Veröffentlicht: 19. April 2024
Mitwirkende: Chrystal R. China, Michael Goodwin
Das Domain Name System (DNS) ist die Komponente des Internetstandardprotokolls, das für die Umwandlung von für Menschen verständlichen Domainnamen in Internetprotokolladressen (IP-Adressen) verantwortlich ist, mit denen sich Computer im Netzwerk gegenseitig identifizieren.
Das DNS wird oft als „Telefonbuch für das Internet“ bezeichnet. Eine modernere Analogie ist, dass das DNS Domainnamen auf ähnliche Weise verwaltet, wie Smartphones es mit Kontakten tun. Dank Smartphones ist es überflüssig, sich einzelne Telefonnummern zu merken, weil sie in leicht durchsuchbaren Kontaktlisten gespeichert werden.
Ebenso ermöglicht das DNS es den Nutzern, Websites über Domainnamen anstelle von IP-Adressen aufzurufen. Anstatt sich beispielsweise merken zu müssen, dass sich der Webserver unter „93.184.216.34“ befindet, können die Benutzer einfach auf die Webseite „www.example.com“ gehen, um die gewünschten Ergebnisse zu erhalten.
Lesen Sie, wie Unternehmen mit Desktop-as-a-Service (DaaS) das gleiche Maß an Leistung und Sicherheit erreichen können wie bei der lokalen Bereitstellung der Anwendungen.
Vor dem DNS war das Internet ein wachsendes Netzwerk von Computern, das hauptsächlich von akademischen und Forschungseinrichtungen genutzt wurde. Entwickler haben Hostnamen manuell IP-Adressen zugeordnet, indem sie eine einfache Textdatei namens HOSTS.TXT verwendet haben. SRI International pflegte diese Textdateien und stellte sie allen Computern im Internet zur Verfügung. Mit der Ausweitung des Netzwerks wurde dieser Ansatz jedoch zunehmend untragbar.
Um eine Lösung für die Einschränkungen von HOSTS.TXT zu finden und ein besser skalierbares System zu schaffen, erfand der Informatiker Paul Mockapetris von der University of Southern California 1983 das Domain Name System. Eine Gruppe von Internetpionieren war an der Schaffung des DNS beteiligt und verfasste die ersten Request for Comments (RFCs), die die Spezifikationen des neuen Systems enthielten, RFC 882 und RFC 883. Später wurden die früheren RFCs durch RFC 1034 und RFC 1035 abgelöst.
Als das DNS expandierte, wurde die Verwaltung des DNS schließlich von der Internet Assigned Numbers Authority (IANA) übernommen, bevor 1998 die gemeinnützige Internet Corporation for Assigned Names and Numbers (ICANN) die Kontrolle übernahm.
Registrieren und Leitfaden zur Hybrid Cloud lesen
Von Anfang an haben die Entwickler das DNS mit einer hierarchischen, verteilten Datenbankstruktur konzipiert, um einen dynamischeren Ansatz zur Auflösung von Domainnamen zu ermöglichen, der mit einem schnell wachsenden Netzwerk von Computern Schritt halten kann. Die Hierarchie beginnt mit der Root-Ebene, die mit einem Punkt (.) gekennzeichnet ist, und unterteilt sich in Top-Level-Domains (TLDs) – wie „.com“, „.org“, „.net“ oder länderspezifische TLDs (auch „Country Code TLDs“ oder „ccTLDs“) wie „.uk“ und „.jp“ – und Second-Level-Domains.
Die DNS-Architektur besteht aus zwei Typen von DNS-Servern, rekursiven Servern und autoritativen Servern. Rekursive DNS-Server sind diejenigen, die die „Anfrage“ stellen und nach den Informationen suchen, die einen Benutzer mit einer Website verbinden.
Rekursive Server – auch bekannt als rekursive Resolver oder DNS-Resolver – werden in der Regel von Internetdienstanbietern (Internet Service Providers, ISPs), großen Unternehmen oder anderen DNS-Service-Anbietern verwaltet. Sie handeln im Auftrag des Endnutzers, um den Domainnamen in eine IP-Adresse aufzulösen. Rekursive Resolver speichern die Antworten auf eine Anfrage für einen bestimmten Zeitraum (definiert durch den Time-to-Live- oder TTL-Wert) zwischen, um die Effizienz des Systems für zukünftige Abfragen an dieselbe Domain zu verbessern.
Wenn ein Benutzer eine Webadresse in einen Suchbrowser eingibt, stellt der Browser eine Verbindung zu einem rekursiven DNS-Server her, um die Anfrage aufzulösen. Wenn der rekursive Server die Antwort zwischengespeichert hat, kann er den Benutzer verbinden und die Anfrage abschließen. Andernfalls schickt der rekursive Resolver eine Reihe von Abfragen an autoritative DNS-Server, um die IP-Adresse zu finden und den Benutzer mit der gewünschten Website zu verbinden.
Autoritative Server liefern die „Antworten“. Autoritative Nameserver enthalten die definitiven Datensätze für eine Domain und antworten auf Anfragen zu Domainnamen, die in ihren jeweiligen Zonen gespeichert sind (normalerweise mit vom Domaininhaber konfigurierten Antworten). Es gibt verschiedene Arten autoritativer Nameserver, die jeweils eine bestimmte Funktion innerhalb der DNS-Hierarchie erfüllen.
Zu den autoritativen DNS-Nameservern gehören:
Root-Nameserver stehen an der Spitze der DNS-Hierarchie und sind für die Verwaltung der Root-Zone (der zentralen Datenbank für das DNS) verantwortlich. Sie beantworten Abfragen zu Datensätzen, die in der Root-Zone gespeichert sind, und leiten Anfragen an die entsprechenden TLD-Nameserver weiter.
Es gibt 13 IP-Adressen, die für die Abfrage von 13 verschiedenen Root-Server-Netzwerken verwendet werden – gekennzeichnet durch die Buchstaben A bis M –, die Abfragen für die TLDs bearbeiten und die Anfragen an die entsprechenden TLD-Nameserver weiterleiten. Die Internet Corporation for Assigned Names and Numbers (ICANN) betreibt diese Root-Server-Netzwerke.
TLD-Server sind für die Verwaltung der nächsten Hierarchieebene verantwortlich, einschließlich generischer Top-Level-Domains (gTLDs). TLD-Nameserver leiten Abfragen an die maßgeblichen Nameserver für die spezifischen Domains innerhalb ihrer TLD weiter. Der TLD-Nameserver für „.com“ würde also Domains weiterleiten, die auf „.com“ enden, der TLD-Nameserver für „.gov“ würde Domains weiterleiten, die auf „.gov“ enden, und so weiter.
Der Domain Name Server (manchmal auch als Second Level Domain Name Server oder Domain Name Server der zweiten Ebene bezeichnet) enthält die Zonendatei mit der IP-Adresse für den vollständigen Domainnamen, beispielsweise „ibm.com“.
Jede Abfrage (manchmal auch DNS-Anfrage genannt) im DNS folgt derselben Logik zum Auflösen von IP-Adressen. Wenn ein Benutzer eine URL eingibt, fragt sein Computer nach und nach DNS-Server ab, um die entsprechenden Informationen und Ressourceneinträge zu finden, die der Anfrage des Benutzers oder der Benutzerin entsprechen. Dieser Prozess wird so lange fortgesetzt, bis das DNS die richtige Antwort von dem autoritativen DNS-Server findet, der mit dieser Domain verbunden ist.
Genauer gesagt umfasst die Abfrageauflösung im DNS mehrere Schlüsselprozesse und -komponenten.
Ein Benutzer gibt einen Domainnamen, wie z. B. „ibm.com“, in einen Browser oder eine App ein und die Anfrage wird an einen rekursiven DNS-Resolver gesendet. Normalerweise verfügt das Gerät des Benutzers über vordefinierte DNS-Einstellungen, die vom Internetdienstanbieter (Internet Service Provider, ISP) bereitgestellt werden und bestimmen, welchen rekursiven Resolver ein Client abfragt.
Der rekursive Resolver überprüft seinen Cache – den Zwischenspeicher eines Webbrowsers oder Betriebssystems (wie macOS, Windows oder Linux), in dem frühere DNS-Abfragen gespeichert sind – auf die entsprechende IP-Adresse der Domain. Wenn der rekursive Resolver die DNS-Lookup-Daten nicht in seinem Cache hat, beginnt der Resolver damit, sie von den autoritativen DNS-Servern abzurufen, angefangen beim Root-Server. Der rekursive Resolver fragt die DNS-Hierarchie ab, bis er die endgültige IP-Adresse findet.
Der rekursive Resolver fragt einen Root-Nameserver ab, der mit einem Verweis auf den entsprechenden TLD-Server für die betreffende Domain antwortet (in diesem Fall den TLD-Nameserver, der für „.com“-Domains zuständig ist).
Der Resolver fragt den TLD-Nameserver „.com“ ab, der mit der Adresse des autoritativen Nameservers für „ibm.com“ antwortet. Dieser Server wird manchmal auch als Domain Name Server der zweiten Ebene oder Second Level Domain Name Server bezeichnet.
Der Resolver fragt den Nameserver der Domain ab, der die DNS-Zonendatei durchsucht und mit dem richtigen Datensatz für den angegebenen Domainnamen antwortet.
Der rekursive Resolver speichert den DNS-Datensatz für eine durch die TTL des Datensatzes festgelegte Zeit im Cache und gibt die IP-Adresse an das Gerät des Nutzers zurück. Der Browser oder die App kann dann eine Verbindung mit dem Hostserver unter dieser IP-Adresse herstellen, um auf die angeforderte Website oder den Service zuzugreifen.
Zusätzlich zu den wichtigsten Servertypen verwendet das DNS Zonendateien und verschiedene Eintragstypen, um den Auflösungsprozess zu unterstützen. Zonendateien sind textbasierte Dateien, die Zuordnungen und Informationen über eine Domain innerhalb einer DNS-Zone enthalten.
Jede Zeile einer Zonendatei gibt einen DNS-Ressourceneintrag an (ein einzelner Teil der Informationen über die Art eines bestimmten Typs oder einer bestimmten Art von Daten). Die Ressourceneinträge stellen sicher, dass das DNS Domainnamen schnell in umsetzbare Informationen umwandeln kann, wenn ein Benutzer eine Abfrage sendet, die Benutzer zum richtigen Server weiterleitet.
DNS-Zonendateien beginnen mit zwei obligatorischen Einträgen: der globalen Time to Live (TTL) – die angibt, wie die Einträge im lokalen DNS-Cache gespeichert werden sollen – und dem Start of Authority (SOA-Eintrag) – der den primären autoritativen Nameserver für die DNS-Zone angibt.
Nach den beiden primären Einträgen kann eine Zonendatei mehrere andere Eintragsarten enthalten, darunter:
A-Einträge beziehen sich auf IPv4-Adressen und AAAA-Einträge auf IPv6-Adressen.
MX-Einträge geben einen SMTP-E-Mail-Server für eine Domain an.
CNAME-Einträge leiten Hostnamen von einem Alias auf eine andere Domain um (die „kanonische Domain“).
NS-Einträge geben den maßgeblichen Nameserver für eine Domain an.
PTR-Einträge ermöglichen eine umgekehrte DNS-Suche, bei der IP-Adressen Domainnamen zugeordnet werden.
TXT-Einträge geben das Absenderrichtlinien-Framework für die E-Mail-Authentifizierung an.
DNS-Lookups beinhalten in der Regel drei Arten von Abfragen. Rekursive Abfragen, die den rekursiven Server und den DNS-Client verbinden, lösen entweder den Domainnamen vollständig auf oder geben eine Fehlermeldung an den Benutzer zurück, die ihn darüber informiert, dass die Domain nicht gefunden werden kann.
Iterative Abfragen, die rekursive Resolver (ein lokaler DNS-Server) und nicht-lokale DNS-Server (wie Root-Server, TLD- oder Domainnameserver) verbinden, erfordern keine Domain-Auflösung. Stattdessen könnten die Server mit einem Verweis antworten, bei dem der Root-Server den rekursiven Resolver an die TLD verweist, die den Resolver wiederum an einen autoritativen Server verweist, der die Antwort bereitstellt (wenn eine Antwort verfügbar ist). Daher werden iterative Abfragen entweder mit einer Antwort oder einem Verweis aufgelöst.
Bei nicht-rekursiven Abfragen weiß der rekursive Resolver bereits, wo die Antwort auf die Abfrage zu finden ist, sodass diese Abfragen immer mit einer Antwort aufgelöst werden. Der Resolver spart Zeit, indem er entweder die Antwort im Cache des rekursiven Servers findet oder die DNS-Root- und TLD-Nameserver überspringt und direkt zum entsprechenden autoritativen Server geht. Wenn der rekursive Resolver beispielsweise eine IP-Adresse angibt, die in einer früheren Sitzung zwischengespeichert wurde, würde die Anfrage als nicht-rekursive Anfrage gelten.
Unternehmen haben verschiedene Möglichkeiten, das DNS zu nutzen, darunter öffentliches und privates DNS oder eine Kombination aus beidem. Öffentliches und privates DNS sind zwei völlig unterschiedliche Dinge. Um zu verstehen, wie man das DNS am besten für die Bedürfnisse des Unternehmens nutzt, ist es wichtig zu wissen, wie beide Arten funktionieren.
Öffentliches DNS bezieht sich normalerweise auf die Resolver-Seite eines DNS und auf die rekursiven Server, die verwendet werden, um autoritative Nameserver abzufragen und Benutzer mit Websites zu verbinden.
Diese Server sind für jeden Benutzer im Internet zugänglich und Unternehmen wie Cloudflare (1.1.1.1), Quad9 und OpenDNS stellen sie in der Regel kostenlos zur Verfügung. Öffentliche DNS-Server werden von den Unternehmen verwaltet, die sie ausführen. Benutzer und Clients haben keine Kontrolle über ihren Betrieb, ihre Richtlinien oder ihre Konfiguration.
Das private DNS bezieht sich in der Regel auf den autoritativen Teil des DNS. Unternehmen richten innerhalb eines privaten Netzwerks private DNS-Server ein, die als maßgebliche DNS-Server fungieren und DNS-Abfragen für interne Ressourcen bereitstellen. Private DNS-Server befinden sich hinter einer Firewall und enthalten nur Datensätze interner Websites, sodass der Zugriff auf autorisierte Nutzer, Geräte und Netzwerke beschränkt ist.
Im Gegensatz zu öffentlichen DNS-Konfigurationen haben Unternehmen bei privaten DNS die Kontrolle über ihre DNS-Server. Sie können DNS-Einträge anpassen, interne Namensschemata anwenden und bestimmte Sicherheitsrichtlinien durchsetzen. Das bedeutet auch, dass die Unternehmen für die Wartung der Infrastruktur verantwortlich sind, unabhängig davon, ob das Hosting in lokalen Rechenzentren oder über Cloud-Services erfolgt.
Verwaltete DNS-Lösungen lagern den Server-Management- und Orchestrierungsprozess im Grunde aus. Bei einem verwalteten System übernimmt der DNS-Anbieter alle Konfigurations-, Wartungs- und Sicherheitsprotokolle für die DNS-Server einer Organisation, und der Client verwendet die Infrastruktur des Anbieters, um Domainnamen zu verwalten. Wenn ein Benutzer in diesem Fall die URL eines Unternehmens eingibt, wird er vom Domain Name Server des Unternehmens auf die Server des Anbieters umgeleitet, die alle Ressourcen abrufen und dem Benutzer antworten.
Außerdem bietet verwaltetes DNS weitere Services und Vorteile wie dediziertes DNS, globalen Server-Lastausgleich, garantierte Betriebszeit, API-first-Architektur, DNSSEC-Unterstützung, globale Anycast-Netzwerke, beschleunigte Weiterleitungszeiten, Monitoring- und Health-Check-Tools, DDoS-Schutz und mehr.
Die meisten modernen DNS-Server sind recht sicher, selbst bei der Verwendung eines öffentlichen DNS. Die besten DNS-Systeme können jedoch trotzdem anfällig für Cybersicherheitsprobleme sein. Bestimmte Arten von Angriffen zielen auf die autoritative Seite des DNS ab, während andere auf die rekursive Seite abzielen. Zu diesen Angriffen gehören:
DNS-Spoofing, auch Cache Poisoning genannt, liegt vor, wenn ein Angreifer falsche Adressdatensätze in den Cache eines DNS-Resolvers einfügt, sodass der Resolver eine falsche IP-Adresse zurückgibt und Nutzer auf bösartige Websites umleitet. Spoofing kann sensible Daten gefährden und zu Phishing-Angriffen und der Verbreitung von Malware führen.
DNS-Amplification ist eine Art Distributed Denial-of-Service (DDoS)-Angriff, bei dem ein Angreifer kleine Abfragen an einen DNS-Server sendet und die Rücksendeadresse mit der IP-Adresse des Opfers fälscht. Diese Angriffe nutzen den zustandslosen Charakter von DNS-Protokollen aus und machen sich die Tatsache zunutze, dass eine kleine Abfrage eine sehr große Antwort erzeugen kann.
Bei einem Amplification-Angriff antwortet der DNS-Server mit wesentlich längeren Antworten, wodurch sich die an den Benutzer gerichtete Datenverkehrsmenge erhöht und dessen Ressourcen überlastet werden. Dies kann dazu führen, dass das DNS nicht funktioniert und die Anwendung abstürzt.
DNS-Tunneling ist eine Technik, mit der Sicherheitsmaßnahmen umgangen werden, indem Nicht-DNS-Datenverkehr wie HTTP in DNS-Abfragen und -Antworten eingeschlossen wird. Angreifer können DNS-Tunneling nutzen, um Malware-Befehle weiterzuleiten oder Daten aus einem kompromittierten Netzwerk zu exfiltrieren. Dabei verschlüsseln sie die Nutzlast häufig in DNS-Abfragen und -Antworten, um eine Erkennung zu vermeiden.
Beim Domain-Hijacking verschafft sich ein Angreifer unbefugten Zugang zu einem Domain-Registrar-Konto und ändert die Registrierungsdaten einer Domain. Durch Hijacking können böswillige Akteure den Datenverkehr auf bösartige Server umleiten, E-Mails abfangen und auf andere Weise die Kontrolle über die Online-Identität des Benutzers übernehmen.
Vernachlässigte DNS-Einträge für Subdomains, die auf stillgelegte Services verweisen, sind ein ideales Ziel für Angreifer. Wenn ein Dienst (wie ein Cloud-Host) außer Betrieb genommen wurde, der DNS-Eintrag jedoch erhalten bleibt, kann ein Angreifer möglicherweise Anspruch auf die Subdomain erheben und an ihrer Stelle eine schädliche Website oder einen schädlichen Dienst einrichten.
Unabhängig davon, für welchen DNS Service sich ein Unternehmen entscheidet, ist es ratsam, Sicherheitsprotokolle zu implementieren, um DNS-Angriffsflächen zu minimieren, potenzielle Sicherheitsprobleme zu entschärfen und DNS in Netzwerkprozessen zu optimieren. Einige nützliche Praktiken zur Verbesserung der DNS-Sicherheit sind:
- Einsatz von DNS-Sicherheitserweiterungen (DNSSEC) und virtuellen privaten Netzwerken (VPNs): DNSSEC fügt eine zusätzliche Sicherheitsebene für DNS-Abfragen hinzu, indem DNS-Antworten digital signiert werden müssen. DNSSEC kann insbesondere vor DNS-Spoofing-Angriffen schützen, indem es den Ursprung von Anfragen authentifiziert und die Integrität von DNS-Daten überprüft.
VPNs sorgen für Vertraulichkeit, indem sie IP-Adressen verschlüsseln, sodass u.a. Standort- und Browserverlaufsdaten nicht zurückverfolgt werden können.
- Einsatz von Ratenbegrenzungsmethoden: Die Ratenbegrenzung auf DNS-Servern kann DDoS-Angriffe eindämmen, indem sie die Anzahl der Antworten – oder die Rate, mit der die Server Antworten an einen einzelnen Anfrager in einem bestimmten Zeitraum senden – begrenzt.
- Erforderliche Zwei-Faktor-Authentifizierung (2FA) für Domain-Registrierungsstellen: Die Einrichtung von 2FA für Domain-Registrar-Konten kann es Angreifern erschweren, unbefugten Zugriff auf Server zu erhalten, und das Risiko von Domain-Hijacking verringern.
- Verwendung von Redundanzen: Die Bereitstellung von DNS in einer redundanten Konfiguration auf mehreren geografisch verteilten Servern kann dazu beitragen, die Verfügbarkeit des Netzwerks im Falle eines Angriffs oder Ausfalls sicherzustellen. Wenn der primäre Server ausfällt, können sekundäre Server die DNS-Auflösung übernehmen.
- Implementierung von DNS-Flushing: Durch regelmäßiges Leeren des DNS-Caches werden alle Einträge aus dem lokalen System entfernt. Dies kann nützlich sein, um ungültige oder kompromittierte DNS-Einträge zu löschen, die Benutzer zu bösartigen Websites führen könnten.
- Bleiben Sie über DNS-Bedrohungen informiert. Angreifer und Sicherheitsbedrohungen entwickeln sich genauso weiter wie die Systeme, die sie kompromittieren. Wenn Sie sich über die neuesten DNS-Schwachstellen und Bedrohungen auf dem Laufenden halten, können Ihre Teams den böswilligen Akteuren einen Schritt voraus sein.
IBM® NS1 Connect bietet Benutzern überall auf der Welt schnelle, sichere Verbindungen mit Premium-DNS und fortschrittlicher, anpassbarer Datenverkehrssteuerung. Die ständig verfügbare API-First-Architektur ermöglicht es Ihren IT-Teams, Netzwerke effizienter zu überwachen, Änderungen bereitzustellen und routinemäßige Wartungsarbeiten durchzuführen.
Erkennen Sie Fehlkonfigurationen und Sicherheitsprobleme schnell mit benutzerdefinierten Echtzeitberichten, die auf DNS-Observability-Daten von IBM NS1 Connect DNS Insight basieren.
IBM® Cloud DNS Services bieten öffentliche und private autoritative DNS Services mit schnellen Antwortzeiten, beispielloser Redundanz und erweiterter Sicherheit. Die Verwaltung erfolgt durch die Webschnittstelle von IBM Cloud oder per API.