1. Was ist DNS?
DNS (Domain Name System) ist ein Verzeichnissystem für Computer und Dienste, die mit dem Internet verbunden sind. Dieses Verzeichnis löst Domänennamen (genauer Hostnamen) in IP-Adressen auf. Es wandelt Domänennamen, welche leicht von Menschen merkbar und verwendbar sind (wie z.B. www.web.de) in IP-Adressen (hier 82.165.229.138) um.
Da Computer nur mit Zahlenreihen kommunizieren können, wurde DNS als eine Art „Telefonbuch“ entwickelt, das die in den Browser eingegebene Domäne in eine computerlesbare IP-Adresse umwandelt.
2. Die Geschichte von DNS
Vor dreißig Jahren, als das Internet noch in den Kinderschuhen steckte, musste man, wenn man eine Website besuchen wollte, die IP-Adresse dieser Website kennen. Denn Computer sind prinzipiell nur in der Lage, über Zahlen miteinander zu kommunizieren.
Dies hier ist zum Beispiel eine IP-Adresse: 127.31.42.198.
Sie ist lang. Genau genommen 32 Bit lang (bei IPv6 sogar 128 Bit) und nur schwer zu merken. Eine IP-Adresse ist eine ideale Kennung zur Kommunikation zwischen Maschinen. Nun sind Menschen aber keine Roboter. Man braucht also eine Möglichkeit, um computerlesbare Informationen in menschlich lesbares zu übersetzen. Diese Lösung muss schnell, leicht und skalierbar sein.
In den frühen 1980er Jahren entstand ein System, das IP-Adressen automatisch Domänennamen zuordnete – das Domain Name System war geboren. Und dieses System dient bis heute als Rückgrat des modernen Internets.
Trotzdem weiß leider nur ein kleiner Teil der Welt, dass ein Domain Name System existiert. Und ein noch kleinerer Teil hat tiefergehende Kenntnisse darüber, wie es funktioniert.
3. Einführung in DNS
Wenn Sie einen Domänennamen abfragen, fragt Ihr Browser Ihren lokalen auflösenden Nameserver, ob er die DNS-Einträge (DNS Record) für diese Domäne zwischengespeichert hat.
Bei dem auflösenden Nameserver handelt es sich in der Regel um einen Server bei Ihrem Internet Service Provider (ISP). Wenn es sich um eine beliebte Website, wie z.B. google.de handelt, hat der Server des Providers den Eintrag wahrscheinlich bereits in seinem Cache zwischengespeichert und liefert die Antwort direkt zurück. In diesem Fall wäre die DNS-Abfrage damit auch bereits beendet.
Diese Datensätze (DNS Records) werden jedoch nur für einen kurzen Zeitraum gespeichert. Wenn Domain Administratoren einen DNS Record erstellen, legen sie dabei einen sogenannten Time to Live Wert (TTL) fest. Der TTL Wert gibt den auflösenden Nameservern (Resolver) vor, wie lange sie die Datensatzinformationen selbst zwischenspeichern dürfen. TTLs können dabei von 30 Sekunden bis zu einem Tag reichen.
Was passiert also, wenn der gesuchte DNS Record nicht zwischengespeichert ist? Dann fragt der auflösende Nameserver die sogenannten Root Nameserver nach der angefragten Top Level Domain (TLD z.B. .de). Die Rootserver verweisen dann auf die zuständigen Nameserver der jeweiligen TLD Verwaltung (NIC – In Deutschland z.B. das DeNIC). Von dort wiederum geht die Anfrage schlussendlich an den für das Hosting der Einträge maßgeblichen Provider.
Es bedarf also einer Menge einzelner Schritte nur um eine IP-Adresse im DNS zu finden. Dieser Vorgang dauert dabei aber erstaunlicherweise lediglich ein paar Millisekunden.
Zur Veranschaulichung: Ein Augenblinzeln dauert etwa 50 Millisekunden. Die meisten DNS-Anfragen werden hingegen in weniger als 20 Millisekunden beantwortet!
4. Und wie fuktioniert das Ganze?
Wir wissen nun also bereits, dass DNS es ermöglicht, IP-Adressen einem Domänennamen zuzuordnen. Wo werden diese Informationen gespeichert? Auf den bereits erwähnten Nameservern.
Nameserver speichern DNS-Einträge, Im Grunde ist das eine Textdatei, die besagt, dass „dieser Name“ „dieser IP-Adresse“ zugeordnet ist.
Gibt es also irgendwo einen geheimen Untergrund Bunker, in dem alle Nameserver stehen und alle DNS-Einträge für jede Website im Internet gespeichert sind? Nein… das wäre wenig hilfreich.
Das Internet wurde dezentralisiert konzipiert und genauso verhält es sich auch mit DNS. Es ist eingebettet in eine hierarchische Architektur.
An der Spitze dieser Hierarchie stehen die Root Nameserver. Die Internet Corporation for Assigned Names and Numbers (ICANN) koordiniert den Betrieb dieser geografisch weltweit auf allen Kontinenten verteilten Kern Infrastruktur. Insgesamt gibt es 13 Root Nameserver. Diese speichern nicht alle Domainnamen, sondern halten lediglich die Information bereit, welche Nameserver für den Betrieb der jeweilige Top-Level-Domains (TLDs) zuständig sind.
TLDs sind die zwei- oder dreistelligen Erweiterungen wie zum Beispiel „.de“ am Ende eines Domänennamens. Um den Nameservice für die deutsche TLD .de zu erbringen, betreibt das DENIC selbst wiederum ein weltweites Netzwerk von Nameservern. Dieses umfasst derzeit 19 Standorte auf fünf Kontinenten. Auf diesen Nameserver wird die Information vorgehalten, welche Nameserver für die Auflösung des Namens www.web.de zuständig sind.
Der zuständige Nameserver ist in der Regel der eines DNS-Anbieters oder ein Hosting Provider. Und hier finden wir schlussendlich den DNS-Eintrag, der www.web.de der IP-Adresse 82.165.229.138 zuordnet.
5. DNS und Sicherheit
Der Domain Name Service erfüllt seit den Anfangstagen des Internets still und zuverlässig seine Aufgabe. Bewusst wird uns das erst, wenn er einmal nicht funktioniert, oder (schlimmer) falsche Informationen liefert.
In seiner Ursprungsform ist DNS nicht gegen Manipulationen Dritter geschützt. Ein böswilliger Angreifer könnte einen eigenen Nameserver aufsetzen und diesen mit falschen Informationen bestücken. Wenn er nun ein Opfer dazu bringen kann, diesen DNS-Server für die Namensauflösung zu verwenden, hat der Angreifer damit die volle Kontrolle über die Internetverbindungen seines Opfers erlangt und kann z.B. Anfragen auf Webserver umleiten, auf denen Schadsoftware installiert ist um somit die Endgeräte der Benutzer zu infizieren.
Über die Jahre haben die Hersteller von Nameserver Software einige Maßnahmen in ihrer Software implementiert um dieses sogenannte „DNS Spoofing“ bzw. „Cache Poisoning“ zu unterbinden.
6. DNSSEC
Unabhängig von Software Fixes wurde zudem eine Erweiterung des DNS-Protokolls etabliert, um eine manipulationssichere Namensauflösung zu gewährleisten: Domain Name System Security Extensions (DNSSEC). Hierbei werden die DNS-Einträge mit einem kryptografischen Verfahren auf den Nameservern signiert. Sofern der anfragende Client den DNSSEC Schlüssel abfragt, kann er so leicht eine Manipulation erkennen.
7. DNS over TLS / DNS over HTTPS
Spätestens seit Edward Snowden im Jahr 2013 die Praktiken der US-Geheimdienste offenlegte, die das Mitschneiden jeglichen Internetverkehrs ermöglichten, hat sich im Internet die Verschlüsselung des Datenverkehrs mit TLS immer mehr durchgesetzt. Mittlerweile warnen Browser die Benutzer sogar beim Aufruf einer unverschlüsselten Webseite. Auch die Verbindungen von und zu E-Mail Servern werden heute standardmäßig verschlüsselt. DNS-Abfragen hingegen werden weiterhin unverschlüsselt übertragen. Ändern sollen das die (konkurrierenden) Standards DNS over TLS und DNS over HTTPS.
Es handelt sich hierbei um verschiedene Konzepte für die Verschlüsselung von DNS-Anfragen, die sich nur durch die für die Verschlüsselung und Übermittlung verwendeten Methoden unterscheidet. Die Frage, ob eines der beiden Protokolle in Bezug auf Datenschutz und Sicherheit besser ist oder nicht, wird derzeit kontrovers diskutiert. Die Vorzüge der beiden Protokolle hängen aber generell sehr vom jeweiligen Anwendungsfall ab.
8. Ausblick
DNS hat sich als bewährte Technologie mit dem Internet weiterentwickelt und ist zusammen mit ihm erwachsen geworden. Das Grundprinzip ist bis heute erhalten geblieben – verbunden mit technischen Erweiterungen, die für mehr Sicherheit und Zuverlässigkeit sorgen. Die hierarchische weltweite Struktur ermöglicht bis heute einen reibungslosen Betrieb im Hintergrund, der sich bislang erfolgreich staatlichen Kontrollversuchen entziehen konnte. Eine behutsame Weiterentwicklung des Protokolls verbunden mit einer internationalen Kooperation wird DNS auch im 21. Jahrhundert weiter unentbehrlich machen.
Sie möchten mehr über DNS und unsere Managed Internet-Services erfahren?
Nutzen Sie unser allumfassendes Serviceangebot oder bestimmen Sie selbst, in welchem Umfang wir Ihnen zur Verfügung stehen.
Wir beraten Sie ganz individuell und gehen auf all Ihre Anforderungen und Wünsche ein. Kommen Sie gern auf uns zu!
Wir freuen uns auf Ihre Anfrage über das Kontaktformular oder direkt per Telefon: +49 6441 96500.
Ihr becom Systemhaus