Was ist DNS (Domain Name System) und was macht ein DNS-Server?

Kein Kommentar Autor: Henry

Wer erinnert sich noch an die Werbung mit Verona Feldbusch: Hier werden sie geholfen! Kennst Du die auch noch? Dabei ging es um eine Telefonauskunft und die ist heutzutage eigentlich obsolet. DNS oder Domain Name System macht im Prinzip das Gleiche und die Arbeit erledigen dabei die sogenannten DNS-Server.

Wie funktioniert DNS?

Die Sache mit den IP-Adressen ist bereits erklärt und viele Websites und Services haben eine statische IP-Adresse, damit sie immerzu gleich erreichbar sind. Der Auftritt hier hat zum Beispiel die IP-Adresse 80.241.216.24. Das sieht zwar beeindruckend aus, lässt sich aber wirklich schlecht merken. Viel einfacher bleibt bitblokes.de (das nennt man übrigens eine Domain) hängen.

Sobald sich Dein Computer, Smartphone oder Tablet mit dem Netzwerk verbindet, bezieht das Gerät nicht nur eine IP-Adresse, sondern bekommt auch die Adresse eines DNS-Servers zugewiesen. Das ist für die jeweilige Sitzung die Auskunft, die IP-Adressen in Domains oder für Menschen einfach zu lesende Namen auflöst.

Gibst Du im Browser Deines Smartphones eine Domain oder URL ein, dann passiert Folgendes:

  • Dein Gerät fragt beim Server des Domain Name Systems nach: Hör mal! Wie lautetet eigentlich die IP-Adresse von bitblokes.de?
  • Der DNS-Server (auch Resolver genannt) antwortet: Die ist 80.241.216.24!
  • Dein Gerät kennt nun die IP-Adresse von bitblokes.de. Nun lässt sich die Website öffnen und darstellen.

Manche Server sind übrigens schneller als andere. Wenn der Resolver Deines Providers ein Schnarchzapfen ist, dann kann Schritt zwei auch so aussehen:

  • … antwortet: Hmmmm, ja, also, da muss ich nun mal überlegen. Einen Moment bitte *schreckliche Warteschlangenmusik* … gleich hab ich’s … bist Du noch dran? *Puh, Glück gehabt, kein Timeout* … Nun! Jetzt! Die Antwort ist 80.241.216.24!

Das Ganze spielt sich natürlich im Bereich von Millisekunden ab und wenn die Domain erst einmal aufgelöst ist, merkt sich Dein Gerät das für die jeweilige Sitzung. Es läppert sich aber schon, wenn jede Anfrage 200 ms anstatt von 20 ms dauert.

DNS-Anfrage einfach dargestellt

So läuft eine DNS-Anfrage ab

Die Anfragen beschleunigen!

Tipp: Benutzt Du zum Beispiel den internen, netzwerkweiten Ad-Blocker Pi-hole, dann speichert das System Deine DNS-Anfragen eine Weile zwischen. Sollte es eine weitere Anfrage für die gleiche Domain geben, kommt sie aus dem internen Netzwerk und das ist natürlich viel schneller. Auf diese Weise lassen sich DNS-Anfragen beschleunigen und die Performance des Netzwerks ist höher. Das ist nicht viel, aber Kleinvieh macht bekanntlich auch Mist.

Was passiert, wenn der DNS-Server die Adresse nicht kennt?

Das ist eine sehr gute Frage. Zunächst lüften wir aber das Geheimnis um die Server im Domain Name System an sich. Eigentlich kann jeder einen DNS-Server betreiben. Je kürzer der Weg zum nächsten Resolver, desto schneller sind die Anfragen und Antworten. Die meisten Provider betreiben eigene DNS-Server und sobald sich Dein Router im Internet einwählt, bezieht er die Adresse des Resolvers des Internet Providers.

Sollte der DNS-Server des Internet Providers die IP-Adresse nicht auflösen können, fragt er bei einem weiteren DNS-Server nach. Das kann bis zur Wurzel des Domain Name Systems führen, oder zu einem der sogenannten Root-Server.

Es gibt 13 Root-Server, die mit A bis M betitelt sind. Sie sind sowohl unter einer IPv4- als auch IPv6-Adresse erreichbar. Die 13 Server oder besser gesagt Adressen bestehen in Wirklichkeit aus einem Cluster (mehrere hundert Server), die aus Gründen der Lastverteilung um den Erdball gestreut sind.

Vereinfacht gesagt: Wird eine neue Domain registriert, dann informiert das System die Root-Server und danach ist die Domain global über das Internet erreichbar.

Cache Poisoning oder DNS-Spoofing kurz erklärt

Mit DNS lässt sich natürlich auch Schindluder treiben und böswillige Hacker missbrauchen das System immer wieder. Zum Beispiel könnten sie Deinen Router hacken und eine Adresse eines schädlichen, von den Cyberkriminellen betriebenen DNS-Server einspeisen. Haben sie die Kontrolle über die DNS-Auflösung, können sie Dich natürlich hinleiten, wohin sie wollen. Anders gesagt wird die Zuordnung zwischen IP-Adresse und Domain gefälscht. Man nennt das auch Spoofing oder Cache Poisoning, weil damit der DNS-Brunnen vergiftet wird.

Aber nicht nur Hacker nutzen das DNS-System für ihre Zwecke!

Mit DNS-Servern lässt sich zensieren

Das eben erklärte DNS-Spoofing machen sich auch Regierungen oder Organisationen zunutze, die damit zensieren. Bei Anfragen kommen gefälschte Antworten zurück, was auch als DNS Hijacking bezeichnet wird. In Deutschland wollte man die Methode übrigens um Rahmen des Zugangserschwerungsgesetzes einsetzen, um damit Websites zu sperren.

Internet Service Provider (ISP) können ebenfalls zensieren. Sie vergleichen bei Anfragen die Domains gegen eine Blacklist und ist die von Dir aufgerufene URL dabei, wird umgeleitet, also zensiert. Untersucht der Internet Service Provider die DNS-Anfragen mit sogenannter Deep Packet Inspection (DPI), kann er auch dann zensieren, wenn Du die DNS-Server des Providers nicht verwendest.

Sehr bekannt für Zensur ist die Great Firewall of China, auch als Projekt Goldener Schild bekannt. Hier wird unter anderem mittels DNS zensiert.

Was ist DoH?

DoH ist ein Protokoll und die Abkürzung für DNS over HTTPS. Damit wird die Anfrage über das verschlüsselte HTTPS-Protokoll durchgeführt. Diese Methode stärkt die Privatsphäre und ist besser für den Datenschutz.

Sogenannte MitM-Angriffe (Man-in-the-Middle) sind dann nicht mehr möglich. Zensur via DNS ist eine Art MitM-Angriff und mit DoH ist das Geschichte.

Seit 2018 testen sowohl Google als auch Mozilla DoH. Regierungen und ISPs gefällt das natürlich nicht, weil sie nun via DNS weder schnüffeln noch zensieren können.

Mehr zu DoH findest Du auch im RFC 8484.

VPN hilft gegen Deep Packet Inspection!

Ich habe Dir bereits erklärt was ein VPN ist. Du kommunizierst bei der Verwendung eines VPNs wie zum Beispiel NordVPN (bestes Preis-Leistungs-Verhältnis!) * über einen sicheren und verschlüsselten Tunnel. Verwendest Du ein entsprechend starkes Protokoll und die Verschlüsselung ist hoch genug, kann der Internet Service Provider oder eine Regierung nicht schnüffeln.

Es ist also auch keine Deep Packet Inspection möglich, weil der Netzbetreiber die Datenpakete nicht auslesen kann. Nehmen wir an, Du befindest Dich in einem Land mit starker Zensur (wie Ägypten) und eine bestimmte Website ist gesperrt, in Deutschland aber nicht.

Zensur mit NordVPN umgehen!

In diesem Fall könntest Du Dich über ein VPN zu einem Server in Deutschland verbinden und hättest dann dennoch Zugriff auf die Website oder den Service. Du hast der Zensur ein Schnippchen geschlagen.

VPN Provider mit eigenen DNS-Servern verhindert Leck

Toll ist auch, wenn Dein VPN Provider eigene Server für das Domain Name System betreibt. Du vertraust dem VPN-Anbieter ja aus einem bestimmten Grund und kannst dann auch davon ausgehen, dass die DNS-Server sauber und nicht manipuliert sind.

Weiterhin lässt sich damit ein Leck verhindern. Benutzt Du zwar ein VPN, aber die DNS-Server Deines Internet Service Providers, ist der Plan mit der Anonymität oder der Zensur nicht ganz so aufgegangen. Werden aber alle Anfragen, auch die für das Domain Name System, über den VPN Provider geleitet … ist klar, oder?

Bist Du Dir nicht sicher, welchen Server Du verwendest, dann kannst Du zum Beispiel den Leak-Test von ipleak.net benutzen und die Sache überprüfen.

Was ist dynamisches DNS oder DDNS?

Die meisten Heimrouter bekommen vom Internet-Provider eine IP-Adresse zugewiesen. Beim Neustart des Routers oder einer erneuten Einwahl, bekommst Du vielleicht eine andere IP-Adresse. Schon aus Gründen der Sicherheit weisen Telekommunikationsanbieter dem Verbraucher einmal pro Tag oder alle paar Tage eine neue IP-Adresse zu.

Hast Du im eigenen Wohnzimmer ein Gerät oder dort läuft eine Nextcloud, die Du immer erreichen möchtest, müsstest Du immer die IP-Adresse wissen, richtig? Das ist kein Problem, denn sie lässt sich aus dem Router auslesen. Bist Du aber unterwegs, dann hast Du ein Problem.

In diesem Fall hilft dynamisches DNS, auch DDNS oder DynDNS genannt. Ein internes Gerät liest die externe, vom Provider zugewiesene IP-Adresse aus und teilt sie einem Service im Internet mit. Bei diesem Service wird die dynamische IP-Adresse einem Namen zugewiesen, den Du selbst wählen darfst. Normalerweise gibt Dir der DDNS-Provider mehrere Domains zur Auswahl und Du darfst den Namen der Subdomain selbst wählen.

Einer der besten DDNS-Anbieter ist meiner Meinung nach DuckDNS. Das ist echt Klasse und Du kannst es sehr schnell auf einem Raspberry Pi einrichten.

Synology bietet übrigens auch einen solchen Server bei seinen NAS-Systemen an. Betreibst Du Dein eigenes Synology zum Beispiel als OpenVPN-Server, brauchst Du immer Zugriff darauf. Deswegen verwendest Du an dieser Stelle den DDNS-Dienst.

Synology bietet einen DDNS Service an

Der DDNS-Dienst von Synology

DDNS ist oft schnell eingerichtet und diverse Router bieten ebenfalls eine solche Option. Sei Dir aber im Klaren darüber, dass Du damit auch eine Tür öffnest! Weißt Du nicht, was Du tust, dann lasse das lieber mit dem DDNS. Eine falsche Konfiguration in Deinem Netzwerk öffnet böswilligen Hackern Tür und Tor!

Ich wollte das der Vollständigkeit halber nur erwähnt haben.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.