Definition

Was ist DNS (Domain Name System)?

| Autor / Redakteur: Dirk Srocke / Andreas Donner

(© aga7ta - Fotolia)

Das Domain Name System (DNS) verknüpft sprechende URLs mit kryptischen IP-Adressen und zählt zu den wichtigsten Diensten IP-basierter Netzwerke – weil aussagekräftige Namen leichter zu merken sind als nackte Zahlenkolonnen.

Das auf Anwendungsebene angesiedelte Domain Name System löst meist an natürliche Sprache angelehnte Hostnamen auf und liefert eine dazugehörige IP-Adresse. Endanwender brauchen damit also nur den Begriff www.vogel.de zu kennen, um einen unter 78.137.101.47 verfügbaren Server zu erreichen. Per Reverse Lookup funktioniert das übrigens auch umgekehrt: Dann werden IP-Adressen in Namen aufgelöst.

Dank des DNS merken sich nicht nur menschliche Endnutzer einfacher die Adressen in IP-Netzen allgemein sowie dem Internet als deren prominentesten Vertreter. Zudem erlaubt das DNS, IP-Adressen von Servern vergleichsweise risikolos zu ändern: Hantieren Anwender lediglich mit einem DNS-Namen, bleiben Änderungen an der zugehörigen IP-Adresse weitgehend unbemerkt. Ein mögliche Anwendung hierfür ist die Ablösung von klassischer IP-Adressen durch IPv6. Zudem können einzelne DNS-Namen auch mehreren IP-Adressen zugeornet werden – das Ergebnis wäre dann eine einfache Lastverteilung per DNS (Load Balancing).

Geschichte

Die Vorläufer von DNS als verteiltem, hierarchischen Verzeichnis waren einfache Textdateien, in denen Hostnamen mit ihren Netzwerkadressen verzeichnet waren. Zu Zeiten des Arpanet wurden die Informationen in einer mehr oder weniger zentral gepflegten Datei host.txt vorgehalten, die einmal pro Tag (respektive in der Nacht) von den Hosts im Netz abgerufen wurde. Erscheint dieses Verfahren für überschaubare Infrastrukturen mit einigen Hundert Großrechnern noch recht praktikabel, kommt der Ansatz bei größeren Netzen an seine Grenzen: Namenskonflikte werden wahrscheinlicher, die Größe der zu pflegenden host.txt unhandlich.

Dieser Herausforderung widmete sich Paul Mockapetris mit den auf Ende 1983 datierenden Requests for Comments RFC 882 „DOMAIN NAMES - CONCEPTS and FACILITIES“ und RFC 883 „DOMAIN NAMES - IMPLEMENTATION and SPECIFICATION“. Die mittlerweile veralteten Dokumente wurden unter anderem von den RFCs 1034, 1035 und 2181 abgelöst und ergänzt.

Beim DNS werden Namen und IP-Adressen nicht mehr in einer Textdatei vorgehalten, sondern in einer verteilten Datenbank. Auf Client-Seite werden Anfragen über einen Resolver genannten Prozess an Nameserver weitergeleitet. Die lösen die DNS-Adresse schließlich direkt oder über zusätzlichen Schritte der Delegierung und Weiterleitung auf.

Zum DNS gehören verschiedene Komponenten: Namensraum, Datenbank und Name Server.

Der Namensraum: DNS Name Space

In gewisser Weise lässt sich das DNS als Equivalent zu postalischen Anschriftenverzeichnissen auffassen. Das DNS bedient sich dabei eines hierarchischen Adressierungssystems; statt Postleitzahlen, Straßen und Hausnummern gibt es Top-Level-Domänen, die ihrerseits wieder in weitere Subdomänen unterteilt sind. Diese Struktur lässt sich als Baum mit darstellen. Dessen Blätter und Knoten werden als Labels bezeichnet; im vollständigen Domänennamen werden die Labels per Punkt voneinander getrennt. Beispiel:

www.vogel.de.

Der letzte Punkt gehört übrigens formal zum vollständigen Domänennamen und trennt somit die erste Hierarchieebene der Top-Level-Domains (hier: „de“) von der Wurzel. Dem entsprechend werden Domänennamen stets von rechts nach links delegiert respektive aufgelöst. Je weiter rechts ein Label, desto höher steht es auch in der baumförmigen DNS-Hierarchie.

Bei den Top-Level-Domains werden Länderkennungen und generische Bezeichnungen unterschieden. Die Länderkennungen – wie das im Beispiel angeführte „de“ – entsprechen den Definitionen von ISO 3166; Bezeichner mit nicht lateinischen Buchstaben wurden 2010 eingeführt. Zu den generischen Bezeichnungen gehören die 1985 eingerichteten „com“ und „edu“; zu den neueren Vertretern „museum“ (2002) und das für Anbieter erotischer Inhalte vorgesehene „xxx“ (2010).

Als oberste Instanz wacht die 1998 eingerichtete ICANN (Internet Corporation for Assigned Names and Numbers) über die Namenshierarchie. Die Top-Level-Domains werden von Registraren betrieben, die von der ICANN ernannt wurden. Diese vergeben ihrerseits die darunter angesiedelten Second-Level-Domains.

Die Datenbank: Domain Resource Records

Die DNS-Datenbank ist in Form von Resource Records organisiert. Jeder einzelne Host und jede Top-Level Domain kann mit mehreren dieser Datensätze verknüpft werden. Ein Resource Record besteht aus fünf Einträgen:

  • Domain_name: Name der Domäne auf die sich der Eintrag bezieht.
  • Time_to_live: Gültigkeitsdauer des Eintrags in Sekunden. Der Wert gibt an, wie lange der Record in Caches zwischengespeichert werden kann („cached records“) bevor die Daten wieder aus einem – stets aktuellen – „authoritative record“ aktualisiert werden müssen.
  • Class: Für Informationen zum Internet wird die Klasse stets auf „IN“ gesetzt. Andere Felder sind zwar möglich, werden aber selten verwendet.
  • Type: Gibt die Art des Datensatzes an. Beispiele sind „A“ für einen IPv4-Adresse, „AAAA“ für eine IPv6-Adresse oder „NS“ für Name Server.
  • Value: Der Wert des Eintrags richtet sich nach dem „Type“ des Records und kann verschiedenste Werte annehmen, darunter eine Zahl, einen Domain-Namen oder einen ASCII-String.

Die Akteure: Name Server

Ein einziger Name Server könnte theoretisch zwar die komplette DNS-Datenbank vorhalten und alle Anfragen darauf beantworten – das wäre aber genau das Gegenteil dessen, was man mit der Ablösung der oben erwähnten host.txt bezweckt hat.

Dem entsprechend ist der DNS-Namespace in Zonen aufgeteilt. Jede dieser – sich nicht überlappenden – Zonen deckt einen Bereich des Addressbaums ab und wird mit einem oder mehreren Name Servern verknüpft, welche die entsprechende DNS-Datenbank für diese Zone abdecken. Am Beginn der Hierarchie stehen 13 Root-Server.

Das Verfahren: Name Resolution

Um die zum DNS-Namen passende IP-Adresse zu beziehen, wendet sich der Resolver des Clients zunächst an einen lokalen Name Server. Dieser beantwortet die Anfrage auf jeden Fall komplett, sendet dem Client also die IP-Adresse zurück. Dieses Verfahren wird als „Recursive Query“ bezeichnet.

Damit ein lokaler Name Server eine Anfrage komplett beantworten kann, muss er die Antwort freilich kennen. Das ist dann der Fall, wenn er die zugehörige Zone-Datenbank selbst verwaltet und damit einen „authoritative record“ senden kann – ein authoritative record stammt stets von der Autorität, die eine Zone verwaltet und ist damit auch stets aktuell. Alternativ könnte der lokale Name Server auch auf einen zwischengespeicherten cached record zurückgreifen – sofern vorhanden und aktuell.

Kann der lokale Name Server ad hoc keine Antwort geben, wendet er sich seinerseits an einen der – im Falle des Internet – 13 Root Name Server. Der kennt garantiert die Informationen aller Top-Level-Domains und kann die Anfrage zumindest teilweise beantworten – mit dem Verweis auf einen für die jeweilige Top-Level-Domain zuständigen Name Server.

Über diesen hangelt sich der lokale Name Server nun schrittweise weiter, bis er die gewünschte IP-Information vollständig erhalten hat. Anders als der Client muss der lokale Name Server bei dem Verfahren auch mit unvollständigen Antworten vorlieb nehmen und die Auflösung eigenständig sukzessive vorantreiben. Dieses Verfahren wird als „iterative query“ bezeichnet.

Das Protokoll: UDP und TCP

In der Regel verwendet DNS als Kommunikationsprotokoll UDP. Empfängt der Name Server zeitnah keine Antwort, wiederholt er die Anfrage oder wendet sich an einen alternativen Server. Um Antworten verlässlich zuordnen zu können, verwenden die Querys einen 16 Bit langen Schlüssel, der auch in den Responses wieder auftaucht. Alternativ sind auch Anfragen per TCP möglich.

Die Erweiterungen

Im Laufe seines Bestehens wurde das DNS bereits auf verschiedenste Weise erweitert. Einige Beispiele:

Mit dem Dynamischen DNS (DDNS, DynDNS) existiert eine Technik, um Domains dynamisch zu aktualisieren – sinnvoll bei Systemen deren IP sich recht oft ändert, weil sie beispielsweise per DSL-Modem mit regelmäßiger Zwangstrennung durch den Provider mit dem Internet verbunden sind.

Mit RFC 3490 und RFC 5890 wurden zudem der für DNS verfügbare Zeichenvorrat vergrößert und die Internationalisierung vorangetrieben. RFC 2916 beschreibt derweil einen Ansatz, um Internetdienste mit dem vom Telefonnetz bekannten Nummerierungsschema anzusprechen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Hybrid-Angebot für DNS-Sicherheit

Automatisierung von zentralen Netzdiensten im Datacenter und darüber hinaus

Hybrid-Angebot für DNS-Sicherheit

Infoblox erneuert sein „Network Identity Operating System“ (NIOS), um zentrale Netzwerkdienste im Rechenzentren schnell automatisieren zu können. Das Unternehmen will damit Cloud-Readiness erreichen, um Geräte ortsunabhängig vor Datenverlust zu schützen. lesen

10 Stolpersteine beim Einsatz von Active Directory

Falsch verteilte Serverdienste, Probleme mit Betriebsmastern & Co.

10 Stolpersteine beim Einsatz von Active Directory

Beim Einsatz von Active Directory müssen Administratoren viele Stolpersteine beachten, damit die Umgebung korrekt funktioniert. Wir zeigen 10 besonders häufige Probleme und Fehlkonfigurationen in Active Directory und erläutern, wie man sie behebt. lesen

ETA ersetzt im Datacenter DPI

Encrypted Traffic Analytics vs. Deep Packet Inspection

ETA ersetzt im Datacenter DPI

Die Ära der Netzwerküberwachung auf der Basis von Deep Packet Inspection neigt sich in Rechenzentren ihrem Ende zu. Encrypted Traffic Analytics, kurz ETA, füllt diese Lücke. Um die Gunst der IT-Entscheider buhlen neben dem Platzhirsch Cisco mit „Stealthwatch Enterprise“ auch zwei aufstrebende Spezialisten für das Maschinelle Lernen. lesen

Red Hat Ansible Engine 2.6 verfügbar

Unterstützung für AWS, VMware, Microsoft und Infoblox

Red Hat Ansible Engine 2.6 verfügbar

Red Hat Ansible Engine 2.6 ist verfügbar. Der Anbieter bewirbt das Update des Orchestrierungswerkzeugs mit vereinfachter Multi-Cloud-Provisionierung und Windows-Automation, neuen Netzwerkfunktionen sowie einer verbesserten Erweiterbarkeit. lesen

So funktioniert eine DNS-basierte Security-Strategie

Netzwerk-Absicherung mit Fokus auf das Domain Name System

So funktioniert eine DNS-basierte Security-Strategie

Das Domain Name System (DNS) ist ein zentraler Punkt jedes Netzwerks und essentiell für die Kommunikation über das Internet. Längst haben Cyber-Kriminelle das DNS als Schwachstelle für Attacken ausgemacht. Doch besser als das DNS bloß gegen Angriffe zu sichern ist es, das System aktiv zur Verteidigung einzusetzen! lesen

Transparente und zentrale User-Administration mit DDI

IP Address Management verbessert Datenqualität bei der Software AG

Transparente und zentrale User-Administration mit DDI

Schluss mit dem aufwendigen Management einer in die Jahre gekommenen Netzwerkinfrastruktur: Seit 2017 betreiben die IT-Experten der Software AG intern eine moderne DDI-Lösung (DNS-DHCP-IPAM) von EfficientIP. Schon jetzt sticht eine Verbesserung der Datenqualität als eine der wesentlichen Optimierungen im Workflow hervor. Und für das laufende Jahr 2018 ist eine Erweiterung geplant. lesen

Was ist NBASE-T und auf was kommt es dabei an

Schnelles Ethernet nach 802.3bz für Bestandsverkabelungen

Was ist NBASE-T und auf was kommt es dabei an

Weltweit sind immer noch viele LAN-Installationen in Kategorie 5e oder 6 bzw. Klasse D oder E ausgeführt. Auf diesen Verkabelungen läuft heute maximal Ethernet mit 1000 Mbit/s. Der IEEE-Standard 802.3bz erlaubt 2,5 und 5 Gigabit/s, nennt sich NBASE-T und kann auch für mehr Performance in Bestandsverkabelungen sorgen. lesen

10 Tipps für Active-Directory-Administratoren

Mehr Sicherheit, Stabilität und Schutz

10 Tipps für Active-Directory-Administratoren

Die Verwaltung von Active Directory ist keine einfache Angelegenheit. Mit diesen 10 einfachen Schritten lassen sich Probleme in Active Directory aber bereits im Vorfeld vermeiden, Datenverlust verhindern und Betriebssicherheit herstellen. lesen

Updates für 18 kritische Lücken in Windows

Microsoft Patchday Juli 2018

Updates für 18 kritische Lücken in Windows

Zum Patchday im Juli 2018 hat Microsoft wieder verschiedene, kumulative Updates für Windows 10 veröffentlicht. Auch die neue Version 1803 erhält Updates. Zusätzlich erscheinen Updates für den Adobe Flash Player in den verschiedenen Windows 10-Versionen. Behoben werden durch die Updates auch Sicherheitslücken im Bereich Netzwerk, Hyper-V und Windows-Kernel. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44501341 / Definitionen)