Was ist ein DNS-Server?

Das Domain Name System (DNS) ermöglicht es Benutzern, auf Websites zuzugreifen, indem sie Domainnamen und URLs anstelle von komplexen numerischen IP-Adressen verwenden. DNS wird durch vier Typen integrierter DNS-Server ermöglicht: rekursive DNS-Server, Root-Nameserver, Top-Level-Domain-Nameserver und autoritative Nameserver. Mit diesen werden wir uns in diesem Beitrag noch näher beschäftigen.

Ein Benutzer initiiert eine DNS-Abfrage, indem er einen Hostnamen, beispielsweise „www.example.com“, in die Adressleiste eines Suchbrowsers eingibt. Wenn dies geschieht, wird eine Reihe von Funktionen, die DNS-Lookup genannt werden, in Gang gesetzt, um den Domainnamen mit der zugehörigen IP-Adresse abzugleichen. Eine IP-Adresse ist eine numerische Identifikationsnummer, mit der jedes Gerät und jedes Netzwerk, das sich mit dem Internet verbindet, identifiziert werden kann. IP-Adressen sind entweder IPv4-Adressen (wie 198.51.100.3) oder IPv6-Adressen (wie 2001:db8:3333:4444:5555:6666:7777:8888).

Auch wenn komplexe Zahlenfolgen wie diese auf technischer Ebene dazu beitragen, Domains zu organisieren, kann von Internetnutzern nicht erwartet werden, dass sie den Überblick über diese Zahlen behalten oder das Internet basierend darauf durchsuchen. Mit dem DNS können Domainnamen für funktionale Zwecke wie Branding und eine vereinfachte Benutzererfahrung angepasst werden. DNS-Server sind so konzipiert, dass dieser Vorgang für Benutzer reibungslos abläuft – sämtliche Prozesse werden meist blitzschnell im Hintergrund abgewickelt, ohne dass der Benutzer etwas davon merkt. Gleichzeitig können sie ein hohes Datenverkehrsaufkommen sowie wechselnde Domainnamen und IP-Adressen bewältigen. Der Prozess der DNS-Auflösung hängt von Variablen wie Lastausgleich, Lastausgleich, Server- und Benutzerstandort sowie der Stärke der Internetverbindung ab.

Es gibt vier Arten von DNS-Servern, die an der Übersetzung von eingegebenen Domainnamen in IP-Adressen beteiligt sind. Die Server arbeiten in gegenseitiger Abhängigkeit, wobei jeder eine andere Funktion übernimmt. Dies soll den Prozess schnell und sicher machen.

Eine DNS-Abfrage durchläuft diese vier Server in der Reihenfolge, in der sie hier aufgelistet sind:

Der rekursive DNS-Server wird auch als DNS-Recursor oder rekursiver DNS-Resolver bezeichnet und ist die erste Anlaufstelle für eine rekursive Anfrage, bei der ein DNS-Server mit anderen DNS-Servern kommuniziert, um eine IP-Adresse zu finden und zurückzugeben. Wenn ein rekursiver Server eine DNS-Abfrage empfängt, überprüft er zunächst, ob er die IP der angeforderten Website in seinem Cache zwischengespeichert hat.

Nachdem die Informationen vom Nameserver zurückgesendet wurden, verbindet der rekursive Resolver den Benutzer mit der richtigen Website. Jedes Mal, wenn ein Server eine IP-Adresse ermittelt, speichert er sie in DNS-Caches. Dies beschleunigt den Such- und Ausgabeprozess bei zukünftigen Anfragen und ermöglicht Benutzern einen schnelleren Zugriff auf die richtige Webseite. Die meisten DNS-Recursors werden von Internetdienstanbietern (Internet Service Providers, ISPs) bereitgestellt.

Wenn ein rekursiver DNS-Server keine Daten im Cache hat, sendet er eine DNS-Abfrage an den DNS-Root-Nameserver. Der Root-Nameserver nimmt die Abfrage entgegen und leitet sie an einen Top-Level-Domain-Nameserver (TLD-Nameserver) weiter. An welchen TLD-Server die Abfrage weitergeleitet wird, hängt von der jeweiligen Website-Endung ab, zum Beispiel .com, .de, .org oder .net. Es gibt 13 Haupt-DNS-Root-Server, die von der gemeinnützigen Internet Corporation for Assigned Names and Numbers (ICANN) betrieben werden.

TLD-Nameserver enthalten Daten zu Domainnamen mit derselben Endung. Diese Endungen werden in der Fachsprache auch als Top-Level-Domain bezeichnet. Das bedeutet, dass jeweils bestimmte TLD-Server für Websites mit den Endungen .com, .org und .net zuständig sind. Sobald die Abfrage den richtigen TLD-Nameserver erreicht hat, wird die Adresse des autoritativen Nameservers an den rekursiven Resolver weitergeleitet, der daraufhin eine weitere Anfrage an den diesen stellt.

Im Allgemeinen ist dies der letzte Schritt beim Abrufen einer IP-Adresse. Autoritative DNS-Server speichern Informationen zu bestimmten Domainnamen in DNS-Ressourceneinträgen. Diese DNS-Einträge enthalten Informationen zu einer bestimmten Domain und ihrer entsprechenden IP-Adresse. Wenn die richtige IP-Adresse gefunden wird, wird sie an den rekursiven Resolver zurückgesendet. Wird sie nicht gefunden, erhält der Benutzer eine Fehlermeldung.

Obwohl ihre einzelnen Funktionen komplex sind, sollten gut funktionierende DNS-Services für die Benutzer nicht wahrnehmbar sein und die Abfrage sollte nur Sekunden(bruchteile) in Anspruch nehmen. Die vier verschiedenen Servertypen helfen beim Lastausgleich, d. h. bei der Verteilung des Netzwerkverkehrs auf mehrere Server, damit kein Server überlastet wird.

Wie bereits beschrieben wird das DNS oft als „das Telefonbuch des Internets“ betrachtet und enthält einen Datensatz mit Domainnamen und den zugehörigen IP-Adressen. DNS-Server sind die Engines, die das Abrufen von IP-Adressen für DNS-Clients steuern. DNS-Clients sind wiederum in Router und die Betriebssysteme von Smartphones oder Desktop-Geräten integriert und dienen als Verbindungspunkt zwischen lokalen Geräten und Servern. Die meisten Router haben primäre und sekundäre DNS-Server über ihren Internetanbieter konfiguriert, um sie vor Ausfällen zu schützen. Fällt der primäre DNS-Server aus, steuert der Router ganz einfach den sekundären Server an.

Wenn ein Benutzer eine Domain aufrufen möchte, löst seine Anfrage eine DNS-Abfrage aus, die an DNS-Server weitergeleitet wird. Daraufhin kann eins von zwei Dingen geschehen: Falls möglich kommt es zu einer Rückgabe von Daten aus dem DNS-Cache. Als DNS-Caching bezeichnet man die temporäre Speicherung von DNS-Einträgen aus früheren Suchvorgängen auf DNS-Servern oder anderen Geräten. Ein DNS-Cache ermöglicht es einer Abfrage, eine lange, mehrstufige DNS-Suche zu überspringen und eine schnellere Antwort bereitzustellen, indem direkt ein DNS-Eintrag zurückgegeben wird, der bereits im temporären DNS-Cache gespeichert ist. Je nach DNS-Einstellungen speichern Webserver diese Informationen für einen bestimmten Zeitraum im Cache, der als Time-to-Live (TTL) bezeichnet wird.

Wenn es keine zwischengespeicherten Informationen gibt, durchläuft die DNS-Anfrage vier Arten von Servern (Verfahren wie im obigen Abschnitt beschrieben), um die richtige IP-Adresse zu finden und zurückzugeben.

Jedes Gerät steuert in der Regel automatisch auf eine vom Hersteller festgelegte Weise einen DNS-Server an. In vielen Fällen können fortgeschrittene Benutzer allerdings auch manuell einen bevorzugten DNS-Server wählen. Hier stellt sich die Wahl zwischen einer breiten Auswahl öffentlicher DNS oder der Nutzung eines privaten DNS – oder einer Kombination aus beidem.

Öffentliche DNS-Server stehen jedem Internetnutzer zur Verfügung und werden in der Regel von Internetdienstanbietern eingerichtet. Diese DNS-Services helfen bei der Verwaltung autoritativer Nameserver, indem sie die Steuerung des Datenverkehrs und den Lastausgleich unterstützen und so die Netzwerkleistung verbessern. Neben den Servern von Internetdienstanbietern bieten auch zahlreiche weitere Anbieter wie Cloudflare, Quad9 oder OpenDNS. Hier gibt es sowohl kostenlose als auch kostenpflichtige Versionen, die unterschiedliche Vor- und Nachteile in Sachen Geschwindigkeit, Sicherheit und Datenschutz bieten. Zudem existieren spezialisierte DNS-Server, die beispielsweise Werbung oder unerwünschte Websites (beispielsweise aus Jugendschutzgründen) herausfiltern können. Benutzern sollte allerdings bewusst sein, dass diese Server von den Unternehmen verwaltet werden, sodass sie keine Kontrolle über deren Konfiguration und Richtlinien haben.

Neben dem öffentlichen DNS existiert auch das private DNS. Dieses wird hinter einer Firewall eingerichtet und verwaltet Einträge auf internen Websites. Sie werden oft über ein virtuelles privates Netzwerk (VPN) verbunden, das nur interne IP-Adressen speichert. Nur autorisierte Mitglieder eines Unternehmens können auf ein privates DNS zugreifen, was die Anfälligkeit für externe Bedrohungen einschränkt. Private DNS erfordern allerdings auch einen gewissen Verwaltungsaufwand, da sich das Unternehmen selbst oder ein privater DNS-Anbieter um die Konfiguration und Wartung kümmern muss.

DNS-Server können Angriffen ausgesetzt sein, die den Zugriff auf Domains verweigern, Server mit Datenverkehr überlasten oder die DNS-Infrastruktur übernehmen. DNS-Anbieter wie IBM® NS1 Connect bieten verwaltete DNS-Services zum Schutz vor solchen Angriffen.

Zu den häufigsten Arten von DNS-Angriffen gehören:

Distributed Denial-of-Service (DDoS) -Angriffe überfordern autoritative Nameserver mit einer Flut (eng. Flood) von Traffic. Autoritative Server sind nicht in der Lage, legitime DNS-Abfragen auszuführen, da sie mit bösartigem Datenverkehr überschwemmt werden. Entsprechend sind die Websites, für die der autoritative Nameserver verantwortlich ist, nur noch erreichbar, wenn die IP-Adresse im Cache eines Servers gespeichert wurde.

Dies ist ein Denial-of-Service-Angriff, der auch als NXDDomain-Angriff bezeichnet wird. Dieser Angriff sendet autoritativen Nameservern Abfragen für nicht existierende Subdomains, weshalb sie nicht auf echte Abfragen antworten können. Auch hier wird der Zugriff auf vom Nameserver verwaltete IP-Adressen weitgehend verhindert.

DNS-Floods sind ein Tool zur Verstärkung von DDoS-Angriffen und können Störungen verursachen, indem sie die Workload, die DNS-Server ausführen müssen, um eine Abfrage abzuschließen, künstlich erhöhen. Interessanterweise richten sich diese Angriffe auch an Dritte. Dafür manipuliert der Angreifer die gesendeten Daten so, dass die Antwort auf die Anfrage nicht an den Angreifer zurückgeschickt wird, sondern stattdessen das Opfer erreicht. Durch eine Vielzahl dieser Angriffe wird das System des Opfers überfordert, sodass es keine Anfragen mehr beantworten kann.

Bei diesem Angriff infiltrieren gefälschte DNS-Daten den Cache eines DNS-Resolvers und geben eine falsche IP-Adresse für eine Domain an, die Benutzer auf eine unerwartete Website weiterleitet. Auf diesen Websites können Benutzer Malware oder Phishing-Versuchen ausgesetzt sein. Besonders gefährlich macht diese Angriffe, dass Internetnutzer in diesem Fall keine Möglichkeit haben, die Echtheit einer Website zu überprüfen. Gefälschte Websites lassen sich häufig durch eine ungewöhnliche oder von der echten Website abweichende URL in der Adresszeile des Browsers erkennen. Bei einem DNS-Spoofing-Angriff wird allerdings weiterhin der angeforderte – und somit echte – Domainname angezeigt. So wird die Website oft fälschlicherweise als sicher wahrgenommen und mögliche Sicherheitsbedenken unter Umständen ignoriert.

Hier handelt es sich erneut um eine Art von DDoS-Angriff. Dieser zielt auf DNS-Server ab, indem er diese dazu veranlasst, fehlerhafte Pakete zu verarbeiten. Dadurch sind sie nicht in der Lage, legitime Abfragen zu verarbeiten.

Bei diesem Angriff werden Benutzer über das Border Gateway Protocol (BGP) von legitimen Domains zu anderen Domains umgeleitet, die häufig für böswillige Zwecke eingerichtet wurden.

Bei diesem Angriff wird die DNS-Infrastruktur zu einem Weg, um Malware oder gestohlene Daten an einer Firewall vorbeizuleiten. Dafür wird Datenverkehr als DNS-Abfragen und -Antworten getarnt, die nicht weiter von der Firewall überprüft werden. So schleusen böswillige Akteure beispielsweise gefährlichen Code in ein System ein oder erhalten unbemerkt sensible Daten.

Dabei handelt es sich um einen Angriff, der DNS-Zonendaten verändert oder zerstört, indem er sich unbefugten Zugriff auf die Verwaltung von DNS-Servern verschafft.

Bei einem Domaindiebstahl verschaffen sich Angreifer den Besitz eines Domainnamens, indem sie sich unbefugt Zugang zum Registrar einer Domain verschaffen.