Was ist DNS?

Das Domain Name System ist ein hierarchisches, verteiltes Namenssystem für Computer, Dienste oder andere Ressourcen, die mit dem Internet oder einem privaten Netzwerk verbunden sind. Wenn Sie mit Ihrem Browser einen Computerdienst oder ein Gerät finden und eine Verbindung dazu herstellen müssen, arbeitet das DNS im Hintergrund und übersetzt einen leicht zu merkenden Domänennamen in die numerische Internet Protocol (IP)-Adresse für diese Ressource. Man könnte sich das DNS als das Telefonbuch des Internets vorstellen: Es wurde entwickelt, um es den Menschen zu ermöglichen, alle mit dem Internet verbundenen Geräte und Dienste einfach anhand ihres Namens zu identifizieren.

Ein Domänenname ist ein benutzerfreundlicher Name, der mit einer Internetquelle verknüpft ist. Beispielsweise ist www.f5.com ein Domänenname und die URL ist mit den Servern verknüpft, die F5 gehören.

Die Unterteilung einer Domäne wird als Subdomäne bezeichnet. Beispielsweise ist support.f5.com die Subdomäne für den Support auf F5.com. Eine Subdomäne ist alles links vom Domänennamen, gefolgt von einem Punkt.

Bei der DNS-Suche handelt es sich um einen Vorgang, bei dem ein Client (z. B. ein Webbrowser) einen DNS-Server nach einer bestimmten Domäne abfragt. Der DNS-Server antwortet dann mit einer IP-Adresse, die den Client dann zum gewünschten Ziel führt.

Der Domain Name Space definiert die allgemeine Namensstruktur des Internets. Es handelt sich um eine baumartige Struktur von Domänennamen mit einem Stammdomänennamen an der Spitze. Von dieser Stammdomäne zweigen wichtige Domänen wie .com, .net, .org und andere Domänen ab.

Ein Namespace-Baum ist in Zonen unterteilt. Es definiert die in einer bestimmten Domäne verfügbaren Ressourcen.

Nameserver speichern Informationen zu einer Zone. Es gibt zwei Arten von Nameservern: Primär und sekundär. Die Daten jeder Zone werden sowohl auf primären als auch auf sekundären Nameservern gespeichert.

Ein DNS-Resolver ist die Clientseite des DNS. Es ist für die Initiierung und Sequenzierung der Abfragen verantwortlich, die letztendlich zur Übersetzung eines Domänennamens in eine IP-Adresse führen.

Kurz gesagt: Ein von einem Benutzer in einen Browser eingegebener Domänenname (z. B. www.f5.com) wird von einem DNS-Server in eine IP-Adresse (104.219.105.148) übersetzt. Dadurch kann das Gerät die gesuchte Ressource im Internet finden, in diesem Fall die F5-Homepage.

Schauen wir uns diesen Vorgang genauer an:

Angenommen, ein Benutzer gibt den Domänennamen www.f5.com in einen Browser ein. Da der Browser keine Ahnung hat, wo sich www.F5.com befindet, sendet er eine Anfrage an den lokalen DNS-Server (LDNS) und fragt, ob er den Eintrag für die Website hat. Wenn das LDNS keinen Eintrag für diese bestimmte Site hat, startet es eine rekursive Suche in den Internetdomänen, um herauszufinden, wem www.F5.com gehört.

Zuerst geht das LDNS zu einem der Root-Server, der es an den .com-DNS-Server weiterleitet. Der .com-Server ermittelt dann den Eigentümer von www.F5.com und benachrichtigt das LDNS mit einem Nameserver-Eintrag (NS) für F5.com.

Das LDNS fragt dann den NS-Eintrag des DNS-Servers von F5.com ab. Der DNS-Server von f5.com sucht nach dem Namen www.F5.com. Wenn der Name gefunden wird, wird ein Adressdatensatz (A) an das LDNS zurückgegeben. Dieser A-Eintrag enthält den Anforderungsnamen, die diesem Namen im LDNS zugewiesene IP-Adresse und die Time to Live (oder TTL) für den Namen. Der TTL teilt dem LDNS mit, wie lange der A-Eintrag beibehalten werden soll, bevor es den DNS-Server von F5.com erneut anfragt.

Wenn das LDNS den A-Eintrag empfängt, speichert es die IP-Adressinformationen für die im TTL angegebene Zeit im Cache. Wenn ein anderer Client dieselben Informationen benötigt, beantwortet das LDNS die Abfrage aus seinem eigenen Namenscache, bevor es sie sendet. Da die Informationen lokal gespeichert werden können, müssen sie nicht ständig den DNS-Server von f5.com abfragen, wodurch zukünftige Verbindungen zu dieser Ressource schneller erfolgen.

Der Browser verwendet dann die IP-Adresse, um eine Verbindung zu www.F5.com:80 herzustellen, und sendet ein GET /…., was dann dazu führt, dass der Webserver die Antwort der Webseite zurückgibt.

In der Praxis ist DNS viel komplizierter als das obige Beispiel zeigt, aber es sollte Ihnen eine gute Vorstellung davon geben, wie es funktioniert.

DNS-Einträge sind Zuordnungsdateien, die dem DNS-Server mitteilen, welche IP-Adresse mit welchem Domänennamen verknüpft ist. Darüber hinaus teilt es dem DNS-Server mit, wie mit diesen Anfragen umzugehen ist. Es gibt verschiedene Arten von DNS-Einträgen, aber alle DNS-Einträge für eine bestimmte Domäne sind in einer sogenannten DNS-Zone enthalten. Stellen Sie sich die DNS-Zone als einen Container vor, der es dem Internet ermöglicht, die IP-Adresse für eine und nur eine bestimmte Domäne nachzuschlagen.

Die gängigen DNS-Eintragstypen sind die folgenden:

Adress- oder A-Einträge (auch Host-Einträge genannt) sind die zentralen Einträge des DNS. Diese Datensätze verknüpfen eine Domäne mit einer IP-Adresse. Der AAAA-Eintrag ist dasselbe wie der A-Eintrag, aber statt einer 32-Bit-IPv4-IP-Adresse gibt er eine 128-Bit-IPv6-Adresse zurück.

Nameserver-Einträge (NS-Einträge) bestimmen, welche Server DNS-Informationen für eine Domäne übermitteln. Im Allgemeinen verfügen Sie über primäre und sekundäre Nameserver-Einträge für Ihre Domäne.

Mail Exchange zeichnet direkte E-Mail-Nachrichten an die Server für eine bestimmte Domäne auf. Für eine Domäne können mehrere MX-Einträge mit jeweils unterschiedlicher Priorität definiert werden. Die niedrigste Zahl hat die höchste Priorität. Wenn E-Mails mit dem ersten Prioritätsdatensatz nicht zugestellt werden können, wird der zweite Prioritätsdatensatz verwendet und so weiter.

Text- oder TXT-Datensätze können beliebigen Text enthalten, können aber auch zum Definieren von maschinenlesbarem Text verwendet werden.

Kanonische NAME- oder CNAME-Einträge verknüpfen einen Aliasnamen mit einem anderen kanonischen Domänennamen. Beispielsweise könnte alias.example.com auf example.com verweisen.

Das DNS ist eine der wichtigsten Technologien, die das Internet ermöglichen. Darüber hinaus ist es eine wichtige Komponente der Netzwerkinfrastruktur. Da es von entscheidender Bedeutung ist, über eine verfügbare, intelligente, sichere und skalierbare DNS-Infrastruktur zu verfügen, stellt DNS nicht einfach nur Inhalte und Anwendungen bereit: Es verwaltet eine verteilte und redundante Architektur und gewährleistet so eine hohe Verfügbarkeit und qualitativ hochwertige Benutzerreaktionszeiten. Bei einem DNS-Fehler funktionieren die meisten Webanwendungen nicht mehr ordnungsgemäß. Dies macht DNS nicht nur kritisch, sondern auch zu einem bevorzugten Ziel für Angriffe. Wenn Sie nicht über eine geeignete DNS-Infrastruktur verfügen, können Kunden nicht auf Ihre Anwendungen oder Inhalte zugreifen. Dies kann dazu führen, dass sie sich für ihre Anforderungen an andere Anbieter wenden.

Allerdings unterliegen die Standard-DNS-Dienste bestimmten Einschränkungen. Erstens: Auch wenn DNS Ihre Anwendung/Website/Ihren Inhalt verfügbar macht, ist es DNS eigentlich egal, ob diese aktiv und betriebsbereit sind oder überhaupt existieren.

Darüber hinaus verfügt DNS nicht wirklich über die Fähigkeit zur Lastverteilung. Es werden weiterhin alle IP-Adressen verwendet, auch wenn die von dieser IP unterstützte Anwendung überlastet oder ausgefallen ist.

DNS verfügt außerdem nicht über das Konzept einer zustandsbehafteten Anwendung: Es kann nicht garantieren, dass ein Benutzer zur gleichen IP-Adresse zurückkehrt. Wenn Sie beispielsweise zu einem bestimmten Rechenzentrum gehen und einen Einkaufswagen erstellen, der in diesem Rechenzentrum verwaltet wird, gibt es keine Garantie dafür, dass Sie bei der nächsten Namensauflösung dieselbe IP erhalten.

Schließlich können Standard-DNS-Server nur eine begrenzte Anzahl von DNS-Anfragen pro Sekunde beantworten, was sie anfällig für Distributed-Denial-of-Service-Angriffe (DDoS) macht.

DNS ist das Rückgrat des Internets, aber auch einer der anfälligsten Punkte in Ihrem Netzwerk – und daher ein wertvolles Ziel. DDoS-Angriffe können Ihre DNS-Server so überfluten, dass sie gekapert werden oder ausfallen, was zur Umleitung der Anfragen an einen bösartigen Server führt. Um dies zu verhindern, muss eine leistungsstarke, verteilte und sichere Architektur in das Netzwerk integriert werden. Unternehmen sollten außerdem bei DNS-Überlastungen und DDoS-Angriffen weitere DNS-Server hinzufügen.

Obwohl DNS-Server und Cloud-Dienste unterschiedlich viele Anfragen pro Sekunde verarbeiten können und die Kosten mit der Zahl der Anfragen steigen, erfordert diese Lösung häufig manuelle Eingriffe, wenn Änderungen erforderlich sind. Und da immer wieder neue Sicherheitslücken auftreten, müssen herkömmliche DNS-Server häufig gewartet und gepatcht werden, was die Kosten noch weiter erhöht.

Nachdem wir nun festgestellt haben, dass DNS anfällig für schwere Angriffe ist, wollen wir darüber sprechen, wie Application Delivery Controller (ADCs) zum Schutz der DNS-Infrastruktur beitragen. ADCs können die Lasten mehrerer DNS-Server ausgleichen und Antworten zwischenspeichern. Dadurch bieten sie Skalierbarkeit und ermöglichen es DNS-Servern, große Datenmengen und massive Angriffe zu bewältigen. Mithilfe dieser Funktion können Kunden mehrere DNS-Server gleichzeitig einsetzen und so die Anwendungsverfügbarkeit maximieren, für höhere Geschwindigkeit sorgen und die Leistung verbessern. ADCs erkennen außerdem schnell DDoS-Angriffe und leiten diese Verbindungen von den Servern weg – oder lehnen sie vollständig ab. ADCs unterstützen DNSSEC und ermöglichen Organisationen die Abwehr von Bedrohungen wie Cache Poisoning und Man-in-the-Middle-Angriffen. Aus diesem Grund verringern ADCs die Gesamtbetriebskosten der Kunden, da weniger zusätzliche DNS-Server als Backups für den Fall einer Überlastung oder eines Angriffs bereitgestellt werden müssen.

Kurz gesagt: Ein Hochleistungs-ADC kann DNS-Server nicht nur vor verschiedenen Angriffen schützen, sondern auch Skalierbarkeit bieten, die Leistung verbessern und die Gesamtbetriebskosten senken, während er DNS-Servern gleichzeitig die Bewältigung hoher Verkehrslasten ermöglicht.

Mit dem Wachstum mobiler Apps und neuerer Technologien wie Geräten des Internets der Dinge (IoT) wächst auch DNS. Darüber hinaus steigt die Anzahl der Anwendungen ebenso schnell an wie das Verkehrsaufkommen, das auf diese Anwendungen zugreift. In den letzten fünf Jahren hat sich das Volumen der DNS-Abfragen für .com und andere Adressen verdoppelt. Im Jahr 2016 wurden dem Internet mehr als 10 Millionen Domänennamen hinzugefügt. Und da immer mehr Cloud-, Mobil- und IoT-Implementierungen eingesetzt werden, wird erwartet, dass das DNS sogar noch schneller wächst. Einige aktuelle Studien zum weltweiten Internetverkehr zeigen, dass die Zahl der Internetnutzer bis Ende 2020 auf 4,1 Milliarden ansteigen wird. Da DNS-Server für das Internet von entscheidender Bedeutung sind, wäre das Internet ohne ein gut funktionierendes DNS praktisch nutzlos.

Genau wie das IoT hat die Popularität von Cloud-Diensten in den letzten Jahren enorm zugenommen. Daher ist es wichtiger denn je, über Ihre DNS-Infrastruktur und die damit verbundenen Vorteile und Risiken nachzudenken. Einerseits bietet Cloud-basiertes autoritatives DNS bessere Leistung, hohe Verfügbarkeit, Sicherheit und Skalierbarkeit. Andererseits ist es auch anfällig für Bedrohungen wie DNS-Infrastruktur und DDoS-Angriffe.

Diese Bedrohungen können den Zugriff auf Websites, Anwendungen, Cloud-Dienste und andere Ressourcen erheblich stören. Um diese Angriffe abzuwehren und Ihren Mitarbeitern und Kunden weiterhin jederzeit und überall Zugriff auf die benötigten Ressourcen zu gewähren, ist eine effektive Planung und Verwaltung Ihrer IT-Infrastruktur von entscheidender Bedeutung.