse des entsprechenden Nameservers an, woraufhin der Resolver eine Anfrage an den Nameserver schickt.

                6. Der Nameserver sendet die IP-Adresse der entsprechenden Domain an den Resolver, welcher sie an den Browser weitergibt.

                7. Der Browser ruft nun die Website auf, indem er eine HTTP-Anfrage an die IP-Adresse schickt. Der so angesprochene Server schickt die Dateien der Website an den Browser, sodass der Content angezeigt wird.

                04

                Kritik an DNS

                Das DNS wird von einigen Seiten kritisiert, unter anderem aufgrund der folgenden Aspekte:

                Zensur:

                Sowohl Vereine als auch kommerzielle Anbieter kritisieren, dass DNS Domains zensiere. Darüber hinaus besteht die Gefahr, dass die Technologie für Zensur per Geoblocking missbraucht wird. China, Iran und die Türkei nutzen etwa DNS-Sperren für politische Zensur. Diese Diskussion findet im Rahmen genereller Debatten um gesperrte Internetinhalte und Internetzensur statt. In der Folge haben Anbieter wie der Chaos Computer Club, digitalcourage oder auch das Unternehmen OpenDNS eigene DNS-Alternativen entwickelt, welche ihren Aussagen zufolge auf Zensur verzichten.

                Keine Verschlüsselung:

                Das DNS ist weitgehend unverschlüsselt. Geräte, die sich im lokalen WLAN aufhalten und Internet-Provider können sich also einklinken und DNS-Abfragen ausspähen. Da dies ein Risiko für die Privatsphäre darstellt, gibt es inzwischen einige Lösungen für die DNS-Verschlüsselung. Standardmäßig wenden IT-Sicherheits-Fachleute hier DNS over TLS (DoT) oder DNS over HTTPS (DoH) an. Auch das Netzwerkprotokoll DNSCrypt verschlüsselt den Traffic zwischen Computer und Nameserver.

                05

                DNS-Erweiterungen

                Verschiedene Internetstandards erweitern das DNS um weitere Mechanismen, beispielsweise im Sicherheitsbereich.

                Dyn DNS

                Dyn DNS steht für “dynamisches Domain Name System”. Solche Dienste ermöglichen es dem Nutzer, dynamischen IP-Adressen einen festen Hostnamen zuzuweisen. Zu den Anwendungsgebieten gehört das Betreiben eines Webservers trotz dynamischer IP-Adresse.

                Extended DNS

                Extended DNS (EDNS) ermöglicht den Transport von DNS-Daten in UDP-Paketen. Eine solche Erweiterung des DNS-Paket-Formats erwies sich in den 1990er Jahren als notwendig, denn die Einschränkungen in den bisherigen DNS-Paketen wurden den modernen Anforderungen nicht mehr gerecht.

                DNSSEC

                DNSSEC beschreibt eine Reihe von Sicherheitserweiterungen für das DNS, welche die Authentizität und Integrität der über das System übertragenen Daten gewährleisten. Indem die Datenübertragungen im DNS verschlüsselt werden, wird die Privatsphäre und Datensicherheit der Nutzer sichergestellt.

                /

                06

                Welche Gefahren birgt DNS?

                Das Domain Name System kann Opfer von Cyber-Attacken werden. Mehrere Gefahren sind relevant:

                • DDoS-Angriff auf Nameserver: Bei einer Distributed-Denial-of-Service-Attacke (DDoS-Attacke) wird ein Server mit so vielen Anfragen überlastet, dass er nicht mehr oder nur noch eingeschränkt erreichbar ist. Auch Nameserver werden Opfer solcher Angriffe, beispielsweise die DNS-Infrastruktur des Unternehmens Dyn bei einem Angriff im Oktober 2016. Mehrere weltweit bekannte Websites wie Twitter und Paypal waren einige Stunden lang nicht erreichbar. Ein redundanter Infrastruktur-Aufbau sowie entsprechende Sicherheitsmaßnahmen sind hier wichtige Mittel zur Vorbeugung.

                • DNS-Amplification-Angriff: Bei einem DNS-Amplification-Angriff missbrauchen Hacker falsch konfigurierte Nameserver zur Verstärkung ihrer Attacken. Es handelt sich um eine bestimmte Art von DDoS-Attacke. Dabei machen sich die Angreifer die Tatsache zunutze, dass viele Nameserver auch Anfragen beliebiger Clients beantworten.

                • DNS-Spoofing: DNS-Spoofing oder auch Cache Poisoning schleust veränderte Daten in den Cache des DNS-Resolvers ein. In der Folge können Hacker Web-Nutzer auf eine beliebige andere Website umleiten und so beispielsweise an Daten gelangen.

                /

                07

                DNS: Das müssen Sie wissen

                Das Domain Name System ist die Grundlage dafür, dass Nutzer im Internet Websites über ihre Domain aufrufen können. Denn es stellt die Verbindung zwischen dem Domainnamen und der IP-Adresse einer bestimmten Website her. Dadurch, dass das DNS so essentiell für die Funktionsweise des Internets ist, stellt es ein attraktives Ziel für Hacker dar. Daher ist es insbesondere für Unternehmen wichtig, auf IT-Sicherheit zu setzen und die Datenübertragung per DNS abzusichern.

                Die Myra DDoS Protection schützt mittels Myra Secure DNS die Namensauflösung Ihrer Unternehmensdomain vor Angriffen und sichert die Erreichbarkeit Ihrer Systeme und Dienste.

                Zum Myra Secure DNS

                Häufige Fragen zu DNS

                © Myra Security GmbH 2023, alle Rechte vorbehalten

                Responsible DisclosureGlossarImpressumDatenschutzAGB