Computer kommunizieren über IP-Adressen – Menschen denken in Namen. Niemand merkt sich 142.250.185.46 wenn er Google aufrufen möchte. Das Domain Name System (DNS) löst dieses Problem: Es ist das "Telefonbuch des Internets" und übersetzt Domainnamen in IP-Adressen.
www.google.com → DNS-Auflösung → 142.250.185.46DNS ist hierarchisch aufgebaut – wie ein umgekehrter Baum:
. (Root)
│
┌───────────┼───────────┐
.com .de .org ← Top-Level-Domains (TLD)
│
┌───┴───┐
google example ← Second-Level-Domains
│
www ← Subdomain (Third-Level)Record | Name | Bedeutung | Beispiel |
|---|---|---|---|
A | Address | Domain → IPv4-Adresse | example.com → 93.184.216.34 |
AAAA | IPv6 Address | Domain → IPv6-Adresse | example.com → 2606:2800::1 |
CNAME | Canonical Name | Alias auf anderen Domainnamen | www.example.com → example.com |
MX | Mail Exchange | Mailserver für Domain | example.com → mail.example.com |
NS | Name Server | Zuständiger DNS-Server | example.com → ns1.example.com |
TXT | Text | Beliebiger Text (SPF, DKIM, Verifikation) | v=spf1 include:... -all |
PTR | Pointer | Reverse DNS: IP → Domain | 34.216.184.93.in-addr.arpa → example.com |
SOA | Start of Authority | Primärer Nameserver der Zone | Zone-Verwaltungsinformationen |
SRV | Service | Dienst-Informationen (Port, Protokoll) | _sip._tcp.example.com |
Browser fragt: "Was ist die IP von www.example.com?"
Schritt 1: Browser-Cache prüfen
→ Bereits bekannt? Fertig!
Schritt 2: Betriebssystem-Cache / hosts-Datei prüfen
→ Bereits bekannt? Fertig!
Schritt 3: Rekursiver Resolver des ISP wird gefragt
→ Bereits gecacht? Fertig!
Schritt 4: Resolver fragt Root-Server (.)
→ "Ich kenne .com – frag ns1.verisign.com"
Schritt 5: Resolver fragt TLD-Server (.com)
→ "Ich kenne example.com – frag ns1.example.com"
Schritt 6: Resolver fragt Authoritative Nameserver
→ "www.example.com = 93.184.216.34" ✓
Schritt 7: Antwort wird gecacht (TTL beachten)
→ Browser erhält IP-AdresseTyp | Aufgabe | Beispiele |
|---|---|---|
Rekursiver Resolver | Nimmt Anfragen entgegen und löst sie vollständig auf | 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), ISP-DNS |
Root-Server | Kennt die TLD-Nameserver (13 Root-Server weltweit) | a.root-servers.net bis m.root-servers.net |
TLD-Nameserver | Zuständig für eine Top-Level-Domain (.com, .de, .org) | Verisign (.com), DENIC (.de) |
Authoritative Nameserver | Kennt alle Records einer spezifischen Domain | ns1.example.com – gibt die finale Antwort |
Jeder DNS-Record hat eine TTL (Time to Live) in Sekunden. Sie gibt an wie lange ein Resolver die Antwort cachen darf:
TTL = 300 → Cache für 5 Minuten (schnelle Änderungen möglich)
TTL = 3600 → Cache für 1 Stunde
TTL = 86400 → Cache für 24 Stunden (Standard)
Wichtig bei DNS-Änderungen:
Alte TTL: 86400 (24h) → Änderung dauert bis zu 24h bis sie überall sichtbar ist
Tipp: TTL vor geplanten Änderungen auf 300 reduzieren!Port | Protokoll | Verwendung |
|---|---|---|
53 | UDP | Standard-DNS-Anfragen (kleine Antworten) |
53 | TCP | Große Antworten (>512 Byte) und Zonentransfer |
853 | TCP | DNS over TLS (DoT) |
443 | TCP | DNS over HTTPS (DoH) |
Windows:
nslookup www.google.com → Einfache DNS-Abfrage
nslookup -type=MX google.com → MX-Records abfragen
ipconfig /displaydns → DNS-Cache anzeigen
ipconfig /flushdns → DNS-Cache leeren
Linux/Mac:
dig www.google.com → Detaillierte DNS-Abfrage
dig MX google.com → MX-Records
dig @8.8.8.8 google.com → Spezifischen DNS-Server befragen
dig -x 8.8.8.8 → Reverse DNS (PTR-Record)
host google.com → Einfache AbfrageAngriff/Schwachstelle | Beschreibung | Schutz |
|---|---|---|
DNS-Spoofing / Cache Poisoning | Gefälschte DNS-Antworten in den Cache einschleusen | DNSSEC |
DNS-Hijacking | DNS-Server kompromittieren um Nutzer umzuleiten | DoT/DoH, DNSSEC |
DNS-Amplification | Kleine Anfragen erzeugen große Antworten – für DDoS missbraucht | Response Rate Limiting |
DNS-Exfiltration | Daten über DNS-Anfragen aus dem Netzwerk schleusen | DNS-Monitoring, Anomalie-Erkennung |
DNS übersetzt Domainnamen in IP-Adressen – das "Telefonbuch des Internets"
DNS ist hierarchisch aufgebaut: Root → TLD → Second-Level → Subdomain
Wichtige Record-Typen: A (IPv4), AAAA (IPv6), CNAME (Alias), MX (Mail), TXT (Text)
Die Auflösung läuft über Resolver → Root → TLD → Authoritative Nameserver
TTL bestimmt wie lange DNS-Einträge gecacht werden
Standard-Port: 53 UDP (kleine Anfragen) und 53 TCP (große Antworten)
DNS over TLS (Port 853) und DNS over HTTPS (Port 443) verschlüsseln DNS-Anfragen
DNSSEC schützt vor Cache-Poisoning durch digitale Signaturen