🌐 DNS – Domain Name System¶
📘 Einführung¶
Das Domain Name System (DNS) ist das „Telefonbuch“ des Internets. Es wandelt menschenlesbare Domainnamen (wie example.com) in IP-Adressen (z. B. 93.184.216.34) um, die Computer zum Kommunizieren benötigen.
Ohne DNS müssten Benutzer sich IP-Adressen merken – DNS macht das Internet nutzbar und flexibel.
🏗️ Aufbau des DNS-Systems¶
Das DNS ist hierarchisch aufgebaut:
.
└── Root (.)
├── Top-Level Domains (TLDs) – z. B. .com, .org, .ch
│ └── Second-Level Domains – z. B. example.com
│ └── Subdomains – z. B. www.example.com
🌍 Root-Server¶
- Es gibt 13 Root-Server-Instanzen (
AbisM), aber weltweit verteilt über viele Rechenzentren. - Sie kennen die autoritativen Nameserver der TLDs und sind Ausgangspunkt jeder DNS-Auflösung.
⚙️ Funktionsweise¶
Ein typischer DNS-Ablauf sieht so aus:
- Benutzer gibt
www.example.comin den Browser ein. - Der Client fragt einen rekursiven Resolver (z. B. 1.1.1.1 oder 8.8.8.8).
- Dieser fragt:
- Root-Server → „Wer ist zuständig für
.com?“ .com-TLD-Server → „Wer ist zuständig fürexample.com?“example.com-Nameserver → „Wie lautet die IP vonwww.example.com?“- Die IP wird zurückgeliefert und vom Client genutzt.
🔁 DNS-Auflösungstypen¶
- Rekursiv: Der Resolver übernimmt alle Schritte bis zur Antwort.
- Iterativ: Der Resolver gibt nur Hinweise auf nächste Server.
- Caching: Häufig angefragte Adressen werden für die TTL zwischengespeichert.
- Forwarding: Interne Resolver leiten Anfragen weiter an öffentliche Resolver.
🧪 DNS-Records (Typen)¶
DNS-Records sind die Bausteine jeder DNS-Zone und definieren, wie eine Domain aufgelöst oder weiterverarbeitet wird. Hier eine umfassende Übersicht der wichtigsten Record-Typen:
| Record | Beschreibung | Beispiel / Verwendung |
|---|---|---|
| A | IPv4-Adresse eines Hosts | example.com A 93.184.216.34 |
| AAAA | IPv6-Adresse eines Hosts | example.com AAAA 2606:2800::1 |
| CNAME | Alias (Canonical Name) zu einem anderen DNS-Namen | www.example.com CNAME example.com |
| MX | Mail-Exchanger – Mailserver für eine Domain | example.com MX 10 mail.example.com |
| TXT | Frei definierbarer Text (z. B. für SPF, DKIM, DMARC) | example.com TXT "v=spf1 include:_spf.google.com" |
| NS | Nameserver, die für die Domain zuständig sind | example.com NS ns1.provider.net |
| PTR | Reverse-Lookup – IP-Adresse zu Hostname | 34.216.184.93.in-addr.arpa PTR example.com |
| SOA | Start of Authority – Verwaltungsinformationen zur Zone | Enthält Serial, Refresh, Retry, Expire, TTL |
| SRV | Dienst-Zeiger, beschreibt Dienst-Standorte (z. B. für VoIP, LDAP, SIP) | _sip._tcp.example.com SRV 10 60 5060 sipserver.example.com |
| CAA | Certification Authority Authorization – Wer darf Zertifikate ausstellen | example.com CAA 0 issue "letsencrypt.org" |
| NAPTR | Namensadress-Zuordnung, für Dienste wie ENUM (Telefonie) | Wird oft in Verbindung mit SRV verwendet |
| LOC | Geolokalisierung einer Domain (Breite, Länge, Höhe) | example.com LOC 47 23 0.000 N 8 32 0.000 E 0.0m |
| DNSKEY | Öffentlicher Schlüssel für DNSSEC | Teil der DNSSEC-Validierung |
| DS | Delegation Signer – DNSSEC Schlüsselweitergabe | Enthält Hash des untergeordneten Zonen-Schlüssels |
| TLSA | Bindet TLS-Zertifikate an einen Host (DANE) | Wird mit DNSSEC verwendet |
| SSHFP | Fingerprint für SSH-Keys | example.com SSHFP 1 1 <hash> |
| SPF | Legacy SPF Record (mittlerweile als TXT umgesetzt) | Veraltet, durch TXT abgelöst |
| URI | Zeigt auf eine Ressource-URI | example.com URI 10 1 "https://example.com/api" |
| HINFO | Host-Information (CPU/OS – selten genutzt) | example.com HINFO "Intel" "Linux" |
🧭 DNS in lokalen Netzwerken¶
📻 mDNS – Multicast DNS¶
- Wird in lokalen Netzwerken verwendet, um Hostnamen ohne zentralen DNS-Server aufzulösen.
- Bekannt von Bonjour (Apple), Avahi (Linux).
- Beispiel:
raspberrypi.local→ wird via mDNS im Netzwerk aufgelöst.
🖥️ Lokale DNS-Server¶
- Viele Heimrouter fungieren als DNS-Forwarder oder resolver.
- In Unternehmen: Interne DNS-Zonen (z. B.
corp.local) für Windows-Domänen. - Beliebte Open-Source-DNS-Server:
BIND,dnsmasq,Unbound,CoreDNS
🔐 Sicherheit¶
- DNSSEC schützt vor Manipulation durch Signieren der DNS-Antworten.
- DNS over HTTPS (DoH) & DNS over TLS (DoT) verschlüsseln DNS-Anfragen.
- Split-Horizon-DNS zeigt je nach Client-Quelle unterschiedliche Antworten (intern vs. extern).
📚 Fazit¶
DNS ist eines der grundlegenden Protokolle des Internets. Ein gutes Verständnis über Aufbau, Funktionsweise und Records ist unerlässlich für jeden, der Netzwerke betreibt oder verwaltet.