destina - Fotolia
Die 3 Arten von DNS-Servern und wie sie funktionieren
DNS ist eine der wichtigsten Internettechnologien, die bei der Zuordnung von menschenlesbaren Domänen zu den entsprechenden IP-Adressen eine zentrale Rolle spielt.
Nicht alle DNS-Server sind gleich, und ein Verständnis dafür, wie die drei verschiedenen Arten von DNS-Servern bei der Auflösung von Domänennamen zusammenarbeiten, kann für jeden Informationssicherheits- oder IT-Experten hilfreich sein.
Das Domain Name System (DNS) ist eine zentrale Internettechnologie, die menschenfreundliche Domänennamen in maschinell nutzbare IP-Adressen umwandelt, zum Beispiel www.example.com in 192.0.2.1. Das DNS arbeitet als verteilte Datenbank, wobei verschiedene Arten von DNS-Servern für unterschiedliche Teile des DNS-Namensraums zuständig sind.
Die drei DNS-Servertypen sind:
- DNS Stub Resolver Server
- DNS Recursive Resolver Server
- DNS Authoritative Server
Abbildung 1 zeigt die drei verschiedenen Arten von DNS-Servern.
Ein Stub Resolver ist eine Softwarekomponente, die normalerweise in Endpunkt-Hosts zu finden ist und DNS-Anfragen generiert, wenn Anwendungsprogramme, die auf Desktop-Computern oder mobilen Geräten laufen, DNS-Domänennamen auflösen müssen. Von Stub Resolvern gestellte DNS-Anfragen werden in der Regel an einen rekursiven DNS-Resolver gesendet. Der Resolver führt so viele Abfragen durch, wie nötig sind, um die Antwort auf die ursprüngliche Anfrage zu erhalten, und sendet die Antwort dann zurück an den Stub Resolver.
Der Recursive Resolver kann sich in einem Heimrouter befinden, von einem Internetdienstanbieter gehostet oder von einer dritten Partei bereitgestellt werden, wie beispielsweise der Public DNS Recursive Resolver von Google unter 8.8.8.8 oder der DNS-Dienst von Cloudflare unter 1.1.1.1.
Da das DNS als verteilte Datenbank arbeitet, sind verschiedene Server für verschiedene Teile des DNS-Namensraums zuständig – autoritativ in der DNS-Sprache.
Abbildung 2 veranschaulicht ein hypothetisches DNS-Auflösungsszenario, in dem eine Anwendung alle drei Arten von DNS-Servern verwendet, um den Domänennamen www.example.com in eine IPv4-Adresse aufzulösen – mit anderen Worten, einen DNS-Adressress-Ressourceneintrag (DNS Address Resource Record).
In Schritt 1 sendet der Stub Resolver des Hosts eine DNS-Anfrage an den Recursive Resolver. In Schritt 2 sendet der Recursive Resolver die Abfrage erneut an einen der DNS Authoritative Server für die Root-Zone. Dieser Authoritative Name Server verfügt nicht über die Antwort auf die Abfrage, kann aber einen Verweis auf den Authoritative Name Server für die .com-Zone liefern. Daraufhin sendet der Recursive Resolver die Abfrage erneut an den autoritativen Namenserver für die .com-Zone.
Dieser Prozess setzt sich fort, bis die Anfrage schließlich an einen Authoritative Name Server für die Zone www.example.com gesendet wird, der die Antwort auf die ursprüngliche Anfrage geben kann, das heißt, wie lauten die IP-Adressen für www.example.com? In Schritt 8 wird diese Antwort schließlich an den Stub Resolver zurückgeschickt.
Zu beachten ist, dass alle diese DNS-Nachrichten unverschlüsselt übertragen werden und dass böswillige Akteure die Internetaktivitäten der Benutzer überwachen können. Jeder, der DNS-Server verwaltet, sollte sich der DNS-Datenschutzprobleme bewusst sein und wissen, wie diese Bedrohungen abgemildert werden können. Eine Verschlüsselung lässt sich mit den Protokollen DNS over TLS und DNS over HTTPS erreichen.