Was ist das DNS (Domain Name System)?

Oft als „Telefonbuch des Internets“ bezeichnet, lässt sich DNS modernerweise mit der Kontakte-App eines Smartphones vergleichen, die Kontakte verwaltet. Dort ist es überflüssig, sich einzelne Telefonnummern zu merken, weil sie in leicht durchsuchbaren Kontaktlisten gespeichert werden.

Vergleichbar damit ermöglicht DNS den Nutzern, Websites über Domainnamen anstelle von IP-Adressen aufzurufen. Anstatt sich beispielsweise merken zu müssen, dass sich der Webserver unter „93.184.216.34“ befindet, können die Benutzer einfach auf die Webseite „www.example.com“ gehen, um die gewünschten Ergebnisse zu erzielen.

Um zu verstehen, wie DNS funktioniert, ist es wichtig, zunächst die beteiligten Komponenten zu verstehen.

Von Anfang an wurde DNS mit einer hierarchischen, verteilten Datenbankstruktur konzipiert, um einen dynamischeren Ansatz zur Auflösung von Domainnamen zu ermöglichen, der mit einem schnell wachsenden Computernetzwerk Schritt halten kann. Die Hierarchie beginnt mit der Root-Ebene—dargestellt durch einen Punkt (.)—und verzweigt sich in Top-Level-Domains (TLDs)—wie „.com“, „.org“, „.net“ oder länderspezifische TLDs (ccTLDs) wie „.uk“ und „.jp“—und Second-Level-Domains.

DNS-Architekturen bestehen aus zwei Arten von DNS-Servern: rekursiven Servern und autoritativen Servern. Rekursive DNS-Server sind diejenigen, die die „Anfrage“ stellen und nach den Informationen suchen, die einen Benutzer mit einer Website verbinden, während autoritative Server auf diese Anfragen „antworten“. Im Folgenden werden beide Typen genauer beschrieben. Autoritative Server liefern die „Antworten“ auf diese Anfragen.

Rekursive Server – auch bekannt als rekursive Resolver oder DNS-Resolver – werden typischerweise von Internetdienstanbietern (ISPs) oder Drittanbietern von DNS Services verwaltet. Eine Organisation kann auch ihren eigenen Resolver hosten und verwalten.

Rekursive Resolver arbeiten im Auftrag des Endbenutzers, um den Domainnamen in eine IP-Adresse aufzulösen. Rekursive Resolver speichern die Antworten auf eine Anfrage zudem für einen bestimmten Zeitraum (der durch den Time-to-Live-Wert (TTL) definiert ist) im Cache (d. h. sie speichern die Ergebnisse der letzten DNS-Abfragen vorübergehend), um die Systemleistung bei zukünftigen Abfragen an dieselbe Domain zu verbessern.

Wenn ein Benutzer eine Webadresse in die Suchleiste eines Browsers eingibt, stellt der Browser eine Verbindung zu einem rekursiven DNS-Server her, um die Anfrage aufzulösen. Wenn der rekursive Server die Antwort zwischengespeichert hat, kann er den Benutzer verbinden und die Anfrage abschließen. Andernfalls fragt der rekursive Resolver die DNS-Hierarchie ab, bis er die A- (oder AAAA-) Einträge mit der IP-Adresse einer bestimmten Domain findet.

Autoritative Nameserver enthalten die definitiven Datensätze für eine Domain und antworten auf Anfragen zu Domainnamen, die in ihren jeweiligen Zonen gespeichert sind (normalerweise mit vom Domaininhaber konfigurierten Antworten). Es gibt verschiedene autoritative Server, die jeweils für einen bestimmten Teil des Namensraums zuständig sind.

Root-Nameserver stehen an der Spitze der DNS-Hierarchie und sind für die Verwaltung der Root-Zone (der zentralen Datenbank für das DNS) verantwortlich. Es gibt 13 „Identitäten“ oder „Autoritäten“ von Root-Nameservern (logische Gruppierungen von Root-Servern), die mit den Buchstaben A bis M gekennzeichnet sind. Sie beantworten Anfragen zu Einträgen, die in der Root-Zone gespeichert sind, und leiten Anfragen an den entsprechenden TLD-Nameserver weiter.

TLD-Server sind für die Verwaltung der nächsten Hierarchieebene verantwortlich, einschließlich generischer Top-Level-Domains (gTLDs). TLD-Nameserver leiten Abfragen an die autoritativen Nameserver für die spezifischen Domains innerhalb ihrer TLD weiter. Der TLD-Nameserver für „.com“ leitet also Domains weiter, die auf „.com“ enden, der TLD-Nameserver für „.gov“ leitet Domains weiter, die auf „.gov“ enden, und so weiter.

Second-Level-Domain-Name-Server – die Mehrheit der Domain-Name-Server – enthalten Zonendateien mit der IP-Adresse für den vollständigen Domainnamen („ibm.com“, zum Beispiel).

Zusätzlich zu den wichtigsten Servertypen verwendet das DNS Zonendateien und verschiedene Eintragstypen, um den Auflösungsprozess zu unterstützen. Zonendateien sind textbasierte Dateien, die Zuordnungen und Informationen zu bestimmten Domains innerhalb einer DNS-Zone enthalten.

Jede Zeile einer Zonendatei gibt einen DNS-Ressourceneintrag an – einen einzelnen Teil der Informationen über die Art eines bestimmten Typs oder einer bestimmten Art von Daten. Die Ressourceneinträge stellen sicher, dass das DNS Domainnamen schnell in nutzbare Informationen umwandeln kann, die eine Abfrage zum richtigen Server weiterleitet.

DNS-Zonendateien beginnen mit zwei obligatorischen Datensätzen: dem Name Server (NS) Record – der den autoritativen Name Server für eine Domain angibt – und dem Start of Authority (SOA) Record – der den primären autoritativen Name Server für die DNS-Zone angibt.

Nach den beiden Hauptdatensätzen kann eine Zonendatei mehrere weitere Datensatztypen enthalten. Dazu gehören:

Jede DNS-Abfrage (manchmal auch DNS-Anfrage genannt) folgt derselben Logik zum Auflösen von IP-Adressen. Es gibt verschiedene Möglichkeiten, wie Abfragen initiiert werden – als gängiges Beispiel betrachten wir eine Person, die einen Webbrowser verwendet.

Wenn der Benutzer eine URL in seinen Webbrowser eingibt, sendet der Browser die Anfrage an den DNS-Resolver, der nach und nach autoritative DNS-Server abfragt, um den autoritativen Nameserver zu finden, der die Einträge der Domain enthält, einschließlich der zugehörigen IP-Adresse. Die IP-Adresse wird an den Browser zurückgegeben, und der Benutzer wird mit der Website verbunden.

Diese Beschreibung ist allerdings eher generell gehalten. Im Detail umfasst die Abfrageauflösung im DNS mehrere Schlüsselprozesse und -komponenten, die hier näher betrachtet werden sollen

• Abfrageinitiierung. Ein Benutzer gibt einen Domainnamen, zum Beispiel „ibm.com“, in einen Browser oder eine App ein. Wenn sich die IP-Adresse der betreffenden Website nicht im Cache des Browsers befindet, wird die Anfrage an einen rekursiven DNS-Resolver gesendet. Typischerweise verfügt das Gerät des Benutzers über vordefinierte DNS-Einstellungen, die vom ISP bereitgestellt werden und bestimmen, welcher rekursive Resolver die Anfrage empfängt.
  
  *Dieser Prozess entwickelt sich ständig weiter, da viele moderne Browser DNS over HTTPS (DoH) unterstützen, was die DNS-Abfrage über HTTPS ermöglicht, und viele Anbieter Server für diese Art der Abfrage eingerichtet haben. Wenn Sie beispielsweise Firefox in den Vereinigten Staaten verwenden, wird die Abfrage standardmäßig an einen Cloudflare-DoH-Server gesendet, anstatt an den Resolver des lokalen ISP-Anbieters. DoH wird immer beliebter, weil es mehr Datenschutz, bessere Leistung und andere Vorteile bietet.

• Rekursiver Resolver. Der rekursive Resolver überprüft seinen eigenen Cache auf die entsprechende IP-Adresse der Domain. Wenn der rekursive Resolver nicht die notwendigen Datensätze im Cache hat, startet er den Suchprozess, beginnend am Root-Server.

• Root-Nameserver. Der rekursive Resolver fragt einen Root-Nameserver ab, der mit einem Verweis auf den entsprechenden TLD-Server für die betreffende Domain antwortet. In diesem Beispiel wählt er den TLD-Nameserver, der für „.com“-Domains zuständig ist.

• TLD-Nameserver. Der Resolver fragt den TLD-Nameserver „.com“ ab, der mit der Adresse des autoritativen Nameservers für „ibm.com“ antwortet,

• Domain-Nameserver.  Der Resolver fragt den Nameserver der Domain ab, der die DNS-Zonendatei durchsucht und mit dem richtigen Datensatz für den angegebenen Domainnamen antwortet.

• Abfrageauflösung. Der rekursive Resolver gibt die IP-Adresse an das Gerät des Benutzers zurück. Der Browser oder die App kann dann eine Verbindung mit dem Hostserver unter dieser IP-Adresse herstellen, um auf die angeforderte Website oder den Service zuzugreifen. Der Browser und der Resolver zwischenspeichern Datensätze entsprechend ihrer jeweiligen Konfigurationen und TTLs.

DNS ist im Grunde ein öffentliches Protokoll. Die Begriffe „öffentliches“ und „privates“ DNS sind nicht unbedingt präzise, allgemein gebräuchliche und einheitliche Begriffe und Konzepte, und ihre Verwendung ist oft ungenau.

Der Begriff „öffentliches DNS“ wird häufig verwendet, um den „standardmäßigen“ DNS-Auflösungsprozess oder öffentliche DNS-Resolver zu bezeichnen, bei dem ein rekursiver Resolver nacheinander autoritative Server abfragt, die öffentlich zugängliche DNS-Einträge enthalten, um eine IP-Adresse zu ermitteln und schließlich einen Nutzer mit der gesuchten Website zu verbinden. Häufig handelt es sich dabei um einen Resolver, der vom Internetdienstanbieter des Nutzers oder von einem DNS-Dienst wie Googles „quad 8“ Public DNS bereitgestellt wird. Private Resolver können auch so konfiguriert werden, dass sie öffentliche DNS-Server abfragen, werden jedoch häufiger in geschlossenen oder Unternehmensnetzwerken eingesetzt.

Diese Standard-DNS-Abfrage wird wahrscheinlich als öffentliches DNS bezeichnet, da es sich um öffentlich zugängliche Resolver handelt und die DNS-Einträge auf diesen autoritativen Servern für jeden mit Internetzugang zugänglich sind.

Die Verwendung von „privatem DNS“ ist noch undurchsichtiger. Der Begriff wird manchmal verwendet, um die Nutzung von Verschlüsselungsprotokollen wie DNS over TLS (DoT) oder DNS over HTTPS (DoH) zu beschreiben. Diese lassen sich jedoch treffender als „Datenschutzfunktionen“ oder „Datenschutzprotokolle“ bezeichnen als als „privates DNS“. Der Auflösungsprozess bleibt unverändert, da ein Resolver das öffentlich zugängliche DNS nutzt, um die benötigten Informationen zu finden. In diesem Fall erfolgt dies lediglich über eine verschlüsselte Übertragung.

Der Begriff „privates DNS“ wird auch verwendet, um die Abfrage innerhalb eines geschlossenen, internen Netzwerks zu bezeichnen, wie beispielsweise Unternehmensnetzwerke oder Virtual Private Clouds, deren Zugriff auf autorisierte Benutzer beschränkt ist. In einem solchen System fragen privat betriebene, lokal konfigurierte Resolver private Server ab, um Ressourcen und Websites innerhalb eines internen Netzwerks zu finden. Diese Server sind so konfiguriert, dass sie ausschließlich private Zonen und interne IP-Adressen bedienen, und das Netzwerk hält interne URLs und IP-Adressen vor dem Rest des Internets verborgen. Diese Art von privatem DNS bietet Unternehmen mehr Kontrolle und Sicherheit.

Es gibt viele Möglichkeiten, ein solches Netzwerk zu konfigurieren. Eine Möglichkeit ist die Verwendung einer Domain für spezielle Zwecke wie beispielsweise .local, die zur Auflösung in lokalen Netzwerken dient. Eine weitere Möglichkeit besteht darin, private Subdomains von Domains zu haben, die öffentlich im Internet verfügbar sind. Diese private Subdomain wäre nur für Personen oder Agenten verfügbar, die Resolver innerhalb des internen Netzwerks verwenden.

Eine gängige Unternehmenskonfiguration, die sowohl „öffentliches“ als auch „privates“ DNS kombiniert, wird „Split-Horizon DNS“ oder „Split Brain DNS“ genannt. In dieser Konfiguration gibt es einen lokalen Rekursor, der für interne Anfragen lokale, private autoritative Server abfragt und für externe Anfragen auf den Standard-DNS zurückgreift. In der Regel gibt es eine Liste von Domainnamen, eine Art „Whitelist“, die dem Server mitteilt, welche Anfragen an interne Server weitergeleitet und welche ins öffentliche Internet weitergeleitet werden sollen.

Managed DNS ist ein Dienst eines Drittanbieters, der es Unternehmen ermöglicht, das Hosting, den Betrieb und die Verwaltung ihrer DNS-Infrastruktur auszulagern. Mit Managed DNS werden die autoritatives DNS-Einträge für die Domains eines Unternehmens auf dem weltweit verteilten Servernetzwerk des Providers gehostet. In vielen Fällen bieten Managed-DNS-Anbieter eine zentrale Verwaltungsoberfläche, ein Dashboard oder APIs an, über die Kunden ihre DNS-Einträge und andere Einstellungen verwalten und automatisieren können.

Managed DNS-Dienste bieten häufig Funktionen wie Anycast-Routing, Lastenausgleich, Service Level Agreements (SLAs) zur Verfügbarkeit, Ausfallsicherung, DNSSEC sowie Überwachungs- und Fehlerbehebungstools, die eine schnellere, zuverlässigere und sicherere Domänenauflösung ermöglichen als herkömmliche, selbstverwaltete DNS-Konfigurationen.

Selbst die besten DNS-Systeme können anfällig für Cybersicherheitsprobleme sein. DNS-bezogene Angriffe umfassen:

DNS-Spoofing, auch Cache Poisoning genannt, liegt vor, wenn ein Angreifer falsche Adressdatensätze in den Cache eines DNS-Resolvers einfügt, sodass der Resolver eine falsche IP-Adresse zurückgibt und Nutzer auf bösartige Websites umleitet. Spoofing kann sensible Daten gefährden und zu Phishing-Angriffen und der Verbreitung von Malware führen.

DNS-Amplification ist eine Art DDoS-Angriff, bei dem ein Angreifer Abfragen an einen DNS-Server sendet und die Rücksendeadresse so fälscht, dass die Antwort nicht an seine eigene IP-Adresse, sondern an die des Opfers geschickt wird. Diese Angriffe nutzen den zustandslosen Charakter von DNS-Protokollen aus und setzen Techniken ein, mit denen sie nur eine kleine Anfrage stellen, die jedoch eine sehr große Antwort erzeugen kann.

So antwortet der DNS-Server bei einem Amplification-Angriff mit wesentlich längeren Antworten, wodurch sich die an den Benutzer gerichtete Datenverkehrsmenge erhöht und dessen Ressourcen überlastet werden. Dies kann dazu führen, dass das DNS nicht funktioniert und die Anwendung abstürzt.

DNS-Tunneling ist eine Technik, mit der Sicherheitsmaßnahmen umgangen werden, indem Nicht-DNS-Datenverkehr wie HTTP in DNS-Abfragen und -Antworten eingeschlossen wird. Angreifer können DNS-Tunneling nutzen, um Malware-Befehle weiterzuleiten oder DNS-Informationen aus einem kompromittierten Netzwerk zu exfiltrieren. Dabei verschlüsseln sie die Nutzlast häufig in DNS-Abfragen und -Antworten, um eine Erkennung zu vermeiden.

Vernachlässigte DNS-Einträge für Subdomains, die auf stillgelegte Services verweisen, sind ein ideales Ziel für Angreifer. Wenn ein Dienst (wie etwa ein Cloud-Host) außer Betrieb genommen wurde, der DNS-Eintrag jedoch erhalten bleibt, kann ein Angreifer möglicherweise Anspruch auf die Subdomain erheben und an ihrer Stelle eine schädliche Website oder einen schädlichen Dienst einrichten.

Unabhängig davon, für welchen DNS Service sich ein Unternehmen entscheidet, ist es wichtig,Sicherheitsprotokolle zu implementieren, um DNS-Angriffsflächen zu minimieren, potenzielle Sicherheitsprobleme zu entschärfen und DNS in Netzwerkprozessen zu optimieren. Einige nützliche Praktiken zur Verbesserung der DNS-Sicherheit sind:

• Einsatz von DNS-Sicherheitserweiterungen (DNSSEC). DNSSEC fügt eine zusätzliche Sicherheitsebene für DNS-Abfragen hinzu, indem vorausgesetzt wird, dass DNS-Antworten digital signiert werden. DNSSEC kann vor DNS-Spoofing-Angriffen schützen, indem es den Ursprung von Anfragen authentifiziert und die Integrität von DNS-Daten überprüft.

• Einsatz von Ratenbegrenzungsmethoden. Eine Ratenbegrenzung auf DNS-Servern kann DDoS-Angriffe abmildern, indem die Anzahl der Antworten – oder die Rate, mit der Server Antworten senden – an einen einzelnen Anfragenden innerhalb eines bestimmten Zeitraums begrenzt wird.

• Für Domain-Registrare ist eine Zwei-Faktor-Authentifizierung (2FA) erforderlich.  Die Einrichtung von Zwei-Faktor-Authentifizierung (2FA) für Domain-Registrar-Konten kann es Angreifern erschweren, unbefugten Zugriff auf Server zu erhalten, und das Risiko von Domain-Hijacking verringern.

• Redundanzen verwenden. Die Bereitstellung von DNS in einer redundanten Konfiguration auf mehreren geografisch verteilten Servern kann dazu beitragen, die Verfügbarkeit des Netzwerks im Falle eines Angriffs oder Ausfalls sicherzustellen. Wenn der primäre Server ausfällt, können sekundäre Server die DNS-Auflösung übernehmen.

• Implementierung von DNS-Flushing. Durch regelmäßiges Leeren des DNS-Caches werden alle Einträge aus dem lokalen Netzwerk entfernt. Dies kann nützlich sein, um ungültige oder kompromittierte DNS-Einträge zu löschen, die Benutzer zu bösartigen Websites führen könnten. Im Allgemeinen handelt es sich hierbei um einen On-Demand-Service, der vom Resolver-Betreiber bereitgestellt wird. Andernfalls werden die Caches gelöscht, während TTLs ablaufen.
  
  
• Bleiben Sie über DNS-Bedrohungen informiert: Taktiken von Angreifern und Sicherheitsbedrohungen entwickeln sich genauso weiter wie die Systeme, die sie kompromittieren. Wenn Sie über die neuesten DNS-Schwachstellen und Bedrohungen auf dem Laufenden bleiben, können Ihre Teams den böswilligen Akteuren einen Schritt voraus sein und Sicherheitslücken schließen, bevor Angreifer diese nutzen können.

In Zeiten vor dem DNS war das Internet ein wachsendes Netzwerk von Computern, das hauptsächlich von akademischen Organisationen und Forschungseinrichtungen genutzt wurde. Die Entwickler ordneten die Hostnamen den IP-Adressen manuell zu, indem sie einfache Textdateien namens HOSTS.TXT verwendeten, die von SRI International gepflegt und an jeden Computer im Internet verteilt wurden. Mit der Ausweitung des Netzwerks wurde dieser Ansatz jedoch zunehmend untragbar.

Um eine Lösung für die Einschränkungen von HOSTS.TXT zu finden und ein besser skalierbares System zu schaffen, erfand der Informatiker Paul Mockapetris von der University of Southern California 1983 das Domain Name System. Die Gruppe der Internetpioniere, die an der Entwicklung des DNS mitwirkte, verfasste auch die ersten „Request for Comments“ (RFCs), in denen die Spezifikationen des neuen Systems detailliert beschrieben wurden: RFC 882 und RFC 883. Später wurden die früheren RFCs durch RFC 1034 und RFC 1035 abgelöst.

Nachdem das DNS begonnen hatte, sich konstant weiterzuentwickeln, wurde seine Verwaltung schließlich von der Internet Assigned Numbers Authority (IANA) übernommen, bevor 1998 die gemeinnützige Internet Corporation for Assigned Names and Numbers (ICANN) die Verantwortung für das DNS übernahm.