Sie sind an Cloud Computing interessiert? Legen Sie jetzt los

Was ist DNS?

Was ist DNS (Domain Name System)?

Nun kommen wir zur zentralen Frage der Benennung. Wie wir jetzt wissen, werden Nachrichten im Internet in Form von Paketen übermittelt, die mit Nummern adressiert werden. Diese Nummern bezeichnen wir als IP-Adressen. Aber wie werden diese IP-Adressen ermittelt?

Es ist schlicht unmöglich, sich die IP-Adresse jedes Servers zu merken, mit dem Sie kommunizieren möchten. Oder wüssten Sie aus dem Gedächtnis, dass www.apple.com der IP-Adresse 17.253.207.54 entspricht? Deshalb erhalten Hosts Namen, die man sich leichter merken kann, wie www.apple.com. Diese Namen werden Hostnamen genannt. Nun brauchen wir also nur noch eine Möglichkeit, Hostnamen in IP-Adressen zu übersetzen.

Hier kommt das Domain Naming System oder DNS ins Spiel. Das DNS übersetzt Hostnamen in IP-Adressen. Man kann sich das DNS wie eine Art Telefonbuch vorstellen, nur dass Namen hier statt in Telefonnummern in IP-Adressen übersetzt werden. www.apple.com entspricht dabei beispielsweise 17.253.207.54. Bedenken Sie dabei auch, dass Hostnamen zu einer Domain gehören. www.apple.com gehört beispielsweise zur Domain apple.com.

Das DNS ist in zwei Teile unterteilt: rekursiv und autoritativ. Das rekursive DNS richtet sich an die Nutzer und das autoritative DNS an die Inhaber der Domain. Wir werden nun jede dieser beiden Seiten näher betrachten.

Werfen wir zunächst einen Blick auf das rekursive DNS und wie es konfiguriert ist. Das Betriebssystem Ihres Computers ist so konfiguriert, dass es einen oder mehrere rekursive DNS-Server verwendet, die normalerweise von Ihrem Internetanbieter oder der IT-Abteilung Ihres Unternehmens bereitgestellt werden. Im Konfigurationsfenster meines Computers kann ich beispielsweise sehen, dass mein Computer für die Verwendung von zwei rekursiven DNS-Servern mit den IP-Adressen 75.75.75.75 und 75.75.76.76 konfiguriert ist. Diese Server werden von meinem Internetanbieter betrieben – in diesem Fall Comcast.

Jeder dieser rekursiven DNS-Server kann DNS-Lookups für alle Anwendungen bereitstellen, die auf meinem Computer ausgeführt werden. So kann beispielsweise jede Anwendung auf meinem Computer eine Abfrage für www.apple.com an einen dieser rekursiven DNS-Server senden. Dieser antwortet darauf mit der IP-Adresse 17.253.207.54.

Aber wie kommen die rekursiven DNS-Server zu ihren Antworten? Schließlich können sie unmöglich die Antwort auf jede mögliche Abfrage für einen Hostnamen kennen. Hier kommt das autoritative DNS ins Spiel.

Schauen wir uns nun das autoritative DNS an und wie es konfiguriert ist. Dazu blicken wir zunächst auf Domains. Eine Domain wie apple.com muss von einer Organisation erworben werden, die als Registrierungsstelle bezeichnet wird. Es gibt viele Registrierungsstellen und von einigen davon haben Sie sicher schon einmal gehört oder sogar Geschäfte mit ihnen gemacht. Bekannte Beispiele sind Network Solutions und GoDaddy. Nachdem Sie eine Domain von einer Registrierungsstelle erworben haben, müssen Sie ein paar autoritative DNS-Server einrichten und der Registrierungsstelle die Liste dieser Server übermitteln. In unserem Beispiel verfügt Apple über vier autoritative DNS-Server für seine Domain apple.com.

Zur Konfiguration dieser autoritativen DNS-Server muss eine Zonendatei erstellt und darauf hochgeladen werden. In dieser Zonendatei werden im Wesentlichen alle Übersetzungen für die Hostnamen in der Domain aufgelistet. In diesem Beispiel enthält die Zonendatei für die Domain apple.com Übersetzungen für die Hostnamen www.apple.com, mail.apple.com, vpn.apple.com und alles, was sonst noch benötigt wird.

Dabei ist zu beachten, dass die autoritativen DNS-Server für die Domain apple.com nur in der Lage sein müssen, Hostnamen in dieser Domain zu übersetzen, und dass jeder autoritative DNS-Server der Domain diese Funktion ausführen kann. In unserem Beispiel ist jeder der vier autoritativen DNS-Server für apple.com in der Lage, www.apple.com in die IP-Adresse 17.253.207.54 zu übersetzen. Der entscheidende Punkt hierbei ist, dass die autoritativen DNS-Server für apple.com nur in der Lage sein müssen, Hostnamen in der Domain apple.com zu übersetzen. Sie müssen beispielsweise keine Hostnamen in der Domain google.com übersetzen können. Diese Verantwortung würde bei den autoritativen DNS-Servern für die Domain google.com liegen. Dank dieser Aufteilung der Zuständigkeiten kann das DNS flexibel skaliert werden.

Sehen wir uns nun an, wie die beiden Hälften des DNS zusammenarbeiten. Wenn eine Anwendung auf meinem Computer die Seite www.apple.com aufrufen möchte, sendet sie zunächst die Abfrage an einen der rekursiven DNS-Server, die im Betriebssystem meines Computers konfiguriert wurden. Dieser rekursive DNS-Server kennt die Antwort nicht von vornherein. Um sie zu erhalten, leitet er die Abfrage an einen der autoritativen DNS-Server weiter, die für die Domain apple.com konfiguriert wurden.

Der autoritative DNS-Server kennt die Antwort. Sie befindet sich in der Zonendatei und muss dort nur nachgeschlagen werden. Diese Antwort kann dann an den rekursiven DNS-Server zurückgesendet werden. Anschließend sendet der rekursive DNS-Server die Antwort an meinen Computer zurück. Dabei speichert der rekursive DNS-Server die Antwort für einen konfigurierbaren Zeitraum. So kann, wenn er das nächste Mal eine Abfrage für diesen Hostnamen empfängt, die Kontaktaufnahme mit dem autoritativen DNS übersprungen werden.

Sie fragen sich vielleicht, wie es möglich ist, dass die rekursiven DNS-Server die autoritativen DNS-Server der Domain finden können, in unserem Beispiel die von apple.com. Die Antwort lautet: Hierarchie. Sie wird durch die Registrierungsstelle ermöglicht. Sie erinnern sich doch noch an die Registrierungsstelle, oder? Eine detaillierte Beschreibung der Funktionsweise dieser Hierarchie würde den Rahmen dieser Präsentation sprengen.

Das DNS ist ein wichtiger und grundlegender Bestandteil des Internets. Ohne ein intaktes DNS können Sie das Internet praktisch nicht nutzen.

Das Domain Name System (DNS) ist ein wichtiger Bestandteil des Internets. Es wird oft mit einem Telefonbuch verglichen. Das DNS ordnet für Menschen verständliche Domainnamen, wie z. B. www.apple.com, numerischen IP-Adressen zu, die von Computern gelesen werden können. Das System unterstützt die Verwendung von IP-Adressen zur Weiterleitung von IP-Paketen.

Was kam vor dem DNS?

Bevor das Domain Name System (DNS) erfunden wurde, erfolgte das Zuweisen von Computer-Hostnamen und -Adressen manuell. Dafür war ein Telefonanruf erforderlich, um Hostnamen und Adressen zur Datei HOSTS.TXT hinzufügen zu lassen, die vom SRI (Stanford Research Institute)verwaltet wurde. Anschließend wurden sie einem ARPANET-Verzeichnis zugeordnet, das von Elizabeth Feinler entwickelt worden ist. 1983 entwickelte Paul Mockapetrisdas DNS, ein verteiltes und dynamisches Benennungssystem, das den langsamen HOST.TXT-Dienst ersetzte. Dies sorgte für die erforderliche Skalierbarkeit, um den wachsenden Netzwerkanforderungen zu begegnen. Dank des Frameworks der DNS-Datensätze können IP-Adressen einprägsame Domainnamen zugeordnet werden. 1986 erklärte die Internet Engineering Task Force (IETF) DNS zu einem Internetstandard.

Heute ist DNS ein zentraler Bestandteil der Infrastruktur des Internets.

Funktionsweise von DNS

DNS-Dienste übersetzen Hostnamen in IP-Adressen. Dabei ähnelt das DNS einem Telefonbuch, nur dass hier nicht ein Name mit einer Telefonnummer verknüpft, sondern ein Domainname in eine IP-Adresse übersetzt wird. www.apple.com entspricht dabei beispielsweise 17.253.207.54. Das Domain Name System (DNS) ist in zwei kooperierende DNS-Nameserver unterteilt:

  • rekursiver DNS-Server
  • autoritativer DNS-Server

Was ist ein rekursiver DNS-Server?

Das rekursive DNS ist nutzerorientiert und an jeder DNS-Abfrage beteiligt. Das Betriebssystem eines Computers ist so konfiguriert, dass es einen oder mehrere rekursive DNS-Server verwendet. Diese rekursiven DNS-Server werden meistens von einem Internetprovider (ISP) oder der IT-Abteilung eines Unternehmens bereitgestellt. Wenn Sie einen Domainnamen in einen Browser eingeben, z. B. apple.com, kennt der rekursive DNS-Server die IP-Adresse dieser Domain nicht, aber er weiß, wo er nach diesen Informationen suchen muss. Um eine IP-Adresse zu finden, stellt der rekursive DNS-Server eine Verbindung zu einem autoritativen DNS-Server her.

Was ist ein autoritativer DNS-Server?

Ein autoritativer Nameserver richtet sich an den Inhaber der Domain. Eine Domain wie apple.com wird von einer Organisation erworben, die als Registrierungsstelle bezeichnet wird. Eine bekannte Registrierungsstelle ist beispielsweise GoDaddy. Nachdem ein Domainname erworben wurde, muss ein Unternehmen autoritative DNS-Server einrichten und die Liste dieser Server an die Registrierungsstelle übermitteln. Das Unternehmen kann mehrere autoritative DNS-Server verwenden.

Zur Konfiguration der autoritativen DNS-Server muss eine Zonendatei erstellt und an die Registrierungsstelle übermittelt werden. In dieser Zonendatei werden alle Übersetzungen für die Hostnamen in der Domain aufgelistet. Beim Beispiel apple.com enthält die Zonendatei Übersetzungen für die Hostnamen www.apple.com, mail.apple.com, vpn.apple.com und andere.

Die autoritativen DNS-Server einer Unternehmensdomain müssen nur die Hostnamen in dieser Domain übersetzen können. Wenn also apple.com beispielsweise vier autoritative DNS-Server hat, kann jeder davon eine eingehende Anfrage eines rekursiven DNS-Servers für apple.com in die entsprechende IP-Adresse, 17.253.207.54, übersetzen.

Sobald er die IP-Adresse in der Zonendatei gefunden hat, sendet der autoritative DNS-Server diese Informationen zurück an den rekursiven DNS-Server, der dann die Antwort an den Webbrowser sendet, der über die Informationen zum Anzeigen der Webseite verfügt.

Eine wichtige Funktion des rekursiven DNS-Servers besteht darin, dass er IP-Adressdaten für einen gewissen Zeitraum im DNS-Cache des Computers speichern kann. So muss der rekursive DNS-Server, wenn Sie das nächste Mal zu apple.com navigieren wollen, keine Anfrage mehr an die autoritativen DNS-Server von apple.com senden, damit die Apple-Webseiten angezeigt werden kann.

Ist ein Domain Name System notwendig?

Ja, DNS ist ein grundlegender Bestandteil des Internets. Ohne DNS wäre das Internet nicht nutzbar. Wenn Ihr rekursiver DNS-Server beispielsweise ausfällt, müssten Sie, um eine Verbindung zu einer Website herzustellen, die IP-Adresse manuell in die Adressleiste Ihres Browsers eingeben.

DNS-Sicherheitsprobleme

Einige Cyberangriffe zielen auf das DNS ab. Zum Beispiel:

  • DNS-Hijacking: Dabei wird eine IP-Adresse in eine andere Adresse abgewandelt, sodass die DNS-Suche nach einer Domain auf die eigenen Server des Hackers verweist. So werden Endnutzer auf eine schädliche Website umgeleitet.
  • DNS-Verstärkung: Dies ist eine Unterart von DDoS-Angriffen (Distributed Denial of Service). DNS-Verstärkungsangriffe:Sie zielen auf öffentlich verfügbare DNS-Server ab und überfluten sie mit DNS-Antworttraffic.
  • Flooding-Angriffe auf das DNS: Eine weitere Art von DDoS-Angriffen, die auf serverseitige Assets abzielen und eine Flut von UDP-Anfragen senden. DNS-Anfragepakete werden mit einer extrem hohen Paketrate gesendet, was zu einem Massenangriff auf Quell-IP-Adressen führt.
  • DNS Cache Poisoning: Bei diesem Vorgehen beeinträchtigen Hacker den DNS-Cache und versuchen, so Kontrolle über den Cache des rekursiven DNS-Servers zu erlangen.

Akamai Edge DNSAkamai Edge DNS ist ein globaler, hochgradig skalierbarer DNS-Service, der Schutz, Ausfallsicherheit bei DDoS-Angriffen und hohe DNS-Reaktionsfähigkeit bietet.

Häufig gestellte Fragen (FAQ)

Das Domain Name System (DNS) ist ein wichtiger Bestandteil des Internets. Es wird oft mit einem Telefonbuch verglichen. Das Domain Name System (DNS) ordnet für Menschen verständliche Domainnamen, wie z. B. www.apple.com, numerischen IP-Adressen zu, die von Computern gelesen werden können. Das System unterstützt die Verwendung von IP-Adressen zur Weiterleitung von IP-Paketen.

Die autoritativen DNS-Server einer Domain müssen Hostnamen in dieser Domain übersetzen, und jeder autoritative DNS-Server der Domain kann diese Funktion ausführen. Das bedeutet, dass DNS-Server domainspezifisch sind und daher keine Hostnamen aus anderen Domains übersetzen können. Diese Aufteilung der Zuständigkeiten macht das DNS so gut skalierbar.

Ein vollständig qualifizierter Domainname oder FQDN ist ein kompletter Domainname, der eine Website, einen Host, einen Server oder eine andere Onlineressource identifiziert. Ein FQDN ist auch ein Domainname, der seinen genauen Standort in der DNS-Hierarchiestruktur angibt.

Bei der DNS-Hierarchie, auch Domainnamespace genannt, befindet sich am oberen Ende des Baumes eine einzelne Domain, die Root-Domain. Die DNS-Hierarchie wird dann in Domains der zweiten Ebene, Subdomains und Hosts aufgeteilt. So entstehen fünf DNS-Hierarchieebenen:

  1. Root-Level-Domain (Root-Nameserver)
  2. Top-Level-Domains (TLD-Nameserver)
  3. Second-Level-Domains (SLD)
  4. Subdomains
  5. Hosts

Warum entscheiden sich Kunden für Akamai?

Akamai ist das Unternehmen für Cybersicherheit und Cloud Computing, das das digitale Leben unterstützt und schützt. Unsere marktführenden Sicherheitslösungen, überlegene Threat Intelligence und unser globales Betriebsteam bieten umfassende Abwehrmaßnahmen, um die Daten und Anwendungen von Unternehmen überall zu schützen. Die Cloud-Computing-Lösungen von Akamai bieten als Full-Stack-Gesamtpaket Performance und erschwingliche Preise auf der weltweit am stärksten verteilten Plattform. Globale Unternehmen vertrauen auf Akamai für die branchenführende Zuverlässigkeit, Skalierbarkeit und Expertise, die sie benötigen, um ihr Geschäft selbstbewusst auszubauen.

Entdecken Sie alle Akamai Security Solutions