**Dies ist eine alte Version des Dokuments!**
Inhaltsverzeichnis
Domain Name System (DNS)
Das Domain Name System (DNS) ist das Telefonbuch des Internets. Es ĂĽbersetzt leicht merkbare
Domainnamen (z. B. example.com) in IP-Adressen (z. B. 93.184.216.34). Ohne DNS wĂĽrden Benutzer
IP-Adressen wie Telefonnummern auswendig lernen müssen – und das will niemand, nicht einmal ein Admin,
der schon genug um die Ohren hat.
Aufgaben von DNS
- Namensauflösung – Domain → IP
- Reverse Lookup – IP → Domain
- Dienstinformationen – z. B.
MXfür Mailserver - Verteilte Datenbank – weltweit, hierarchisch organisiert
- Lastverteilung – z. B. Round-Robin
- Sicherheitsmechanismen – DNSSEC, Zonen-Transfers nur autorisiert
DNS-Hierarchie
Eine typische DNS-Auflösung läuft durch mehrere Ebenen:
Root → TLD → autoritativer Nameserver → Ressourceneintrag.
Forward Lookups
Bei einem Forward-Lookup wird eine Domain in eine IP-Adresse aufgelöst.
Beispiel:
- Anfrage:
www.example.com - Antwort:
93.184.216.34(A-Record)
Reverse Lookup
Hier wird eine IP-Adresse wieder einem Hostnamen zugeordnet.
Beispiel:
- Anfrage:
34.216.184.93.in-addr.arpa - Antwort:
www.example.com
DNS-Record-Typen
| Typ | Bedeutung | Beispiel |
|---|---|---|
| A | IPv4-Adresse | www → 93.184.216.34 |
| AAAA | IPv6-Adresse | www → 2606:2800:220:1:248:1893:25c8:1946 |
| CNAME | Alias auf anderen Namen | www → server01.example.com |
| MX | Mailserver | example.com → mail.example.com |
| TXT | Frei definierbare Texte | SPF, DKIM, Verifizierungen |
| NS | autoritative Nameserver | example.com → ns1.example.com |
| PTR | Reverse Lookup | 34.216.184.93 → www.example.com |
| SRV | Dienste (SIP, Kerberos, AD) | kerberos.tcp.example.com |
| SOA | Verwaltungsdaten der Zone | Serial, Refresh usw. |
Ablauf einer DNS-Auflösung (Query Flow)
Der Resolver (meist der Router oder ein DNS-Server im LAN) kĂĽmmert sich um Caching, Wiederholungen und Validierung.
DNS-Caching
DNS speichert Antworten fĂĽr eine bestimmte Zeit (TTL). Dadurch werden:
- Netzwerke entlastet
- Ladezeiten verkĂĽrzt
- Autoritative Server geschont
Beispiel TTL:
3600Sekunden = 1 Stunde
Zonen & Zonen-Dateien
Eine DNS-Zone ist ein Teilbaum des Namensraums, verwaltet von einem autoritativen Server.
Typische Zonendatei (BIND-Stil):
$TTL 3600 @ IN SOA ns1.example.com. admin.example.com. ( 2024112701 ; Serial 3600 ; Refresh 600 ; Retry 604800 ; Expire 86400 ) ; Minimum IN NS ns1.example.com. www IN A 93.184.216.34 mail IN MX 10 mail.example.com.
Sicherheit: DNSSEC
DNSSEC schĂĽtzt vor Spoofing und Man-in-the-Middle-Angriffen.
DNSSEC bietet:
- Authentizität der Daten
- Integrität
- Chain of Trust → Root → TLD → Domain
Keine Verschlüsselung – nur Signaturen!
DNS Spoofing & Angriffe
Typische Angriffe:
- Cache Poisoning
- DNS-Spoofing
- DDoS via offene Resolver
- Subdomain Takeover
- Gefälschte Zonen (z. B. durch offenen AXFR)
Basic-Härtestung:
- AXFR nur fĂĽr autorisierte IPs
- DNSSEC aktivieren
- Rekursion LAN-only
- Rate Limiting
- Keine offenen Resolver
Tools fĂĽr DNS-Analyse
dig– der Klassikernslookup– legacy, aber noch gebräuchlichhost– einfaches Lookupdrill– modern, DNSSEC-tauglichtcpdump– Paketmitschnitt
Beispiele:
dig A example.com dig +trace www.example.com dig -x 93.184.216.34
Beispiel: DNS + DHCP im Zusammenspiel
DHCP kann DNS-Einträge automatisch erzeugen (DDNS):
- Client bekommt IP → DHCP-Server aktualisiert DNS
- Gängig in Active-Directory-Umgebungen
- Erhöht Übersicht & Automatisierung
Zusammenfassung
DNS ist die zentrale Komponente der Namensauflösung. Es ist global verteilt, hochverfügbar, leistungsfähig und unverzichtbar. Eine saubere DNS-Konfiguration entscheidet oft über Erreichbarkeit, Sicherheit und Performance.
Ein Admin, der DNS beherrscht, hat die halbe Netzwerkwelt verstanden – der Rest ist nur Routing … und Kaffee.