DNS steht für Domain Name System. Das DNS ist ein Service, der benutzerfreundliche Domainnamen wie google.com in eine computergerechte IP-Adresse wie 64.233.160.0 auflöst. Die IP-Adresse ermöglicht dem Browser, den Server mit den angefragten Inhalten zu finden. Die Kombination aus Hostname und IP-Adresse wird Namespace genannt. Die Überwachung Deines DNS-Eintrags sorgt dafür, dass das Domain Name System die Besucher zu Deinen Websites und Services sowie elektronische Kommunikation weiterhin richtig weiterleitet.

Das Domain Name System ist eine hierarchische, verteilte Datenbank, bei dem jede Datenbank einen Teil der Informationen enthält, die auf eine bestimmte Website oder zu einem bestimmten Gerät führen. Das Domain Name System arbeitet mit den Netzwerkprotokollen TCP/IP zusammen, um ein umfassendes, benutzerfreundliches und uneingeschränktes Internet bereitzustellen.

Das DNS ist die geschäftigste Datenbank der Welt, die Anfragen von Milliarden von Geräten handhabt. Ein einzelner Seitenaufruf kann zu 50 oder mehr DNS-Anfragen führen. Während Du im Internet surfst, erzeugst Du möglicherweise Tausende von DNS-Anfragen. Bedenkt man die Milliarden Menschen und Geräte (Internet of Things), die das Gleiche machen, erweist sich die Zahl der von DNS-Servern bearbeiteten Anfragen als atemberaubend, aber das DNS bewältigt den Traffic ausgezeichnet und löst jeden Domainnamen in Mikrosekunden auf.

Wie funktioniert das DNS?

Der Prozess, einen Hostname (z. B. google.com) einzugeben, um eine IP-Adresse (z. B. 64.233.160.0) zu erhalten, wird auflösen genannt. Die Auflösung eines Hostname ist für den Nutzer, der den Hostname in die Adresszeile des Browsers eingibt, nicht sichtbar. Aber während dieser Mikrosekunden zwischen Anfrage und Auflösung passiert viel und vier unterschiedliche DNS-Servertypen werden benötigt.

DNS-Servertypen

Vier unterschiedliche DNS-Servertypen arbeiten zusammen, um Dir die benötigten Inhalte zu liefern.

DNS Recursor

Üblicherweise stellt der ISP (Internet Service Provider) den DNS Recursor bzw. rekursive DNS-Server bereit. Dieser Server agiert als eine Art Concierge, der Client-Anfragen zur Auflösung eines Hostname in eine IP-Adresse annimmt, die Arbeit ausführt und die IP-Adresse an den Client zurückgibt.

Der rekursive Resolver prüft zuerst seinen Cache, um zu sehen, ob die IP-Adresse bereits angefragt wurde. Ist das nicht der Fall, kontaktiert der Resolver den Root Server.

Root Nameserver

Verfügt der DNS Recursor nicht über einen Cache-Eintrag, kontaktiert er den DNS Root Nameserver. Die DNS Root Nameserver stehen an oberster Stelle der Hierarchie der Zonen, die Root-Zonen genannt werden. Die DNS Root-Zone ist an oberster Stelle der DNS-Hierarchie, die Anfragen an die richtige Zone leitet.

Es gibt 13 Root-Zonenserver, die von 12 unabhängigen Organisationen bereitgestellt werden. Diese 13 Server antworten dem rekursiven Server mit der IP-Adresse an die entsprechenden Top Level Domain (TLD) Nameserver.

TLD Nameserver

Die Top Level Domain Nameserver enthalten die Informationen zu den Domainnamen, die die gleiche Domainnamenserweiterung wie beispielsweise .com, .gov, .net und .edu haben. Diese TLD-Server antworten dem rekursiven Server mit der IP-Adresse des autoritativen Nameserver, der über die benötigten Domain-Informationen verfügt.

Autoritativer Nameserver

Der autoritative Nameserver verfügt über alle Informationen, die zu einem bestimmten Domainnamen wie zum Beispiel google.com gehören. Der autoritative Nameserver löst den Namen zur entsprechenden IP-Adresse auf, sendet diese zurück an den DNS Resolver, bei dem sie wahrscheinlich im Cache gespeichert wird und der sie an den Client-Browser weitergibt. Der Browser ruft dann die Website anhand der IP-Adresse auf.

Der Vorgang zur Auflösung eines Hostname klingt, als würde es etwas Zeit beanspruchen, aber geschieht meistens umgehend und die Auflösungszeiten liegen in der Regel unter einer Mikrosekunde. Die ursprüngliche Antwort vom Host enthält häufig zusätzliche URLs für weitere Inhalte, sodass eine einzelne Webseite dutzende von DNS-Auflösungen erfordert.

Lastverteilung per DNS

Gelegentlich hört man von Lastverteilung per DNS. Bei der Lastverteilung per DNS geht es um einen autoritativen Nameserver, der für einen einzelnen Hostnamen mehrere Einträge in Warteschlange hat. Sobald eine Anfrage eingeht, nimmt der Nameserver den ersten DNS-Eintrag für den Hostname und gibt die IP-Adresse aus. Der Eintrag wird dann an das Ende der Warteschlange gestellt. Das nächste Mal, wenn ein DNS Recursor den Hostname zur Auflösung sendet, antwortet der autoritative Nameserver mit dem nächsten DNS-Eintrag aus der Schlange.

Diese Methode wird zur Lastverteilung für eine Website mit mehreren redundanten Servern verwendet. Probleme bei dieser Methode sind unter anderem:

  • Der Nameserver weiß eventuell nicht, wenn ein Server offline ist und sendet weiterhin Anfragen an diesen Server. Einige Nameserver verfügen über eine integrierte Ausfallsicherheit, um die Verfügbarkeit der IP-Adressen vor dem Antworten zu prüfen.
  • Der DNS Recursor speichert die IP-Adresse eventuell im Cache und leitet jede Anfrage an die gleiche IP-Adresse. Die Einstellung einer kurzen Lebenszeit (siehe DNS Caching unten) kann die Anzahl der Anfragen an dieselbe IP-Adresse verringern, aber das Problem nicht vollkommen verhindern.

DNS Caching

Das Caching eines Namespace kann auf jeder Ebene der DNS-Hierarchie geschehen. Es ist jedoch am üblichsten für den DNS Resolver. Statt den kompletten Vorgang der Auflösung immer wieder für dieselbe IP-Adresse durchzuführen, halten die Server die Informationen für einen Hostname für eine kurze Zeit bereit, für den Fall, dass die Informationen noch einmal benötigt werden. Zum Beispiel wird die erste Antwort von einer IP-Adresse wahrscheinlich über die URLs zur gleichen IP-Adresse für zusätzliche Inhalte verfügen. Wenn der DNS Recursor die IP-Adresse nicht gespeichert hat, müsste er den Namespace für jede dieser Anfragen neu auflösen.

Der Cache kann direkt auf Deinem Computer, auf dem Router, bei Deinem ISP oder an jedem Ort bei einem der DNS-Server liegen. Diese Caches veraltern schnell, sodass jeder DNS-Eintrag ein Ablaufdatum enthält. Das Ablaufdatum wird „Time to Live“ (TTL, Lebenszeit) genannt. Diese Einstellung sagt dem DNS-Server, wie lang der DNS-Eintrag im Cache verbleiben soll, bis er gelöscht wird.

Cache Poisoning

DNS Caching führt zu Angreifbarkeit des Domain Name System. Diese Angreifbarkeit ist als Cache Poisoning bekannt. Ein DNS Cache wird vergiftet oder verunreinigt, wenn ungültige IP-Adressen in den Cache eingefügt werden. Das Poisoning ist normalerweise das Ergebnis von Viren und Malware mit der Absicht, Anfragen auf eine Phishing-Website oder andere Website zu leiten.

DNS-Einträge (Zonendateien)

Wir wissen nun also, dass das DNS ein enormes hierarchisches System ist, das von Menschen lesbare Domainnamen in computergerechte IP-Adressen wandelt. Meistens bezieht sich jemand, der das DNS erwähnt, auf die DNS-Einträge oder Zonendatei für eine einzelne Domain, die sich auf den autoritativen Nameservern befindet.

Jeder Eintrag im DNS verfügt über mehrere Felder, die bestimmte Informationen über die Domain bereitstellen. Das DNS weist 40 unterschiedliche Eintragstypen auf (rufe die vollständige Liste hier ab). Nachfolgend stellen wir die acht am häufigsten genutzten DNS-Eintragstypen.

A Record

Der A Record ist die IPv4-Version der IP-Adresse. Die IPv4-Version ist eine 32-Bit-Adresse.  IPv4 ist seit Beginn des Internets der Standard für IP-Adressen, aber die geringe Anzahl der verfügbaren Adressen (4,29 Milliarden) ist bereits ein Problem. Um die wachsende Zahl an benötigten IP-Adressen zu bewältigen, werden seit einiger Zeit vermehrt 128-Bit-IPv6-Adressen genutzt.

AAAA Record

Wenn eine Website 128-Bit-IPv6-Adressen unterstützt, enthält der AAAA Record die IP-Adresse. Numerisch ausgedrückt ist dies 2128 oder über 340-Sextillion verfügbare Adressen.

CNAME Record

Das „C“ in CNAME steht für „canonical“ (anerkannter Name). Statt eine IP-Adresse auszugeben, liefert der CNAME Record einen Alias für die Anfrage. Wenn Du zum Beispiel Deinen Hostname von mysite.com zu mywebsite.com änderst, könntest Du den CNAME auf „mywebsite.com“ aktualisieren. Wird eine Anfrage für mysite.com an den autoritativen Nameserver gesendet, ist die Antwort mywebsite.com. Der Resolver weiß dann, dass die IP-Adresse für mywebsite.com aufgelöst werden muss.

MX Record

MX steht für „mail exchange“ (Domain, die sich auf E-Mail bezieht). Wenn der Resolver nach dem MX Record fragt, möchte er wissen, wie er die E-Mail für die Domain anhand des SMTP (Simple Mail Transfer Protocol) weiterleitet.

NS Record

NS steht für Nameserver. Der NS Record sagt dem Resolver, welcher Nameserver der primäre für die Domain ist. Weitere NS Records benennen Back-up-Nameserver mit den Domain-Informationen. Die Angabe von Back-up-Servern bietet eine Redundanz beim Ausfall des Primärservers (vorausgesetzt, dass sie separat gehostet werden).

SOA Record

SOA steht für „Start of Authority“ (Beginn der Zuständigkeit). Dieser Eintrag stellt Domain-Level-Informationen wie etwa die E-Mail-Adresse des Administrators bereit. Ein wichtiger Wert, der häufig überwacht wird, ist die Seriennummer. Jedes Mal, wenn ein DNS-Eintrag aktualisiert wird, erhöht das DNS die Seriennummer um 1. Wenn Du darauf achtest, ob sich die SEO-Nummer ändert, kannst Du feststellen, ob jemand die DNS-Einträge manipuliert hat.

SRV Record

SRV steht für „Service“. Der Service-Eintrag nennt den Host und Port für einen Dienst wie etwa Instant Messaging.

TXT Record

TXT ist das Kürzel für „Text“. Diese Einträge sind unformatierte Texteinträge, die für Anmerkungen verwendet werden können. Mailserver können TXT-Einträge für Sender Policy Framework Codes nutzen, die einen E-Mail-Server ermöglichen, die Quelle einer E-Mail zu verifizieren.

Was ist DNS Monitoring?

Wie wir bereits erfahren haben, lebt die Kommunikation über das Internet durch das DNS. Mit dem DNS-Monitoring kannst Du Deine Online-Präsenz schützen, indem Du regelmäßig die DNS-Einträge auf unerwartete Änderungen oder ortsbezogene Ausfälle aufgrund menschlicher Fehler oder böswilliger Angriffe prüfst. DNS-Einträge gehören zu den bevorzugten Zielscheiben von Hackern und sind häufig Opfer menschlicher Fehler. Abseits des Hackens in Deinen ISP-Account und direktes Ändern der Werte gibt es zwei primäre Möglichkeiten, mithilfe derer Hacker das DNS nutzen, um eine Website anzugreifen.

DNS Poisoning

Wir haben dies bereits im Abschnitt über Caching erwähnt. Ein DNS Poisoning tritt auf, wenn jemand falsche Informationen in den Cache oder auf einen Server einbringt. Der Server mit dem gefälschten Eintrag für eine Website antwortet dann auf eine Frage mit Informationen aus dem Cache. Andere Server und Router speichern den gefälschten Eintrag und die Fälschung wird verteilt. Diese Angriffe leiten den Nutzer in der Regel auf eine gefälschte Website, über die Hacker Anmeldeinformationen und andere Daten wie Kreditkartennummern erfassen.

Ein Poisoning kann auch durch einen menschlichen Fehler entstehen. Ein solcher Fall trat in Kalifornien und Chile auf, als das DNS Nutzer von Facebook, Twitter und YouTube auf die lokalen Websites in China leitete. Das Problem lag bei einem ISP, der Anfragen an einen Root-Server in China leitete, wo die chinesische Regierung diese Kanäle blockiert und eine Umleitung zu von der Regierung kontrollierten Websites eingerichtet hatte.

DDoS- und DoS-Attacken

DDoS- (Distributed Denial of Service) und DoS-Attacken (Denial of Service) treten auf, wenn ein (Dos) oder mehrere (DDoS) Computer beim DNS und einer Website in schneller Folge eine Anfrage starten, um die unterstützende Infrastruktur einer Website aufgrund der übermäßigen Anfragen zur Überlastung zu führen. Diese Angriffe nehmen viele verschiedene Formen an, um alle verfügbaren Verbindungen zu nutzen und die Server mit Daten zu überfluten, was die Leistung beeinträchtigt oder sie komplett zum Ausfall bringt.

Das Monitoring kann helfen, eine DNS-Attacke direkt zu Beginn zu stoppen

Das Monitoring Deiner DNS-Einträge sollte oberste Priorität haben. Sollte ein Fehler bei Deinen DNS-Einträgen auftreten, kann es Dein ganzes System beeinträchtigen und den Ruf Deiner Marke schädigen. Um Deine DNS-Einträge im Blick zu behalten, ziehe das Monitoring folgender DNS-Aspekte in Betracht.

IP-Adresse(n)

Dieser Punkt ist einfach. Eine DNS-Anfrage ruft die IP-Adresse aus dem System ab und vergleicht sie mit den IP-Adressen, die Du bereitstellst (eine oder mehr Adressen mit regulären Ausdrücken). Wenn die IP-Adresse nicht übereinstimmt, benachrichtigt Dich das Prüfobjekt. Wenn Du IPv4 und IPv6 unterstützt, solltest Du sowohl den A Record (IPv4) als auch den AAAA Record (IPv6) überwachen, da es möglich ist, dass einer von ihnen ausfällt, aber der andere nicht.

SOA Record

Dein SOA Record enthält eine Seriennummer, die vom System aktualisiert wird, wenn an irgendeiner Stelle im DNS-Eintrag eine Änderung vorgenommen wird. Obwohl die Nummer keine Informationen darüber enthält, was geändert wurde, kann es doch dabei helfen, einen Angriff abzuwenden.

MX Record und SRV Record

Stelle Dir vor, dass plötzlich die E-Mails und Nachrichten Deines Unternehmens verloren gehen oder an jeden zurückgesendet werden, der Dich erreichen möchte. Oder schlimmer, dass jemand das System hackt und die Nachrichten und E-Mails woandershin weiterleitet. Das Monitoring der MX und SRV Records unterstützt Dich, den Verlust wichtiger Kommunikationswege zu verhindern.

NS Record und Root-Server

Du solltest Deine NS-Einträge testen, um sicherzustellen, dass niemand die primären und Back-up-Nameserver-Einträge geändert hat. Auch solltest Du diese Nameserver direkt testen, um sicherzustellen, dass sie die richtigen Informationen ausgeben. Das Monitoring ist eine großartige Möglichkeit zu gewährleisten, dass Deine DNS-Einträge sicher sind und zuverlässige Antworten bereitstellen.

Teste Dein DNS von überall

Du wirst häufig feststellen, dass DNS-Fehler lokal auftreten und nur einen Teil Deiner Nutzer betreffen. Der Einsatz eines externen Monitoring Service mit einem großen Netzwerk an Prüfstationen unterstützt Dich, selbst die feinsten lokalen Probleme schnell zu identifizieren.

Fazit

Das IP-Netzwerk und die Internet-Kommunikation stützen sich auf das DNS. Ein aktives Monitoring unterstützt Dich, einer DNS-Attacke oder einem Ausfall zuvorzukommen. Du erhältst als Erster Kenntnis und musst nicht auf Beschwerden von Kunden oder auf beeinträchtigte Accounts warten.