Was ist DNS (Domain Name System) und was macht ein DNS-Server?

Kein Kommentar Autor: JDO

Wer erinnert sich noch an die Werbung mit Verona Feldbusch: Hier werden sie geholfen! Kennst Du die auch noch? Dabei ging es um eine Telefonauskunft und die ist heutzutage eigentlich obsolet. DNS oder Domain Name System macht im Prinzip das Gleiche und die Arbeit erledigen dabei die sogenannten DNS-Server.

Wie funktioniert DNS?

Die Sache mit den IP-Adressen ist bereits erklärt und viele Websites und Services haben eine statische IP-Adresse, damit sie immerzu gleich erreichbar sind. Der Auftritt hier hat zum Beispiel die IP-Adresse 80.241.216.24. Das sieht zwar beeindruckend aus, lässt sich aber wirklich schlecht merken. Viel einfacher bleibt bitblokes.de (das nennt man übrigens eine Domain) hängen.

Sobald sich Dein Computer, Smartphone oder Tablet mit dem Netzwerk verbindet, bezieht das Gerät nicht nur eine IP-Adresse, sondern bekommt auch die Adresse eines DNS-Servers zugewiesen. Das ist für die jeweilige Sitzung die Auskunft, die IP-Adressen in Domains oder für Menschen einfach zu lesende Namen auflöst.

Gibst Du im Browser Deines Smartphones eine Domain oder URL ein, dann passiert Folgendes:

  • Dein Gerät fragt beim Server des Domain Name Systems nach: Hör mal! Wie lautetet eigentlich die IP-Adresse von bitblokes.de?
  • Der DNS-Server (auch Resolver genannt) antwortet: Die ist 80.241.216.24!
  • Dein Gerät kennt nun die IP-Adresse von bitblokes.de. Nun lässt sich die Website öffnen und darstellen.

Manche Server sind übrigens schneller als andere. Wenn der Resolver Deines Providers ein Schnarchzapfen ist, dann kann Schritt zwei auch so aussehen:

  • … antwortet: Hmmmm, ja, also, da muss ich nun mal überlegen. Einen Moment bitte *schreckliche Warteschlangenmusik* … gleich hab ich’s … bist Du noch dran? *Puh, Glück gehabt, kein Timeout* … Nun! Jetzt! Die Antwort ist 80.241.216.24!

Das Ganze spielt sich natürlich im Bereich von Millisekunden ab und wenn die Domain erst einmal aufgelöst ist, merkt sich Dein Gerät das für die jeweilige Sitzung. Es läppert sich aber schon, wenn jede Anfrage 200 ms anstatt von 20 ms dauert.

DNS-Anfrage einfach dargestellt

So läuft eine DNS-Anfrage ab

DNS beschleunigen!

Tipp: Benutzt Du zum Beispiel den internen, netzwerkweiten Ad-Blocker Pi-hole, dann speichert das System Deine DNS-Anfragen eine Weile zwischen. Sollte es eine weitere Anfrage für die gleiche Domain geben, kommt sie aus dem internen Netzwerk und das ist natürlich viel schneller. Auf diese Weise lassen sich DNS-Anfragen beschleunigen und die Performance des Netzwerks ist höher. Das ist nicht viel, aber Kleinvieh macht bekanntlich auch Mist.

Was passiert, wenn der DNS-Server die Adresse nicht kennt?

Das ist eine sehr gute Frage. Zunächst lüften wir aber das Geheimnis um die Server im Domain Name System an sich. Eigentlich kann jeder einen DNS-Server betreiben. Je kürzer der Weg zum nächsten Resolver, desto schneller sind die Anfragen und Antworten. Die meisten Provider betreiben eigene DNS-Server und sobald sich Dein Router im Internet einwählt, bezieht er die Adresse des Resolvers des Internet Providers.

Sollte der DNS-Server des Internet Providers die IP-Adresse nicht auflösen können, fragt er bei einem weiteren DNS-Server nach. Das kann bis zur Wurzel des Domain Name Systems führen, oder zu einem der sogenannten Root-Server.

Es gibt 13 Root-Server, die mit A bis M betitelt sind. Sie sind sowohl unter einer IPv4- als auch IPv6-Adresse erreichbar. Die 13 Server oder besser gesagt Adressen bestehen in Wirklichkeit aus einem Cluster (mehrere hundert Server), die aus Gründen der Lastverteilung um den Erdball gestreut sind.

Vereinfacht gesagt: Wird eine neue Domain registriert, dann informiert das System die Root-Server und danach ist die Domain global über das Internet erreichbar.

Cache Poisoning oder DNS-Spoofing kurz erklärt

Mit DNS lässt sich natürlich auch Schindluder treiben und böswillige Hacker missbrauchen das System immer wieder. Zum Beispiel könnten sie Deinen Router hacken und eine Adresse eines schädlichen, von den Cyberkriminellen betriebenen DNS-Server einspeisen. Haben sie die Kontrolle über die DNS-Auflösung, können sie Dich natürlich hinleiten, wohin sie wollen. Anders gesagt wird die Zuordnung zwischen IP-Adresse und Domain gefälscht. Man nennt das auch Spoofing oder Cache Poisoning, weil damit der DNS-Brunnen vergiftet wird.

Aber nicht nur Hacker nutzen das DNS-System für ihre Zwecke!

Mit DNS-Servern lässt sich zensieren

Das eben erklärte DNS-Spoofing machen sich auch Regierungen oder Organisationen zunutze, die damit zensieren. Bei Anfragen kommen gefälschte Antworten zurück, was auch als DNS Hijacking bezeichnet wird. In Deutschland wollte man die Methode übrigens um Rahmen des Zugangserschwerungsgesetzes einsetzen, um damit Websites zu sperren.

Internet Service Provider (ISP) können ebenfalls zensieren. Sie vergleichen bei Anfragen die Domains gegen eine Blacklist und ist die von Dir aufgerufene URL dabei, wird umgeleitet, also zensiert. Untersucht der Internet Service Provider die DNS-Anfragen mit sogenannter Deep Packet Inspection (DPI), kann er auch dann zensieren, wenn Du die DNS-Server des Providers nicht verwendest.

Sehr bekannt für Zensur ist die Great Firewall of China, auch als Projekt Goldener Schild bekannt. Hier wird unter anderem mittels DNS zensiert.

VPN hilft gegen Deep Packet Inspection!

Wie ich Dir bereits erklärt habe, kommunizierst Du bei der Verwendung eines VPNs wie zum Beispiel NordVPN (momentan Schnäppchen) über einen sicheren und verschlüsselten Tunnel. Verwendest Du ein entsprechend starkes Protokoll und die Verschlüsselung ist hoch genug, kann der Internet Service Provider oder eine Regierung nicht schnüffeln.

Es ist also auch keine Deep Packet Inspection möglich, weil der Netzbetreiber die Datenpakete nicht auslesen kann. Nehmen wir an, Du befindest Dich in einem Land mit starker Zensur und eine bestimmte Website ist gesperrt, in Deutschland aber nicht.

In diesem Fall könntest Du Dich über ein VPN zu einem Server in Deutschland verbinden und hättest dann dennoch Zugriff auf die Website oder den Service. Du hast der Zensur ein Schnippchen geschlagen.

VPN Provider mit eigenen DNS-Servern verhindert Leck

Toll ist auch, wenn Dein VPN Provider eigene Server für das Domain Name System betreibt. Du vertraust dem VPN-Anbieter ja aus einem bestimmten Grund und kannst dann auch davon ausgehen, dass die DNS-Server sauber und nicht manipuliert sind.

Weiterhin lässt sich damit ein Leck verhindern. Benutzt Du zwar ein VPN, aber die DNS-Server Deines Internet Service Providers, ist der Plan mit der Anonymität oder der Zensur nicht ganz so aufgegangen. Werden aber alle Anfragen, auch die für das Domain Name System, über den VPN Provider geleitet … ist klar, oder?

Bist Du Dir nicht sicher, welchen Server Du verwendest, dann kannst Du zum Beispiel den Leak-Test von ipleak.net benutzen und die Sache überprüfen.

Was ist dynamisches DNS oder DDNS?

Die meisten Heimrouter bekommen vom Internet-Provider eine IP-Adresse zugewiesen. Beim Neustart des Routers oder einer erneuten Einwahl, bekommst Du vielleicht eine andere IP-Adresse. Schon aus Gründen der Sicherheit weisen Telekommunikationsanbieter dem Verbraucher einmal pro Tag oder alle paar Tage eine neue IP-Adresse zu.

Hast Du im eigenen Wohnzimmer ein Gerät oder dort läuft eine Nextcloud, die Du immer erreichen möchtest, müsstest Du immer die IP-Adresse wissen, richtig? Das ist kein Problem, denn sie lässt sich aus dem Router auslesen. Bist Du aber unterwegs, dann hast Du ein Problem.

In diesem Fall hilft dynamisches DNS, auch DDNS oder DynDNS genannt. Ein internes Gerät liest die externe, vom Provider zugewiesene IP-Adresse aus und teilt sie einem Service im Internet mit. Bei diesem Service wird die dynamische IP-Adresse einem Namen zugewiesen, den Du selbst wählen darfst. Normalerweise gibt Dir der DDNS-Provider mehrere Domains zur Auswahl und Du darfst den Namen der Subdomain selbst wählen.

Synology bietet zum Beispiel einen solchen Server bei seinen NAS-Systemen an. Betreibst Du Dein eigenes Synology zum Beispiel als OpenVPN-Server, brauchst Du immer Zugriff darauf. Deswegen verwendest Du an dieser Stelle den DDNS-Dienst.

Synology bietet einen DDNS Service an

Der DDNS-Dienst von Synology

DDNS ist oft schnell eingerichtet und diverse Router bieten ebenfalls eine solche Option. Sei Dir aber im Klaren darüber, dass Du damit auch eine Tür öffnest! Weißt Du nicht, was Du tust, dann lasse das lieber mit dem DDNS. Eine falsche Konfiguration in Deinem Netzwerk öffnet böswilligen Hackern Tür und Tor!

Ich wollte das der Vollständigkeit halber nur erwähnt haben.

Was ich derzeit für VPNs benutze?

Im Moment benutze ich entweder NordVPN, AirVPN oder ich gehe über meinen eigenen Server. NordVPN ist derzeit mein Favorit, weil sie mir einen Testzugang zur WireGuard-Implementierung gegeben haben und das ist der Hammer.

Suchst Du ein VPN für Linux mit einem grafischen Client, dann empfehle ich Dir PIA (Private Internet Access). Der Client ist top und es gibt ihn sogar auf Deutsch.

Von kostenlosen VPNs nehme ich komplett Abstand. Habe ich früher benutzt, mach ich aber nicht mehr. Kostet es nichts, bist Du meistens das Produkt!

Swift ist ein bedingungsloses Krypto-Einkommen - ich hole mir jeden Tag meine 100 ab.

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
)
oder

Bitcoin-Adresse: 17F1hqc9LgsAC19DPv5PaRbqsEhuE8AmAA

Ethereum-Adresse: 0x9cc684575721dc07b629ad5d81b43ab4b992e76e

Verge-Adresse: DJaJtZeW494xhnRJJt19Lnt2R5pz7zRp5A

Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!

 
 Alle Kommentare als Feed abonnieren

Antworten