Allgemein

DNS-Server und deren Funktionsweise

Haben Sie sich schonmal die Frage gestellt, wie die Webseite, die Sie im Webbrowser aufrufen, eigentlich zu Ihnen findet, bzw. wie die verschiedenen Webseiten-URLs zu verschiedenen Hostings auflösen und Ihnen somit den richtigen Inhalt darstellt? Genau diese Funktionsweise möchten wir Ihnen im folgenden Blog-Beitrag näherbringen.

Was ist ein DNS-Server?

Der DNS (Domain Name System) ist durch die sogenannte „hosts“-Datei entstanden. Der Inhalt der „hosts“ Datei wurde früher im ARPANET, dem Vorgänger des Internets und diente zunächst händisch, später automatisiert, zur Namensauflösung. Bei der Namensauflösung wird geschaut, welche IP-Adresse sich hinter einer Domain/URL befindet, damit eine Umwandlung bzw. Auflösung von Namen in numerische Adressen realisiert werden kann.

Heutzutage gibt es die „hosts“ Datei zwar immer noch, jedoch hauptsächlich für Entwickler um beispielsweise lokale IP-Adressen zuzuweisen, aber auch um IP-Adressen von externen Webseiten zu ändern, bzw. lokal zu manipulieren.
Durch die steigende Anzahl von Hosts im ARPANET wuchs somit der Bedarf für ein verteiltes und hierarchisches System zur Namensauflösung, zumal das ARPANET keine automatische Namensauflösung besaß.
Man tauschte diese host-Datei, welche IP-Adressen beinhaltete, händisch untereinander aus.
Somit gab man, wie man es heute gewohnt ist nicht die Domain bzw. URL an, sondern direkt die IP-Adresse. Erst später gab es einen Mechanismus, der dafür sorgte, dass Einträge aus der Host-Datei automatisch abgeglichen wurden.

Ein DNS-Server bzw. ein Nameserver ist ein allgemein verfügbarer Dienst, welcher die passende IP-Adresse zu einer angefragten URL kennt und diese Informationen zur Verfügung.

Abbildung 1: Auflösung einer Domain

Gibt man z.B. „gsa-systems.de“ in seinen Browser ein, so wird die URL an den DNS-Server weitergeleitet. Anschließend leitet dieser den Nutzer an die dazugehörige IP-Adresse weiter. Der DNS-Server fungiert faktisch als Übersetzung einer Domain in eine IP-Adresse. Falls der DNS-Server die angefragte Domain nicht kennt und somit keine zugeordnete IP-Adresse besitzt, wird die Anfrage von einem anderen DNS-Server versucht zu beantworten, in dem der primäre Server die Anfrage an sekundären weiterleitet.
DNS-Server sind mit einem Cache (Zwischenspeicher) ausgestattet, um bereits aufgelöste Anfragen schnell auflösen zu können, dementsprechend muss der Cache des DNS-Servers geleert werden, bevor die Domain, zum Beispiel nach einem Umzug, neu zugeordnet werden kann.
Als letzte Möglichkeit bleibt der von der ICANN (Internet Corporation for Assigned Names and Numbers) betriebene Root Nameserver, um die URL einer IP-Adresse zuordnen zu können.

Privatanwender nutzen standardmäßig die DNS-Server des Providers.
Firmen hingegen betreiben meist ihren eigenen, um z.B. auch interne Domains aufzulösen zu können, wie z.B „gsa.intern“, welche nur im Intranet verfügbar sind.

Wichtige Begriffserklärungen zum Thema DNS-Server/Anbieter

DNSCrypt
DNSCrypt authentifiziert und verschlüsselt den DNS-Traffic zwischen dem Benutzer und dem DNS-Server.

DNS over HTTPS
Über DNS over HTTPS, kurz DoH, wird die DNS-Auflösung, um Man-in-the-Middle-Attacken zu verhindern, über das HTTPS-Protokoll getätigt. Dieses Protokoll wurde am 18. Oktober 2018 durch die IETF (Internet Engineering Task Force) standardisiert.

DNS over TLS
Mithilfe von DNS over TLS werden alle Abfragen um Hostnamen in IP-Adressen aufzulösen, über das Transport-Layer-Security-Protokoll (Vorgängerbezeichnung Secure Sockets Layer, kurz SSL), verschlüsselt übertragen.

DNS-Spoofing
Beim DNS-Spoofing wird der Nameserver durch einen Angreifer attackiert, indem er sich zu den Konfigurationen Zugang verschafft und somit dafür sorgt, dass nicht nur die eigentlichen Informationen der Webseite bei dem Seitenaufruf mitgeliefert werden, sondern auch manipulierte, um Sie später auf eine Phishing-Seite zu leiten, wenn Sie z.B. Online-Banking betreiben wollen. Da der Rechner diese Daten im Zwischenspeicher parat hält, erinnert sich der Computer später daran und nutzt diese Daten.

Domain Name System Security Extensions
Die Domain Name System Security Extensions, kurz DNSSEC stellt sicher, dass die Domain „gsa-systems.de“ auch tatsächlich zu der IP-Adresse „31.204.120.32“ gehört. Doch auch dieses System hat seine Tücken, denn es kann nicht vor DNS-Spoofing schützen.

Als Anwender kann ich mich dennoch dagegen schützen, Mozilla hat z.B. hier bei der Implementierung mit dem DNS-Anbieter Cloudflare zusammengearbeitet. Ab Mozilla Firefox Version 62 lässt sich DoH über die erweiterten Einstellungen über die „about:config“ aktivieren. Mithilfe von DNSCrypt-Proxy und Simple DNSCrypt können Sie auf Linux, BSD, Windows, macOS, Android und anderen Systemen die Protokollarten DNSCrypt, sowie DoH nutzen.

Alternative DNS-Server

Warum sollte ich mir über alternative DNS-Server Gedanken machen?

Die meisten DNS-Server, seien es die Standardserver Ihres Internet Service Provider, kurz ISP, z.B. Telekom, Vodafone, Unitymedia usw. speichern jede von Ihnen besuchte Webseite, den dazugehörigen Zeitstempel und ggf. Ihre IP-Adresse mit und werten diese Informationen aus.

Wenn Sie keine standardisierte Suchmaschine eingestellt haben und sich versehentlich bei der Webseiten-URL vertippen, oder die angefragte URL nicht mehr registriert ist, erhalten Sie oft, anstelle einer klassischen Fehlermeldung durch den Browser, eine alternative Ausgabe. Dies kann z.B. die Navigationshilfe der Telekom sein.

Die Telekom versichert zwar, dass keine Daten gespeichert werden, dennoch wäre es gut, selbst zu entscheiden, ohne dass man diese Option vorher im Kundencenter ausschalten muss, was mit, den im Browser, getätigten Suchbegriffen und Domainaufrufen passiert.
Mittlerweile, während dieser Beitrag in Bearbeitung war, hat die Telekom diesen Dienst des DNS-Hijackings, der gewaltsamen Übernahme, abgestellt.

Der wohl noch am meisten verbreitetste, bzw. bekannteste öffentliche DNS-Server ist, wie zu erwarten, der Google DNS-Server, betrieben durch die Alphabet Inc.
Blickt man hier auf die Datenschutzerklärung zur Haltung gegenüber der Privatsphäre, wird schnell klar, dass hier einiges mitgeschnitten wird, woran man niemals gedacht hätte.

Obwohl Googles DNS-Server die wohl ausfallsicherste Option ist, gibt es eine große Auswahl an Alternativen welche besonders in den letzten Jahren entstanden sind.

Auf der Webseite dnsperf.com kann man die öffentlichen DNS-Server auf Schnelligkeit, Verfügbarkeit und der generellen Qualität vergleichen. Den Ergebnissen kann entnommen werden, dass es eine weitaus größere Auswahl an Anbietern mit ähnlich oder besseren Ergebnissen im direkten Vergleich zu Google gibt.

Anbieter

Im folgenden Abschnitt gehen wir ein wenig auf Alternative DNS-Server-Anbieter ein, sowie auf deren Vor- und Nachteile im Allgemeinen.
Diesbezüglich folgt eine Tabelle mit fünf erwähnenswerten DNS-Server-Anbietern.

DNSCrypt DNSoverHTTPS DNSoverTLS Inhaltsblockierung
Google Nein Ja Ja Nein
Cloudflare Nein Ja Ja Nein
Quad9 Nein Nein Ja Schädliche Domains
OpenDNS Ja Nein Ja Adult, Family
CleanBrowsing Ja Ja Nein Security, Adult, Family

Cloudflare hat mittlerweile, mit seinem erst kürzlich vorgestellten DNS-Service, die Führung im Bereich Performance und Verfügbarkeit übernommen.
Der Service 1.1.1.1 wurde seitens Cloudflare zum 01. April 2018 veröffentlicht. Seit dem 11. November wurde sowohl für Android als auch für iOS eine mobile Version veröffentlicht, die jeglichen Traffic auf mobilen Endgeräten über die Cloudflare Server leiten.
Cloudflare schafft es mit seinem DNS-Server auf sagenhafte 14.3 ms, während Google etwa doppelt so lange braucht, eine Anfrage aufzulösen. Die größten Vorteile sind jedoch, dass Cloudflare eine datenschutzfreundliche Alternative zu anderen Mitbewerbern anbietet. Auch die Anycast-Struktur, bei dem eine Gruppe an Rechnern, einer Adresse zugeteilt sind, ermöglicht eine sehr ausfallsichere Netzwerkstruktur.

In der folgenden Auflistung zeigen wir Ihnen weitere empfehlenswerten Alternativen, welche als DNS-Server infrage kommen könnten.

Fazit

Wem seine persönliche Privatsphäre, Sicherheit und Performance wichtig ist und auch nicht unbedingt möchte, dass große Firmen oder Ihr Internetprovider jede Seite, die Sie aufrufen, ausnahmslos mitschneidet, der sollte sich überlegen, ob es nicht sinnvoll wäre, den DNS-Server zu ändern.

Wenn man sich die verschiedenen Protokolle anschaut, sowie die Abwehrmechanismen, dem fällt auf, von welcher zentralen Bedeutung DNS-Server heute geworden sind. Durch die zahlreichen Top-Level-Domains, sowie sonstiger Dienste im Internet, reicht es schon lange nicht mehr aus, händisch eine Liste aller Internetseiten und ihrer IP-Adressen lokal vorliegen zu haben, zumal laut Bing und Google im Jahre 2008 in etwa eine Billion Webseiten existierten.
DNS-Server müssen in einer gigantischen Menge an Daten schnell die richtige IP-Adresse ausfindig machen können.

Quellen:
cloudflare.com
chaosradio.de
welivesecurity.com

JS

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.