Definition Was ist DNS (Domain Name System)?

Das Domain Name System ist quasi das Telefonbuch des Internets. Es übersetzt die für Menschen einfach zu merkenden Domainnamen in die für die Übertragung der Datenpakete benötigten maschinenlesbaren IP-Adressen. Das verteilte DNS arbeitet für den Internetuser mehr oder weniger unbemerkt im Hintergrund.

DNS ist das Akronym für Domain Name System. Es handelt sich um ein hierarchisches und verteilt organisiertes Verzeichnissystem für IP-basierte Netzwerke wie das Internet. Mithilfe des DNS lassen sich die Zuordnungen zwischen Domainnamen und IPv4- oder IPv6-Adressen in Hin- und Rückrichtung auflösen. Meist wird die IP-Adresse zu einem vorgegebenen Domainnamen gesucht. Die Auflösung eines Domainnamens zu einer vorgegebenen IP-Adresse bezeichnet man als Reverse-Lookup.

Dank des DNS ist es ausreichend, beispielsweise die URL www.ip-insider.de in die Adresszeile des Webbrowsers einzugeben, um die Internetseite vom Webserver abzurufen und darzustellen. Die Auflösung einer URL in die zugehörige, für die IT-Systeme interpretierbare Internetadresse findet für den Anwender mehr oder weniger unbemerkt im Hintergrund statt. Das DNS wird auch für andere Dienste wie E-Mail, FTP und viele weitere benötigt. Für den Microsoft-Verzeichnisdienst Active Directory (AD) ist das DNS eine unverzichtbare Komponente für die Namensauflösung und Adressierung der Objekte in den Domänenstrukturen.

Zentrale Merkmale des Domain Name System sind die dezentrale Verwaltung, die hierarchische Struktur in Baumform, die Eindeutigkeit der Namen und die einfache Erweiterbarkeit. Das DNS des Internets besteht aus vielen tausend Nameservern (DNS-Servern). Die Verantwortung für die Domainnamen und ihre Verwaltung ist auf verschiedene Ebenen verteilt. Für die Eindeutigkeit der Domainnamen sorgen Organisationen wie ICANN (Internet Corporation for Assigned Names and Numbers) oder RIPE (Réseaux IP Européens Network Coordination Centre).

Die für das DNS beiden maßgeblichen RFCs sind RFC 1034 und RFC 1035. Sie lösten 1987 die beiden ursprünglichen DNS-RFCs RFC 882 und RFC 883 ab. RFC 2181 und weitere RFCs ergänzen die Spezifikation. Im TCP/IP-Protokollstapel ist DNS auf der Anwendungsebene angesiedelt. Zum Transport von DNS-Nachrichten kommen die Transportprotokolle TCP oder UDP zum Einsatz. Als Protokollport ist der Port 53 vorgesehen. In den verschlüsselten Varianten werden andere Ports genutzt.

Bevor es das DNS gab, mussten die Zuordnungen zwischen Hostnamen und IP-Adressen manuell beispielsweise in Textdateien wie der hosts.txt gepflegt werden. Da diese Lösung nicht skalierte, entwickelten der Informatiker Paul Mockapetris von der University of Southern California und eine Gruppe von Internetpionieren im Jahr 1983 das Domain Name System und verfassten die ersten beiden Requests for Comments (RFC 882 und RFC 883).

Da das DNS für das korrekte und sichere Funktionieren des Internets eine kritische Komponente ist, muss es gegenüber Cyberangriffen und Manipulation wie DDoS-Attacken, DNS-Hijacking oder DNS-Spoofing entsprechend geschützt werden. Hierfür wurden Erweiterungen des DNS wie DNSSEC (DNS Security Extensions), DoT (DNS over TLS) und DoH (DNS over HTTPS) entwickelt.

Für Systeme, deren IP-Adressen sich häufig ändern, existiert mit dem Dynamischen DNS (DDNS, DynDNS) ein DNS-Verfahren, mit dem sich die Zuordnungen dynamisch aktualisieren lassen. Die beiden RFCs 3490 und 5890 treiben die Internationalisierung des DNS voran und erweitern den verfügbaren Zeichenvorrat.

Prinzipieller Aufbau eines (vollqualifizierten) Domainnamens

Ein vollqualifizierter Domainname (FQDN; Fully Qualified Domain Name) gibt den vollständigen Pfad zu einer Ressource an und hat einen standardisierten, hierarchischen Aufbau. Er besteht aus mehreren mit einem Punkt voneinander getrennten Teilen und wird von rechts nach links interpretiert beziehungsweise aufgelöst. Ein Beispiel für einen vollqualifizierten Domainnamen ist:

www.ip-insider.de.

Ganz rechts beginnt der Domainname mit einem Punkt. Er stellt die Wurzel des Namens dar und wird üblicherweise weggelassen, da er nur symbolischen Charakter hat. Anschließend folgt mit "de" die so genannte Top-Level-Domain (TLD). In diesem Fall ist es die Länderkennung für Deutschland. Es folgt mit "ip-insider" die Second-Level-Domain (SLD). Zusammen mit der TLD bildet sie den Namensraum ip-insider.de. Er muss eindeutig und registriert sein, damit ihn das Internet-DNS auflösen kann. www ist der Teil ganz links und steht für den Dienst oder den Hostnamen. Zwischen ihm und der Second-Level-Domain können optional weitere Sub-Level-Domains (Subdomains oder Third-Level-Domains) eingefügt sein.

Aufbau eines Resource Records

Ein Resource Record ist ein Datensatz im Domain Name System. Die Summe der Resource Records bildet quasi die DNS-Datenbank. Ein Resource Record besteht aus folgenden fünf Teilen:

• 1. Der Domainname, auf den sich der Eintrag bezieht.

• 2. Die Gültigkeitsdauer (Time to Live) des Eintrags in Sekunden.

• 3. Die Klasse der Information. Für das Internet ist die Klasse auf "IN" gesetzt.

• 4. Typ beziehungsweise Art des Datensatzes. Beispiele hierfür sind "A" für eine IPv4-Adresse, "AAAA" für eine IPv6-Adresse, "CNAME" für einen Alias eines anderen Domainnamen, "MX" für den Mailserver der Domain, "TXT" für eine frei definierbare Information, "NS" für den zuständigen Nameserver der Domain oder "SOA" für administrative Informationen zur Domain.

• 5. Der eigentliche Wert des Eintrags in Form einer Zahl, einer IP-Adresse, eines Domainnamens oder eines Zeichenstrings (abhängig von dem Typ des Resource Records).

Ein Beispiel für einen typischen Resource Record könnte folgendermaßen aussehen:

www.ip-insider.de 86400 IN A 212.227.224.235

Die verschiedenen Serverarten des Domain Name System

Im Domain Name System arbeiten verschiedene Arten von Servern zusammen. Sie übernehmen bei der Namensauflösung jeweils bestimmte Aufgaben, Funktionen und Verantwortungsbereiche. Zu den wichtigsten Serverarten des Domain Name System gehören:

• DNS-Root-Server: Sie bilden die oberste Ebene des DNS und haben die Aufgabe, Anfragen zu den verschiedenen Top-Level-Domains an die zuständigen TLD-Nameserver zu verweisen.

• TLD-Nameserver: Sie verwalten die Informationen für bestimmte Top-Level-Domains (Endungen) der Internetadressen und verweisen auf die zuständigen autoritativen Nameserver für spezifische Domains innerhalb ihrer TLD.

• autoritative Nameserver: Sie sind für eine spezifische Domain oder Unterdomain verantwortlich und verwalten deren Namenszuordnungen. Ihre Informationen gelten als verbindlich. Sie liefern beispielsweise die exakte IP-Adresse einer Webseite.

• nicht autoritative Nameserver: Sie beziehen ihre Informationen von anderen autoritativen Nameservern quasi aus zweiter Hand und speichern sie zum Beispiel lokal zwischen.

• DNS-Resolver: Server mit Caching- und/oder Forwarding-Funktion, implementiert beispielsweise als lokaler DNS-Client auf einem Computer oder als Serverfunktion auf einem lokalen Internetzugangsrouter. Sie speichern die Antworten auf eine Anfrage für einen bestimmten Zeitraum zwischen und verbessern so die Effizienz des DNS bei zukünftigen Anfragen an die Domain.

Prinzipielle Funktionsweise der Namensauflösung

Bei der Namensauflösung über das Domain Name System arbeiten die verschiedenen Nameserver zusammen. Sie übernehmen abhängig von ihrer Funktion und der Art der Anfrage verschiedene Rollen wie das Delegieren, Weiterleiten oder Auflösen einer Anfrage. Um die IP-Adresse zu einem bestimmten Domainnamen, zum Beispiel einer URL einer Webseite, herauszufinden, wird die Anfrage des DNS-Clients des lokalen Rechners so lange an die entsprechenden DNS-Server weitergeleitet oder delegiert, bis eine passende Antwort vorliegt. Die Antwort kann beispielsweise eine zwischengespeicherte Information eines Caching-Resolvers oder eine verbindliche Information des für die Domain zuständigen autoritativen DNS-Servers sein. Bei der Bearbeitung der Anfragen ist zwischen dem rekursiven und dem iterativen Modus zu unterscheiden. Im rekursiven Modus fragt der angefragte Nameserver so lange weitere Server an, bis die Antwort vorliegt. Beim iterativen Modus erhält die anfragende Instanz einen Verweis auf weitere Nameserver, die sie dann im nächsten Schritt selbst anfragt.

Um die Funktionsweise zu verdeutlichen, im Folgenden ein etwas vereinfacht dargestellter Beispielablauf der Auflösung des Domainnamens www.ip-insider.de in die zugehörige IPv4-Adresse:

• Bei der Eingabe von www.ip-insider.de in die Adresszeile des Webbrowsers wird der Vorgang der Namensauflösung angestoßen.

• Im ersten Schritt wird geprüft, ob die zu www.ip-insider.de gehörende IPv4-Adresse in der lokalen Hosts-Datei oder im lokalen Cache vorhanden ist.

• Falls nicht, wendet sich der Resolver des lokalen Rechners an seinen zuständigen Nameserver (rekursiven DNS-Resolver), den er per DHCP mitgeteilt bekommen hat oder der konfiguriert wurde.

• Ist diesem Nameserver die IP-Adresse bekannt, teilt er diese dem Client mit. Der Vorgang der Namensauflösung ist damit beendet.

• Falls dem Nameserver die IP-Adresse nicht bekannt ist, fragt er bei einem weiteren Nameserver oder beim Root-Server an. Der Root-Server liefert den für die Top-Level-Domain "de" zuständigen Nameserver.

• Über den TLD-Nameserver für "de" kann der verantwortliche Nameserver für "ip-insider.de" gefunden werden.

• Der autoritative Nameserver für ip-insider.de liefert die IP-Adresse für www.ip-insider.de. Sie wird im rekursiven DNS-Resolver zwischengespeichert und dem Client mitgeteilt.

• Über diese IP-Adresse kann der lokale Rechner per Webbrowser und HTTP oder HTTPS beim Webserver die Internetseite anfragen.

Definition

Was ist Active Directory?