Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- it-themen:grundlagen:netzwerkdienste:dns [28.11.2025 10:28] – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1
+++ it-themen:grundlagen:netzwerkdienste:dns [28.11.2025 10:29] (aktuell) – ↷ Links angepasst, weil Seiten im Wiki verschoben wurden lars
@@ Zeile 1: / Zeile 1: @@
+[[..:start|zurück]]
+====== Domain Name System (DNS) ======
+Das **Domain Name System (DNS)** ist das Telefonbuch des Internets. Es übersetzt leicht merkbare
+Domainnamen (z. B. ''example.com'') in IP-Adressen (z. B. ''93.184.216.34''). Ohne DNS würden Benutzer
+IP-Adressen wie Telefonnummern auswendig lernen müssen – und das will niemand, nicht einmal ein Admin,
+der schon genug um die Ohren hat.
+===== Aufgaben von DNS ======
+  * **Namensauflösung** – Domain → IP
+  * **Reverse Lookup** – IP → Domain
+  * **Dienstinformationen** – z. B. ''MX'' für Mailserver
+  * **Verteilte Datenbank** – weltweit, hierarchisch organisiert
+  * **Lastverteilung** – z. B. Round-Robin
+  * **Sicherheitsmechanismen** – DNSSEC, Zonen-Transfers nur autorisiert
+===== DNS-Hierarchie ======
+<a2s>
+               Root (.)
+                 |
+  +--------------+--------------+
+  |              |              |
+ .com           .de           .org
+  |              |              |
+  |              |              |
+example.com     uni-kl.de     wikipedia.org
+  |
+  |
+www.example.com
+</a2s>
+Eine typische DNS-Auflösung läuft durch mehrere Ebenen:
+**Root → TLD → autoritativer Nameserver → Ressourceneintrag**.
+----
+===== Forward Lookups ======
+Bei einem Forward-Lookup wird eine Domain in eine IP-Adresse aufgelöst.
+Beispiel:
+  * Anfrage: ''www.example.com''
+  * Antwort: ''93.184.216.34'' (A-Record)
+===== Reverse Lookup ======
+Hier wird eine IP-Adresse wieder einem Hostnamen zugeordnet.
+Beispiel:
+  * Anfrage: ''34.216.184.93.in-addr.arpa''
+  * Antwort: ''www.example.com''
+----
+===== DNS-Record-Typen ======
+^ Typ ^ Bedeutung ^ Beispiel ^
+| **A** | IPv4-Adresse | ''www → 93.184.216.34'' |
+| **AAAA** | IPv6-Adresse | ''www → 2606:2800:220:1:248:1893:25c8:1946'' |
+| **CNAME** | Alias auf anderen Namen | ''www → server01.example.com'' |
+| **MX** | Mailserver | ''example.com → mail.example.com'' |
+| **TXT** | Frei definierbare Texte | SPF, DKIM, Verifizierungen |
+| **NS** | autoritative Nameserver | ''example.com → ns1.example.com'' |
+| **PTR** | Reverse Lookup | ''34.216.184.93 → www.example.com'' |
+| **SRV** | Dienste (SIP, Kerberos, AD) | ''_kerberos._tcp.example.com'' |
+| **SOA** | Verwaltungsdaten der Zone | Serial, Refresh usw. |
+----
+===== Ablauf einer DNS-Auflösung (Query Flow) ======
+<a2s>
+.-----------.    .----------.    .------.    .----------------.
+|           |    |          |    |      |    |                |
+| Client/PC | —> | Resolver | —> | Root | —> | TLD (.de/.com) |
+|           |    |          |    |      |    |                |
+'----+------'    '----------'    '------'    '-------+--------'
+     ^                                               |
+     |                                               |
+     +----------- Autoritativer Server  <------------+
+</a2s>
+Der Resolver (meist der Router oder ein DNS-Server im LAN) kümmert sich um Caching, Wiederholungen
+und Validierung.
+----
+===== DNS-Caching ======
+DNS speichert Antworten für eine bestimmte Zeit (TTL). Dadurch werden:
+  * Netzwerke entlastet
+  * Ladezeiten verkürzt
+  * Autoritative Server geschont
+Beispiel TTL:
+  * ''3600'' Sekunden = 1 Stunde
+----
+===== Zonen & Zonen-Dateien ======
+Eine **DNS-Zone** ist ein Teilbaum des Namensraums, verwaltet von einem autoritativen Server.
+Typische Zonendatei (BIND-Stil):
+<code conf>
+ $TTL 3600
+ @   IN  SOA ns1.example.com. admin.example.com. (
+ 2024112701 ; Serial
+       ; Refresh
+        ; Retry
+     ; Expire
+)    ; Minimum
+ IN  NS  ns1.example.com.
+ www IN  A   93.184.216.34
+ mail IN  MX  10 mail.example.com.
+</code>
+----
+===== Sicherheit: DNSSEC ======
+DNSSEC schützt vor Spoofing und Man-in-the-Middle-Angriffen.
+DNSSEC bietet:
+  * **Authentizität der Daten**
+  * **Integrität**
+  * **Chain of Trust** → Root → TLD → Domain
+Keine Verschlüsselung – nur Signaturen!
+----
+===== DNS Spoofing & Angriffe ======
+Typische Angriffe:
+  * Cache Poisoning
+  * DNS-Spoofing
+  * DDoS via offene Resolver
+  * Subdomain Takeover
+  * Gefälschte Zonen (z. B. durch offenen AXFR)
+Basic-Härtestung:
+  * AXFR nur für autorisierte IPs
+  * DNSSEC aktivieren
+  * Rekursion LAN-only
+  * Rate Limiting
+  * Keine offenen Resolver
+----
+===== Tools für DNS-Analyse ======
+  * `dig` – der Klassiker
+  * `nslookup` – legacy, aber noch gebräuchlich
+  * `host` – einfaches Lookup
+  * `drill` – modern, DNSSEC-tauglich
+  * `tcpdump` – Paketmitschnitt
+Beispiele:
+<code bash>
+ dig A example.com
+ dig +trace www.example.com
+ dig -x 93.184.216.34
+</code>
+----
+===== Beispiel: DNS + DHCP im Zusammenspiel ======
+DHCP kann DNS-Einträge automatisch erzeugen (DDNS):
+  * Client bekommt IP → DHCP-Server aktualisiert DNS
+  * Gängig in Active-Directory-Umgebungen
+  * Erhöht Übersicht & Automatisierung
+===== Zusammenfassung ======
+DNS ist die zentrale Komponente der Namensauflösung. Es ist global verteilt, hochverfügbar,
+leistungsfähig und unverzichtbar. Eine saubere DNS-Konfiguration entscheidet oft über
+Erreichbarkeit, Sicherheit und Performance.
+<WRAP center round important 60%>
+<inline em>Ein Admin, der DNS beherrscht, hat die halbe Netzwerkwelt verstanden – der Rest ist nur Routing
+… und Kaffee.</inline>
+</WRAP>