Was ist ein DNS-Server?

Sie bilden die Grundlage des Domain Name System (DNS), das oft als „Telefonbuch des Internets“ bezeichnet wird und es Nutzern ermöglicht, auf Websites zuzugreifen, indem sie Domainnamen in einen Webbrowser eingeben, anstatt sich numerische IP-Adressen merken und eingeben zu müssen.

Das DNS umfasst zwei Arten von DNS-Servern: rekursive DNS-Server – auch als rekursive Resolver, DNS-Resolver oder DNS-Rekursoren bezeichnet – und autoritative Nameserver, zu denen Root-Nameserver, Nameserver für Top-Level-Domains (TLD) und Nameserver für Second-Level-Domains gehören.

Rekursive DNS-Server übernehmen die „Anfrage“ und ermitteln die DNS-Einträge mit den Informationen, die erforderlich sind, um einen Client mit einer Website oder einer Ressource zu verbinden, während autoritative Server diese Einträge verwalten und die „Antworten“ liefern. Gemeinsam sind diese Server für den DNS-Auflösungsprozess zuständig, bei dem die für Menschen lesbaren Domainnamen in computerlesbare numerische IP-Adressen (Internet Protocol) umgewandelt werden.

Wenn ein Benutzer beispielsweise einen Hostnamen (wie z. B. www.example.com) in einen Webbrowser eingibt, löst er eine DNS-Abfrage – auch DNS-Anfrage genannt – aus und startet damit den DNS-Lookup-Prozess. Der Browser sendet die Anfrage an den konfigurierten rekursiven Resolver, der nacheinander autoritative DNS-Server abfragt, um die entsprechenden Ressourceneinträge zu finden, die der Anfrage des Benutzers entsprechen.

Dieser Vorgang wird so lange fortgesetzt, bis der Resolver den für diese Domain zuständigen autoritativen Nameserver sowie den A-Eintrag (oder AAAA-Eintrag für IPv6-Adressen) findet, der die richtige IP-Adresse für die Domain enthält. Der Resolver gibt die IP-Adresse an den Browser zurück, und der Nutzer wird mit der gesuchten Ressource verbunden.

DNS-Server bilden die unverzichtbare Infrastruktur, die es ermöglicht, dass das DNS und das Internet so funktionieren, wie es die Nutzer gewohnt sind.

DNS-Server lokalisieren und speichern DNS-Einträge und steuern die Auflösung von DNS-Anfragen, während diese die hierarchische Struktur des DNS durchlaufen. Die oberste Ebene besteht aus DNS-Root-Nameservern, die Anfragen an die entsprechenden Top-Level-Domain-Server und anschließend an die Second-Level-Domain-Nameserver weiterleiten, die die maßgeblichen Einträge für eine bestimmte Domain enthalten.

Es gibt viele Arten von DNS-Einträgen, die neben anderen wichtigen DNS-Informationen als eine Art Datenbank mit Anweisungen dazu dienen, wo sich Ressourcen befinden. Das bekannteste Beispiel sind wohl A-Einträge (für IPv4-Adressen) oder AAAA-Einträge (für IPv6-Adressen), die die IP-Adressen enthalten, welche Browser benötigen, um Nutzern den Zugriff auf die von ihnen gesuchten Websites zu ermöglichen.

Es gibt jedoch auch MX-Einträge, die auf den Mailserver einer Domain verweisen, CNAME-Einträge, die Alias-Domains auf kanonische Domains weiterleiten, DNAME-Einträge, mit denen mehrere Subdomains über einen einzigen Eintrag umgeleitet und auf eine andere Domain verwiesen werden können, und vieles mehr.

Diese Einträge werden auf autoritativen DNS-Servern gehostet, und damit das DNS ordnungsgemäß funktioniert, müssen diese Server betriebsbereit und sicher bleiben. Ohne funktionierende DNS-Server gibt es kein DNS.

Das DNS wurde von Anfang an mit einer hierarchischen, verteilten Datenbankstruktur konzipiert, um einen dynamischeren Ansatz für die Auflösung von Domainnamen zu ermöglichen, der mit einem sich rasch ausweitenden Computernetzwerk Schritt halten kann. Die Hierarchie beginnt mit der Stammebene – gekennzeichnet durch einen Punkt (.) – und verzweigt sich in Top-Level-Domains (TLDs) – wie beispielsweise „.com“, „.org“, „.net“ oder länderspezifische Top-Level-Domains (ccTLDs) wie „.uk“ und „.jp“ – sowie in Second-Level-Domains.

DNS-Architekturen bestehen aus zwei Arten von DNS-Servern: rekursiven Servern und autoritativen Servern. Rekursive DNS-Server sind diejenigen, die die „Anfragen“ stellen und nach den Informationen suchen, die einen Nutzer mit einer Webseite oder einer Ressource verbinden. Autoritative Server liefern die „Antworten“ auf diese Anfragen.

Rekursive Server – auch als rekursive Resolver oder DNS-Resolver bezeichnet – werden in der Regel von Internetdienstanbietern (ISPs) oder externen DNS-Dienstanbietern verwaltet. Ein Unternehmen kann auch einen eigenen Resolver betreiben und verwalten.

Rekursive Resolver handeln im Auftrag des Endnutzers, um den Domainnamen in eine IP-Adresse aufzulösen. Rekursive Resolver speichern die Antworten auf eine Anfrage zudem für einen bestimmten Zeitraum (der durch den Time-to-Live-Wert (TTL) definiert ist) im Cache (d. h. sie speichern die Ergebnisse der letzten DNS-Abfragen vorübergehend), um die Systemeffizienz bei zukünftigen Abfragen an dieselbe Domain zu verbessern.

Wenn ein Benutzer eine Webadresse in einen Webbrowser eingibt, stellt der Browser eine Verbindung zu einem rekursiven DNS-Server her, um die Anfrage aufzulösen. Wenn der rekursive Server die Antwort zwischengespeichert hat, kann er den Benutzer verbinden und die Anfrage abschließen. Andernfalls durchsucht der rekursive Resolver die DNS-Hierarchie, bis er die A- (oder AAAA-)Einträge findet, die die IP-Adresse für eine bestimmte Domain enthalten.

Autoritative Nameserver enthalten die definitiven Datensätze für eine Domain und antworten auf Anfragen zu Domainnamen, die in ihren jeweiligen Zonen gespeichert sind (normalerweise mit vom Domaininhaber konfigurierten Antworten). Es gibt verschiedene autoritative Server, von denen jeder für einen bestimmten Teil des Namensraums zuständig ist.

Zu den autoritativen DNS-Nameservern gehören:

Root-Nameserver

Root-Nameserver stehen an der Spitze der DNS-Hierarchie und sind für die Verwaltung der Root-Zone (der zentralen Datenbank für das DNS) verantwortlich. Es gibt 13 „Identitäten“ oder „Autoritäten“ von Root-Nameservern (logische Gruppierungen von Root-Servern), die mit den Buchstaben A bis M gekennzeichnet sind. Sie beantworten Anfragen zu Einträgen, die in der Root-Zone gespeichert sind, und leiten Anfragen an den entsprechenden TLD-Nameserver weiter.

Top-Level-Domain (TLD)-Nameserver

TLD-Server sind für die Verwaltung der nächsten Hierarchieebene verantwortlich, einschließlich generischer Top-Level-Domains (gTLDs). TLD-Nameserver leiten Abfragen an die autoritativen Nameserver für die spezifischen Domains innerhalb ihrer TLD weiter. Der TLD-Nameserver für „.com“ leitet also Domains weiter, die auf „.com“ enden, der TLD-Nameserver für „.gov“ leitet Domains weiter, die auf „.gov“ enden, und so weiter.

Andere Domain-Nameserver

Domain Name Server der zweiten Ebene – die Mehrheit der Domain Name Server – enthalten Zonendateien mit der IP-Adresse für den vollständigen Domainnamen (z. B. „ibm.com“).

DNS-Server bilden die Infrastruktur, auf der das DNS-System aufbaut, und sind die Komponenten, die dessen Kernfunktion gewährleisten – nämlich die Verbindung von Nutzern mit Internetressourcen. Autoritative DNS-Server speichern DNS-Einträge, und rekursive Server fragen diese autoritativen Server ab, um die Einträge zu finden, die zur Bearbeitung einer DNS-Anfrage erforderlich sind.

Die Auflösung von DNS-Anfragen umfasst mehrere wichtige Prozesse und Komponenten:

Ein Benutzer gibt einen Domainnamen, beispielsweise „ibm.com“, in einen Browser oder eine App ein. Befindet sich die IP-Adresse der betreffenden Website nicht im Cache des Browsers, wird die Anfrage an einen rekursiven DNS-Resolver weitergeleitet. In der Regel verfügt das Gerät des Benutzers über vordefinierte DNS-Einstellungen, die vom Internetdienstanbieter bereitgestellt werden und festlegen, welcher rekursive Resolver die Anfrage erhält.

Dieser Prozess befindet sich im Wandel, da viele moderne Browser DNS over HTTPS (DoH) unterstützen, was DNS-Abfragen über HTTPS ermöglicht, und viele Anbieter über Server verfügen, die für diese Art der Abfrage eingerichtet sind. Wenn Sie beispielsweise in den Vereinigten Staaten Firefox verwenden, wird die Anfrage standardmäßig an einen Cloudflare-DoH-Server statt an den Resolver Ihres lokalen Internetanbieters gesendet. DoH erfreut sich zunehmender Beliebtheit, da es mehr Datenschutz, eine bessere Leistung und weitere Vorteile bietet.

Der rekursive Resolver überprüft seinen eigenen Cache auf die der Domain zugeordnete IP-Adresse. Wenn der rekursive Resolver nicht die notwendigen Datensätze im Cache hat, startet er den Suchprozess, beginnend am Root-Server.

Der rekursive Resolver fragt einen Root-Nameserver ab, der mit einem Verweis auf den entsprechenden TLD-Server für die betreffende Domain antwortet. In diesem Beispiel wählt er den TLD-Nameserver, der für „.com“-Domains zuständig ist.

Der Resolver fragt den TLD-Nameserver „.com“ ab, der mit der Adresse des autoritativen Nameservers für „ibm.com“ antwortet,

Der Resolver fragt den Nameserver der Domain ab, der die DNS-Zonendatei durchsucht und mit dem richtigen Datensatz für den angegebenen Domainnamen antwortet.

Der rekursive Resolver gibt die IP-Adresse an das Gerät des Benutzers zurück. Der Browser oder die App kann dann eine Verbindung mit dem Hostserver unter dieser IP-Adresse herstellen, um auf die angeforderte Website oder den Service zuzugreifen. Der Browser selbst musste also nur eine einzelne Abfrage stellen, während der rekursive Resolver seinem Namen gemäß mehrere aufeinanderfolgende Abfragen stellen musste, um sich Schritt für Schritt durch die unterschiedlichen Level und Server zu arbeiten. Der Browser und der Resolver zwischenspeichern Datensätze entsprechend ihrer jeweiligen Konfigurationen und TTLs.

DNS ist im Grunde ein öffentliches Protokoll. Obwohl die Begriffe „öffentliches DNS“ und „privates DNS“ auf unterschiedliche Weise verwendet werden und es keine allgemein gültige Definition für einen der beiden gibt, werden sie häufig verwendet, um auf unterschiedliche Infrastrukturkonfigurationen und -prozesse zu verweisen. Der größte Unterschied liegt in ihrem Verwendungszweck und der Zielgruppe.

Der Begriff „Public DNS“ wird häufig verwendet, um den „standardmäßigen“ DNS-Auflösungsprozess oder öffentliche DNS-Resolver zu bezeichnen, bei dem ein rekursiver Resolver nacheinander autoritative Server abfragt, die öffentlich zugängliche DNS-Einträge enthalten, um eine IP-Adresse zu ermitteln und schließlich einen Nutzer mit der gesuchten Website zu verbinden. Häufig handelt es sich dabei um einen Resolver, der vom Internetdienstanbieter des Nutzers oder von einem DNS-Dienst wie Googles „quad 8“ Public DNS bereitgestellt wird. Private Resolver können auch so konfiguriert werden, dass sie öffentliche DNS-Server abfragen, werden aber häufiger für eingeschränkte oder Unternehmensnetzwerke verwendet.

Diese Standard-DNS-Abfrage wird wahrscheinlich als öffentliches DNS bezeichnet, da es sich um öffentlich zugängliche Resolver handelt und die DNS-Einträge auf diesen autoritativen Servern für jeden mit Internetzugang zugänglich sind.

Der Begriff „Private DNS“ wird manchmal verwendet, um die Verwendung von Verschlüsselungsprotokollen wie DNS over TLS (DoT) oder DNS over HTTPS (DoH) zu beschreiben. Allerdings werden diese treffender als „Datenschutzfunktionen“ oder „Datenschutzprotokolle“ anstatt als „Private DNS“ bezeichnet. Der Auflösungsprozess bleibt derselbe, da ein Resolver das öffentlich verfügbare DNS nutzt, um das zu finden, was er benötigt. In diesem Fall erfolgt die Übertragung einfach verschlüsselt.

Private DNS wird auch für die Suche innerhalb eines geschlossenen, internen Netzwerks verwendet, z. B. in Unternehmensnetzwerken oder virtuellen Private Clouds, auf die nur autorisierte Benutzer Zugriff haben. In einem solchen System fragen private, lokal konfigurierte Resolver private Server ab, um Ressourcen und Websites innerhalb eines internen Netzwerks zu finden. Diese Server sind so konfiguriert, dass sie ausschließlich private Zonen und interne IP-Adressen bedienen, und das Netzwerk hält interne URLs und IP-Adressen vor dem Rest des Internets verborgen. Diese Art von privatem DNS bietet Unternehmen mehr Kontrolle und Sicherheit.

Es gibt viele Möglichkeiten, ein solches Netzwerk zu konfigurieren. Eine Möglichkeit besteht darin, eine spezielle Domain wie „.local“ zu verwenden, die zur Namensauflösung in lokalen Netzwerken dient. Eine weitere Möglichkeit besteht darin, private Subdomains von Domains zu haben, die öffentlich im Internet verfügbar sind. Diese private Subdomain wäre nur für Personen oder Agenten verfügbar, die Resolver innerhalb des internen Netzwerks verwenden.

Eine gängige Unternehmenskonfiguration, die sowohl „öffentliche“ als auch „private“ DNS-Systeme kombiniert, wird als „Split-Horizon-DNS“ oder „Split-Brain-DNS“ bezeichnet. In dieser Konfiguration fragt ein lokaler Rekursor bei internen Anfragen lokale, private autoritative Server ab und greift bei externen Anfragen auf das Standard-DNS zurück. Split-Horizon-DNS beinhaltet typischerweise eine Liste von Domainnamen (eine Art „Zulassungsliste“), die dem Server mitteilt, welche Anfragen an interne Server und welche an das öffentliche Internet weitergeleitet werden sollen.

Neben Anycast-Routing, Lastenausgleich, DNS-Traffic-Steuerung sowie Funktionen zur Echtzeitüberwachung und Fehlerbehebung bieten viele Managed-DNS-Anbieter im Rahmen ihres Dienstes auch erweiterte Sicherheitsmaßnahmen an. Unabhängig davon, ob ein Unternehmen einen verwalteten DNS-Anbieter verwendet oder ihre DNS-Infrastruktur selbst verwaltet, ist die Sicherung von DNS-Servern ein wichtiger Teil der Sicherheit von Netzwerken und Ressourcen.

Zu den DNS- Sicherheitspraktiken und -protokollen, die dazu beitragen, DNS-Server zu schützen und verfügbar zu halten, gehören: