中国海警船编队2017年第7次巡航钓鱼岛12海里

Domain Name System (DNS)

Familie:	Internetprotokollfamilie
Einsatzgebiet:	Namensaufl?sung
Ports:	百度 在任上，这名亲信也严格要求自己，再也没有犯过同样错误。 53/UDP 53/TCP 853/TCP (nur mit TLS, RFC 7858[1]) 853/UDP (nur mit DTLS, RFC 8094[2])
DNS im TCP/IP-Protokollstapel: Anwendung DNS Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang Ethernet Token Bus Token Ring FDDI …
Standards:	RFC 1034 (1987)[3] RFC 1035 (1987)[4]

Das Domain Name System, deutsch Domain-Namen-System,^[5] (DNS) ist ein hierarchisch unterteiltes Bezeichnungssystem in einem meist IP-basierten Netz zur Beantwortung von Anfragen zu Domain-Namen (Namensaufl?sung).

Das DNS funktioniert ?hnlich wie eine Telefonauskunft. Der Benutzer kennt die Domain (den für Menschen merkbaren Namen eines Rechners im Internet) – zum Beispiel example.org. Diese sendet er als Anfrage in das Internet. Die Domain wird dann dort vom DNS in die zugeh?rige IP-Adresse (die ?Anschlussnummer“ im Internet) umgewandelt – zum Beispiel eine IPv4-Adresse der Form 192.0.2.42 oder eine IPv6-Adresse wie 2001:db8:85a3:8d3:1319:8a2e:370:7347 – und führt so zum richtigen Rechner.

Das DNS ist ein weltweit auf Tausenden von Servern verteilter hierarchischer Verzeichnisdienst, der den Namensraum des Internets verwaltet. Dieser Namensraum ist in sogenannte Zonen unterteilt, für die jeweils unabh?ngige Administratoren zust?ndig sind. Für lokale Anforderungen – etwa innerhalb eines Firmennetzes – ist es auch m?glich, ein vom Internet unabh?ngiges DNS zu betreiben.

Haupts?chlich wird das DNS zur Umsetzung von Domainnamen in IP-Adressen (forward lookup) benutzt. Dies ist vergleichbar mit einem Telefonbuch, das die Namen der Teilnehmer in ihre Telefonnummer aufl?st. Das DNS bietet somit eine Vereinfachung, weil Menschen sich Namen weitaus besser merken k?nnen als Zahlenketten. So kann man sich einen Domainnamen wie example.org in der Regel leichter merken als die dazugeh?rende IP-Adresse 192.0.32.10. Dieser Punkt gewinnt im Zuge der Einführung von IPv6 noch mehr an Bedeutung, denn dann werden einem Namen jeweils IPv4- und IPv6-Adressen zugeordnet. So l?st sich beispielsweise der Name www.kame.net in die IPv4-Adresse 203.178.141.194 und die IPv6-Adresse 2001:200:dff:fff1:216:3eff:feb1:44d7 auf.

Ein weiterer Vorteil ist, dass IP-Adressen – etwa von Web-Servern – relativ risikolos ge?ndert werden k?nnen. Da Internetteilnehmer nur den (unver?nderten) DNS-Namen ansprechen, bleiben ihnen ?nderungen der untergeordneten IP-Ebene weitestgehend verborgen. Da einem Namen auch mehrere IP-Adressen zugeordnet werden k?nnen, kann sogar eine einfache Lastverteilung per DNS (Load Balancing) realisiert werden.

Mit dem DNS ist auch eine umgekehrte Aufl?sung von IP-Adressen in Namen (reverse lookup) m?glich. In Analogie zum Telefonbuch entspricht dies einer Suche nach dem Namen eines Teilnehmers zu einer bekannten Rufnummer, was innerhalb der Telekommunikationsbranche unter dem Namen Inverssuche bekannt ist.

Das DNS wurde 1983 von Paul Mockapetris entworfen und in RFC 882^[6] und RFC 883^[7] beschrieben. Beide wurden inzwischen von RFC 1034^[3] und RFC 1035^[4] abgel?st und durch zahlreiche weitere Standards erg?nzt. Ursprüngliche Aufgabe war es, die lokalen hosts-Dateien abzul?sen, die bis dahin für die Namensaufl?sung zust?ndig waren und der enorm zunehmenden Zahl von Neueintr?gen nicht mehr gewachsen waren. Aufgrund der erwiesenerma?en hohen Zuverl?ssigkeit und Flexibilit?t wurden nach und nach weitere Datenbest?nde in das DNS integriert und so den Internetnutzern zur Verfügung gestellt (siehe unten: Erweiterung des DNS).

DNS zeichnet sich aus durch:

• dezentrale Verwaltung,
• hierarchische Strukturierung des Namensraums in Baumform,
• Eindeutigkeit der Namen,
• Erweiterbarkeit.

Der Domain-Namensraum hat eine baumf?rmige Struktur. Die Bl?tter und Knoten des Baumes werden als Labels (englisch für Aufschrift) bezeichnet. Ein kompletter Domainname eines Objektes besteht aus der Verkettung aller Labels eines Pfades.

Labels sind Zeichenketten, die jeweils mindestens ein Byte und maximal 63 Bytes lang sind.^[8] Einzelne Labels werden durch Punkte voneinander getrennt. Ein Domainname wird mit einem Punkt abgeschlossen (der letzte Punkt wird meist weggelassen, geh?rt rein formal aber zu einem vollst?ndigen Domainnamen dazu). Somit lautet ein korrekter, vollst?ndiger Domainname (auch Fully Qualified Domain Name genannt) zum Beispiel www.example.com. und darf inklusive aller Punkte maximal 255 Bytes lang sein.

Ein Domainname wird immer von rechts nach links delegiert und aufgel?st, das hei?t je weiter rechts ein Label steht, umso h?her steht es im Baum. Der Punkt am rechten Ende eines Domainnamens trennt das Label für die erste Hierarchieebene von der Wurzel (englisch root). Die erste Ebene (beispielsweise com.) wird als Top-Level-Domain (TLD) bezeichnet, die zweite (beispielsweise example.com.) als Second-Level-Domains usw.

Die Daten des Domain Name Systems sind über eine Vielzahl von Nameservern weltweit verteilt, die durch Verweise untereinander lose gekoppelt sind. Die Verweise werden Delegierungen (englisch delegations) genannt und folgen der hierarchischen Struktur des Domain-Baums. Durch die Delegierungen wird der Domain-Namensraum in überschneidungsfreie Bereiche unterteilt, die Zonen genannt werden. Ein oder mehrere autoritative Nameserver sind für die Auslieferung der Daten einer Zone zust?ndig. So sind beispielsweise die Root-Nameserver für die Beantwortung von Anfragen an die Wurzel-Zone zust?ndig und die Nameserver von Verisign für die Zone der Top-Level-Domain .com.

Eine Zone besteht aus einer Liste von Resource Records. Der BIND-Nameserver sowie dazu kompatible Nameserver-Software speichert die Resource Records in einer Zonendatei.

Ein Resource Record ist ein Datensatz im Domain Name System. Er besteht aus fünf Datenfeldern. Beispiel:

www.example.com. 86400 IN A 93.184.216.34

Name

Der Domainname, unter dem der Resource Record abgelegt ist (beispielsweise www.example.com.).

Time to Live

Maximale Zeit in Sekunden, für die dieser Record in einem DNS-Cache zwischengespeichert werden kann (beispielsweise 86400 Sekunden = 1 Tag).

Klasse

Fast ausschlie?lich ?IN“ für Internet.

Typ

Datentyp der Nutzdaten (beispielsweise A Resource Record: eine IPv4-Adresse).

Daten

Die eigentlichen Nutzdaten (beispielsweise 93.184.216.34).

Der Abruf eines Resource Records erfolgt unter Angabe von Domainname, Klasse und Typ. Da als Klasse nahezu ausschlie?lich ?IN“ verwendet wird, sind in der Praxis lediglich der Domainname und Record-Typ relevant. Es sind mehrere Dutzend Record-Typen spezifiziert, die unterschiedlichen Anwendungszwecken dienen.^[9] Im Laufe der Zeit wurden neue Typen definiert, mit denen Erweiterungen des DNS realisiert wurden. Zu den am h?ufigsten verwendeten geh?ren die folgenden Record-Typen:

• Mit dem SOA Resource Record werden Parameter der Zone, wie z. B. Gültigkeitsdauer oder Seriennummer, festgelegt.
• Mit dem NS Resource Record werden die Verknüpfungen (Delegierungen) der Server untereinander realisiert.
• Mit folgenden Record-Typen werden die eigentlichen Daten definiert:
  • Ein A Resource Record weist einem Namen eine IPv4-Adresse zu.
  • Ein AAAA Resource Record weist einem Namen eine IPv6-Adresse zu.
  • Ein CNAME Resource Record verweist von einem Namen auf einen anderen Namen.
  • Ein MX Resource Record weist einem Namen einen Mail Transfer Agent zum E-Mail-Empfang zu. Einem ?hnlichen Zweck dient der SRV Resource Record, der jedoch durch die Angabe eines Dienstebezeichners flexibel für verschiedene Anwendungen verwendet werden kann, w?hrend der MX Resource Record auf einen bestimmten Anwendungszweck festgelegt ist.
  • Ein PTR Resource Record weist einer IPv4- oder einer IPv6-Adresse einen Namen zu (Reverse DNS).
  • Ein TXT Resource Record weist einem Namen einen frei definierbaren Text zu. Dies wird für verschiedene Anwendungszwecke verwendet, beispielsweise zur E-Mail-Authentifizierung mit Sender Policy Framework oder DomainKeys Identified Mail.

Ein Nameserver ist ein Server, der Namensaufl?sung anbietet. Namensaufl?sung ist das Verfahren, das es erm?glicht, Namen von Rechnern bzw. Diensten in eine vom Computer bearbeitbare Adresse aufzul?sen (z. B. www.wikipedia.org in 91.198.174.192).

Die meisten Nameserver sind Teil des Domain Systems, das auch im Internet benutzt wird.

Nameserver sind zum einen Programme, die auf Basis einer DNS-Datenbank Anfragen zum Domain-Namensraum beantworten. Im Sprachgebrauch werden allerdings auch die Rechner, auf denen diese Programme zum Einsatz kommen, als Nameserver bezeichnet. Man unterscheidet zwischen autoritativen und nicht-autoritativen Nameservern.

Ein autoritativer Nameserver ist verantwortlich für eine Zone. Seine Informationen über diese Zone werden deshalb als gesichert angesehen. Für jede Zone existiert mindestens ein autoritativer Server, der Primary Nameserver. Dieser wird im SOA Resource Record einer Zonendatei aufgeführt. Aus Redundanz- und Lastverteilungsgründen werden autoritative Nameserver fast immer als Server-Cluster realisiert, wobei die Zonendaten identisch auf einem oder mehreren Secondary Nameservern liegen. Die Synchronisation zwischen Primary und Secondary Nameservern erfolgt per Zonentransfer.

Ein nicht-autoritativer Nameserver bezieht seine Informationen über eine Zone von anderen Nameservern sozusagen aus zweiter oder dritter Hand. Seine Informationen werden als nicht gesichert angesehen. Da sich DNS-Daten normalerweise nur sehr selten ?ndern, speichern nicht-autoritative Nameserver die einmal von einem Resolver angefragten Informationen im lokalen RAM ab, damit diese bei einer erneuten Anfrage schneller vorliegen. Diese Technik wird als Caching bezeichnet. Jeder dieser Eintr?ge besitzt ein eigenes Verfallsdatum (TTL time to live), nach dessen Ablauf der Eintrag aus dem Cache gel?scht wird. Die TTL wird dabei durch einen autoritativen Nameserver für diesen Eintrag festgelegt und wird nach der ?nderungswahrscheinlichkeit des Eintrages bestimmt (sich h?ufig ?ndernde DNS-Daten erhalten eine niedrige TTL). Das kann unter Umst?nden bedeuten, dass der Nameserver in dieser Zeit falsche Informationen liefert, wenn sich die Daten zwischenzeitlich ge?ndert haben.

Ein Spezialfall ist der Caching-Only-Nameserver. In diesem Fall ist der Nameserver für keine Zone verantwortlich und muss alle eintreffenden Anfragen über weitere Nameserver (Forwarder) aufl?sen. Dafür stehen verschiedene Strategien zur Verfügung:

Zusammenarbeit der einzelnen Nameserver

Damit ein nicht-autoritativer Nameserver Informationen über andere Teile des Namensraumes finden kann, bedient er sich folgender Strategien:

Delegierung

Teile des Namensraumes einer Domain werden oft an Subdomains mit dann eigens zust?ndigen Nameservern ausgelagert. Ein Nameserver einer Dom?ne kennt die zust?ndigen Nameserver für diese Subdomains aus seiner Zonendatei und delegiert Anfragen zu diesem untergeordneten Namensraum an einen dieser Nameserver.

Weiterleitung (forwarding)

Falls der angefragte Namensraum au?erhalb der eigenen Dom?ne liegt, wird die Anfrage an einen fest konfigurierten Nameserver weitergeleitet.

Aufl?sung über die Root-Nameserver

Falls kein Weiterleitungsserver konfiguriert wurde oder dieser nicht antwortet, werden die Root-Nameserver befragt. Dazu werden in Form einer statischen Datei die Namen und IP-Adressen der Root-Server hinterlegt. Es gibt 13 Root-Server (Server A bis M). Die Root-Server beantworten ausschlie?lich iterative Anfragen. Sie w?ren sonst mit der Anzahl der Anfragen schlicht überlastet.

Anders konzipierte Namensaufl?sungen durch Server, wie der NetWare Name Service oder der Windows Internet Naming Service, sind meistens auf Local Area Networks beschr?nkt und werden zunehmend von der Internetprotokollfamilie verdr?ngt.

Ein Resolver ist eine Software-Komponente, die per DNS-Protokoll Informationen von einem Nameserver abruft.^[10] Die Anwendung, zum Beispiel ein Webbrowser, fordert per Programmierschnittstelle vom Resolver die Aufl?sung eines Domainnamens an. Der Resolver führt entweder eine rekursive oder iterative Namensaufl?sung durch und gibt die Antwort an die Anwendung zurück.

Im rekursiven Modus schickt der Resolver eine rekursive Anfrage an den ihm zugeordneten Nameserver. Hat dieser die gewünschte Information nicht im eigenen Datenbestand, so kontaktiert der Nameserver weitere Server – und zwar solange, bis er eine positive oder negative Antwort erh?lt. Der Nameserver, der die rekursive Anfrage bearbeitet, verwendet selbst einen eigenen Resolver zur Abfrage anderer Nameserver. Ein Nameserver, der rekursive Namensaufl?sung anbietet, wird als rekursiver Nameserver oder teilweise auch als rekursiver Resolver bezeichnet.^[10]

Im iterativen Modus bekommt der Resolver entweder den gewünschten Resource Record oder einen Verweis auf weitere Nameserver, die er selbst als N?chstes fragt. Der Resolver hangelt sich so von Nameserver zu Nameserver, bis er von dem autoritativen Nameserver eine verbindliche Antwort erh?lt. W?hrend beim rekursiven Modus dem angefragten Nameserver die vollst?ndige Aufl?sung überlassen wird, muss beim iterativen Modus der Resolver selbst durch wiederholte (iterative) Anfragen die Aufl?sung übernehmen.

Jedes Betriebssystem mit TCP/IP-Netzwerkfunktionalit?t enth?lt einen Resolver. üblicherweise handelt es sich dabei um einen simplen Resolver, der ausschlie?lich rekursive Anfragen an einen konfigurierbaren Nameserver stellen kann. Ein solcher Resolver wird als Stub-Resolver (von englisch stub: Stumpf oder Stummel) bezeichnet.^[10]

Bekannte Kommandozeilen-Programme zur Namensaufl?sung sind nslookup, host und dig.

DNS-Anfragen werden normalerweise per UDP Port 53 zum Namensserver gesendet. Der DNS-Standard fordert aber auch die Unterstützung von TCP für Fragen, deren Antworten zu gro? für UDP-übertragungen sind.^[11] Ursprünglich betrug die maximal zul?ssige L?nge einer DNS-Nachricht über UDP 512 Bytes.^[12] Mit Extended DNS (EDNS) wurde diese Gr??enbeschr?nkung aufgehoben und kann variabel zwischen Client und Server gew?hlt werden.^[13] Beim DNS Flag Day 2020, einer Informationsinitiative von DNS-Software- und DNS-Service-Anbietern, wurde eine standardm??ige Maximall?nge von 1232 Bytes empfohlen.^[14] Die maximal m?gliche Nachrichtenl?nge wird durch die Maximum Transmission Unit begrenzt. Der Einsatz von IP-Fragmentierung ist zwar m?glich, wird aber nicht empfohlen.^[14][15]

überlange Antworten werden abgeschnitten übertragen, sodass sie die maximal m?gliche Nachrichtenl?nge des Antwortenden nicht übersteigen, und mit dem Header-Flag Truncated (TC) als solches markiert. Der Anfragende kann daraufhin die Anfrage über TCP wiederholen.^[16] Bei TCP betr?gt die maximale Nachrichtenl?nge 65.535 Bytes.^[17] Die Verwendung von persistenten Verbindungen und Pipelining ist m?glich.^[18] Zonentransfers werden stets über TCP durchgeführt, wobei die Nachrichtenl?ngenbeschr?nkung dafür nicht relevant ist.^[17]

Angenommen, ein Client will eine Verbindung zu einem Webserver unter dem Domainnamen de.wikipedia.org. aufbauen. Dazu braucht er dessen IP-Adresse. In den folgenden Schritten wird ein exemplarischer Ablauf beschrieben. Bei Verwendung von IPv4 ruft der Client den A Resource Record und bei IPv6 den AAAA Resource Record ab. Bei Dual-Stack fragt der Client beide Adresstypen gleichzeitig ab und w?hlt die zu verwendende Zieladresse über einen Algorithmus aus, wobei standardm??ig IPv6 bevorzugt wird.^[19]

1. Das Betriebssystem des Clients verwendet zun?chst lokale Mechanismen zur Namensaufl?sung, wie beispielsweise eine Hosts-Datei. Diese Mechanismen sind kein Bestandteil des Domain Name Systems und sind hier nur der Vollst?ndigkeit halber erw?hnt. Falls sie kein Ergebnis liefern, beginnt die eigentliche DNS-Namensaufl?sung.
2. Der (Stub-)Resolver des Betriebssystems fragt den Domainnamen de.wikipedia.org. beim zugeordneten Nameserver ab. Die IP-Adresse des Nameservers wurde entweder manuell eingetragen oder automatisch per DHCP, DHCPv6 oder NDP zugewiesen.
3. Hat der angefragte Nameserver den Namen im DNS-Cache zwischengespeichert, antwortet er damit, was die Namensaufl?sung abschlie?t (siehe letzter Punkt). Andernfalls erbringt er die Funktionalit?t eines rekursiven Resolvers.
4. Der rekursive Resolver fragt einen der 13 Root-Nameserver nach de.wikipedia.org. Der Root-Nameserver antwortet mit einem Verweis auf die Nameserver der Top-Level-Domain .org. Der Verweis besteht aus mehreren NS Resource Records sowie aus Glue Records (A und AAAA Resource Records), die die IP-Adressen der Nameserver von org. enthalten.
5. Der rekursive Resolver fragt einen der Nameserver von org. nach de.wikipedia.org. Der Nameserver antwortet mit einem Verweis auf die Nameserver von wikipedia.org., bestehend aus NS Resource Records und Glue Records.
6. Der rekursive Resolver fragt einen der Nameserver von wikipedia.org. nach de.wikipedia.org. Dieser ist autoritativ für die Zone wikipedia.org. und antwortet mit den angefragten A oder AAAA Resource Records.
7. Der rekursive Resolver schickt die Antwort an den Client zurück, welcher nun zum Beispiel eine HTTPS-Verbindung zu der IP-Adresse von de.wikipedia.org. aufbauen kann.

Da sich das DNS als zuverl?ssig und flexibel erwiesen hat, wurden im Laufe der Jahre mehrere gr??ere Erweiterungen eingeführt. Ein Ende dieses Trends ist nicht absehbar.

Die manuelle ?nderung von DNS-Eintr?gen ist mit Aufwand verbunden. Durch DNS-Caching kann es zudem mehrere Stunden oder sogar Tage dauern, bis sich eine ?nderung im Netz verbreitet hat. Dynamisches DNS erm?glicht die automatisierte Aktualisierung von DNS-Eintr?gen. In Kombination mit der Verwendung eines niedrigen Time-to-Live-Werts k?nnen Resource Records mit geringem Aufwand und geringer Zeitverz?gerung aktualisiert werden. Ein typischer Einsatzzweck ist die automatische Aktualisierung von A oder AAAA Resource Records bei der Verwendung von dynamischen IP-Adressen.

Dynamisches DNS kann ein Sicherheitsrisiko darstellen, falls die Schnittstelle zur Aktualisierung von DNS-Eintr?gen nicht gegen unautorisierte Zugriffe abgesichert ist. Bei einer REST-API kann die Absicherung durch den Einsatz von HTTPS und einer Authentifizierung des Clients erfolgen. Bei DNS-Update kann die Absicherung per TSIG erfolgen.

Bisher waren die Labels auf alphanumerische Zeichen und das Zeichen ?-‘ eingeschr?nkt. M?glich, aber nicht standardkonform, ist bei Subdomains zudem ?_‘. Dieser begrenzte Zeichenvorrat h?ngt vor allem damit zusammen, dass das DNS (wie auch das Internet ursprünglich) in den USA entwickelt wurde. Damit waren in vielen L?ndern gebr?uchliche Schriftzeichen (im deutschen Sprachraum zum Beispiel die Umlaute ?, ? und ü sowie ?) oder Zeichen aus komplett anderen Schriftsystemen (zum Beispiel Chinesisch) ursprünglich nicht in Domainnamen m?glich.

Ein mittlerweile etablierter Ansatz zur Vergr??erung des Zeichenvorrats ist die 2003 in RFC 3490^[20] eingeführte und 2010 mit RFC 5890^[21] aktualisierte Internationalisierung von Domainnamen (IDNA). Um das neue System mit dem bisherigen kompatibel zu halten, werden die erweiterten Zeichens?tze mit den bislang zul?ssigen Zeichen kodiert. Die erweiterten Zeichens?tze werden dabei zun?chst normalisiert, um unter anderem Gro?buchstaben auf Kleinbuchstaben abzubilden, und anschlie?end per Punycode auf einen ASCII-kompatiblen String abgebildet. IDNA erfordert eine Anpassung der Netzwerkanwendungen (zum Beispiel Webbrowser), die Nameserver-Infrastruktur (Server, Resolver) braucht jedoch nicht ver?ndert zu werden. Im deutschsprachigen Raum k?nnen seit M?rz 2004 deutsche, liechtensteinische, ?sterreichische und schweizerische Domains (.de, .li, .at und .ch) mit Umlauten registriert und verwendet werden. Auch bei anderen Top-Level-Domains, insbesondere im asiatischen Raum, ist die Verwendung von internationalisierten Domainnamen m?glich.

1999 beschrieb Paul Vixie im RFC 2671^[22] einige kleinere, abw?rtskompatible Erweiterungen am Domain Name System, die als Extended DNS Version 0 bezeichnet werden. Durch Einsatz eines Pseudo-Records als Header-Erweiterung kann der Anfragende zus?tzliche Optionen setzen. Insbesondere kann er übermitteln, dass er UDP-Antworten gr??er als 512 Bytes entgegennehmen kann. DNSSEC-f?hige Server und Resolver müssen EDNS beherrschen.

Eine weitere aktuelle Erweiterung des DNS stellt ENUM (RFC 2916^[23]) dar. Diese Anwendung erm?glicht die Adressierung von Internet-Diensten über Telefonnummern, also das ?Anw?hlen“ von per Internet erreichbaren Ger?ten mit dem aus dem Telefonnetz bekannten Nummerierungsschema. Aus dem breiten Spektrum der Einsatzm?glichkeiten bietet sich insbesondere die Verwendung für Voice-over-IP-Diensten an.

Mit der RFID k?nnen auf speziellen RFID-Etiketten abgelegte IDs – sogenannte elektronische Produktcodes oder EPCs – berührungslos gelesen werden. Das DNS kann dazu verwendet werden, zu einer ID den Server zu ermitteln, der Daten über das zugeh?rige Objekt enth?lt. Der Object Name Service (ONS) wandelt dazu den EPC in einen DNS-Namen um und erfragt per Standard-DNS einen oder mehrere Naming Authority Pointer (NAPTR).

Zur Filterung von Spam-Mails überprüfen viele Mailserver den DNS-Eintrag des sendenden Mailservers routinem??ig mit Hilfe des Reverse-DNS-Lookups. Dieser muss nicht nur auch vorw?rts wieder korrekt aufl?sen und auf die IP-Adresse des sendenden Systems zeigen (Forward-confirmed reverse DNS), sondern muss auch dem im SMTP-Protokoll genannten HELO-Hostnamen des sendenden Systems entsprechen.

Mittels Sender Policy Framework wird versucht, den Versand von gef?lschten Absendern durch Dritte m?glichst zu unterbinden. Zu jeder Mail-Domain wird dabei über einen speziellen SPF Resource Record explizit aufgelistet, von welchen Servern und IP-Netzen mit E-Mails dieser Domain zu rechnen ist. SPF steht jedoch wegen zahlreicher technischer Schwierigkeiten, beispielsweise bei Weiterleitungen, in der Kritik.

Auch der Anti-Spam-Mechanismus DKIM greift auf Eintr?ge im DNS zurück, indem sendende Mailserver in DNS-TXT-Records ihren Public-Key ver?ffentlichen, mit dem die Signatur ihrer ausgehenden E-Mails verifiziert werden kann.

Neben den IP-Adressen k?nnen DNS-Namen auch ISDN-Nummern, X.25-Adressen, ATM-Adressen, ?ffentliche Schlüssel, Text-Zeilen usw. zugeordnet werden. In der Praxis sind derartige Anwendungsf?lle aber die Ausnahme.

DNS ist nicht auf das Internet beschr?nkt. Es ist ohne weiteres m?glich und mit der Definition vertr?glich, für die Aufl?sung lokaler Namen eigene Zonen im Nameserver einzurichten und dort die entsprechenden Adressen einzutragen. Der einmalige Aufwand zur Installation lohnt sich auch bei relativ kleinen Netzen, da dann alle Adressen im Netz zentral verwaltet werden k?nnen.

Bei gr??eren Firmen oder Organisationen ist h?ufig ein aus lokalem und Internet-DNS bestehendes Mischsystem (Split-DNS) anzutreffen. Die internen Nutzer greifen auf das lokale und die externen auf das Internet-DNS zu. In der Praxis k?nnen dadurch sehr komplizierte Konstellationen entstehen.

Der DNS-Server BIND kann auch mit DHCP zusammenarbeiten und damit für jeden Client im Netz eine Namensaufl?sung erm?glichen.

Unter Windows gibt es noch einen anderen Dienst zur Namensaufl?sung – WINS, der eine ?hnliche Funktion zur Verfügung stellt, allerdings ein anderes Protokoll verwendet.

Es ist m?glich, mehrere DNS-Server zu verbinden. Die prim?ren Server sind für eine oder mehrere Domains verantwortlich. Die sekund?ren Server aktualisieren nach einer ?nderung selbst die Daten, der Prim?re verteilt diese Daten nicht automatisiert. Die Abholung der Daten wird über einen Zonentransfer realisiert.

Beispielsweise kann eine Firma mit mehreren Standorten an einem Platz einen prim?ren Server für ihr internes DNS betreiben, der die Server in den Au?enstellen versorgt. Der Zonentransfer geht bei BIND über TCP (per Default Port 53) und erfordert empfohlenerweise Authentifizierung. Die sekund?ren Server aktualisieren sich, wenn sich die Seriennummer für eine Zonendatei ?ndert oder sie eine entsprechende Nachricht vom prim?ren Server erhalten. Die Freigabe für den Transferport sollte man per Firewall an die IP-Adresse des prim?ren Servers binden. Bei anderen Softwarepaketen werden die Daten unter Umst?nden auf anderen Wegen abgeglichen, beispielsweise durch LDAP-Replikation, rsync, oder noch andere Mechanismen.

Das DNS ist ein zentraler Bestandteil einer vernetzten IT-Infrastruktur. Eine St?rung kann erhebliche Kosten nach sich ziehen und eine Verf?lschung von DNS-Daten Ausgangspunkt von Angriffen sein.

Hauptziel von DNS-Angriffen ist es, durch Manipulation DNS-Teilnehmer auf falsche Webseiten zu lenken, um anschlie?end Passw?rter, PINs, Kreditkartennummern usw. zu erhalten. In seltenen F?llen wird versucht, den Internet-DNS durch Denial-of-Service-Attacken komplett auszuschalten und so das Internet lahmzulegen. Au?erdem kann das DNS dazu verwendet werden, gezielte Angriffe auf Einzelpersonen oder Unternehmen zu intensivieren.

Bei einem Distributed-Denial-of-Service-Angriff werden Nameserver durch einen hohen Datenstrom von DNS-Anfragen überlastet, so dass legitime Anfragen nicht mehr beantwortet werden k?nnen. Gegen DDoS-Angriffe auf Nameserver gibt es zurzeit keine Abwehrm?glichkeit. Als vorbeugende Ma?nahme kann lediglich versucht werden, die Nameserver entsprechend zu dimensionieren bzw. ein verteiltes Netz mit m?glichst vielen Servern zu installieren. Um eine gro?e Anzahl DNS-Anfragen zu erzeugen, werden bei solchen Angriffen Botnetze eingesetzt.

Ein DDoS-Angriff kann unbeabsichtigt einen DNS-Server betreffen und zum Ausfall bringen, wenn der Domainname des Angriffsziels wiederholt aufgel?st wird ohne zwischengespeichert zu werden. Der Effekt auf DNS-Server wird verhindert, wenn das DDoS-Schadprogramm DNS-Caching verwendet.

Die DNS Amplification Attack ist ein Denial-of-Service-Angriff, bei der nicht der DNS-Server selbst das eigentliche Angriffsziel ist, sondern ein Dritter. Ausgenutzt wird, dass ein DNS-Server in manchen F?llen auf kurze Anfragen sehr lange Antworten zurücksendet. Durch eine gef?lschte Absenderadresse werden diese an die IP-Adresse des Opfers gesendet. Ein Angreifer kann damit den von ihm ausgehenden Datenstrom substanziell verst?rken und so den Internet-Zugang seines Angriffsziels st?ren.

Beim DNS-Spoofing handelt es sich um eine Angriffsklasse von Maskierungsangriffen, die das Ziel haben eine falsche Identit?t vorzugeben. Dafür wird die DNS-Antwort an einen Client ver?ndert um ihn auf einen anderen, meist vom Angreifer kontrollierten Dienst fehlzuleiten.

DNS-Cache-Poisoning bezeichnet ein Angriffsszenario, welches in die Angriffsklasse des DNS-Spoofing f?llt. Dabei werden einem anfragenden Client zus?tzlich zu der korrekten Antwort, manipulierte Daten übermittelt, die dieser in seinen Cache übernimmt und sp?ter, m?glicherweise ungeprüft, verwendet.

Wer einen autoritativen DNS-Server für seine eigenen Domains betreibt, muss natürlich für Anfragen von beliebigen IP-Adressen offen sein. Um zu verhindern, dass Internetteilnehmer diesen Server als allgemeinen Nameserver verwenden (z. B. für Angriffe auf Root-Server), erlaubt BIND es, die Antworten auf die eigenen Domains einzuschr?nken. Beispielsweise bewirkt die Option allow-recursion {127.0.0.1; 172.16.1.4;};, dass rekursive Anfragen, d. h. Anfragen auf andere Domains, ausschlie?lich für den lokalen Host (localhost) sowie 172.16.1.4 beantwortet werden. Alle anderen IP-Adressen bekommen nur auf Anfragen auf eigene Domains eine Antwort.

Ein offener DNS-Server kann auch eine Falle sein, wenn er gef?lschte IP-Adressen zurückgibt, siehe Pharming.

Mehr als zehn Jahre nach der ursprünglichen Spezifikation wurde DNS um Security-Funktionen erg?nzt. Folgende Verfahren sind verfügbar:

Bei DNSSEC (Domain Name System Security Extensions) wird von einem asymmetrischen Kryptosystem Gebrauch gemacht. Neben der Server-Server-Kommunikation kann auch die Client-Server-Kommunikation gesichert werden. Dies soll die Manipulation der Antworten erschweren.

Bei DNS over TLS sollen sowohl DDoS-Angriffe, die Manipulation der Antworten als auch das Aussp?hen der gesendeten Daten verhindert werden. Dazu werden die DNS-Abfragen per Transport Layer Security (TLS) abgesichert.^[24]

DNS over QUIC soll die Vorteile von DoT und DoH kombinieren. DoQ soll gute Privatsph?re und Sicherheit bieten, eine geringe Latenz aufweisen und nicht blockierbar sein.^[25] RFC 9250^[26] der Internet Engineering Task Force beschreibt DoQ.^[27]

DNS over HTTPS ?ndert das DNS-System grundlegend. Anfragen finden hier auf Anwendungsebene statt. Anwendungen wie beispielsweise der Webbrowser fragen direkt beim DNS-Server an, anstatt die Anfrage an das Betriebssystem weiterzuleiten. Dadurch sehen DNS-Anfragen aus wie normaler Internetverkehr und k?nnen somit nicht gezielt abgefangen bzw. blockiert werden.^[24]

Cloudflare und Google bieten ?ffentliche DoH-Webserver an. Mozilla Firefox unterstützt DoH ab Version 60 als experimentelle Funktion. Mozilla stellt in Zusammenarbeit mit Cloudflare einen DoH-Server bereit, der strenge Privatsph?re-Anforderungen erfüllen muss.^[24][28]

DNS kann über virtuelle private Netzwerke (VPNs) und Tunneling-Protokolle betrieben werden. Eine Anwendung, die seit 2019 so weit verbreitet ist, dass sie ein eigenes, h?ufig verwendetes Akronym rechtfertigt, ist DNS over Tor.

Bei TSIG (Transaction Signatures) handelt es sich um ein einfaches, auf symmetrischen Schlüsseln beruhendes Verfahren, mit dem der Datenverkehr zwischen DNS-Servern und Updates von Clients gesichert werden kann.

Um DNS-Namen im Internet bekannt machen zu k?nnen, muss der Besitzer die Domain, die diesen Namen enth?lt, registrieren. Durch eine Registrierung wird sichergestellt, dass bestimmte formale Regeln eingehalten werden und dass Domain-Namen weltweit eindeutig sind. Domain-Registrierungen werden von Organisationen (Registries, z. B. Verisign oder Afilias) vorgenommen, die dazu von der IANA bzw. ICANN autorisiert wurden. Registrierungen sind (von wenigen Ausnahmen abgesehen) gebührenpflichtig. Für Domains unter .de ist die DENIC zust?ndig. In den allermeisten F?llen k?nnen Domains bei den Registries nur über Zwischenh?ndler, sogenannte Registrare wie Godaddy oder 1&1 Internet SE registriert werden, die mit den Registries entsprechende Vertr?ge abgeschlossen haben.

Apple hat bei der Entwicklung von macOS mehrere Erweiterungen am DNS vorgenommen, welche die umfassende Selbstkonfiguration von Diensten in LANs erm?glichen soll. Zum einen wurde Multicast DNS (?mDNS“) eingeführt, das die Namensaufl?sungen in einem LAN ohne einen dedizierten Namensserver erlaubt. Zus?tzlich wurde noch DNS-SD (für ?DNS Service Discovery“) eingeführt, die die Suche (?Browsing“) nach Netzwerkdiensten in das DNS beziehungsweise mDNS erm?glicht. mDNS und DNS-SD sind bisher keine offiziellen RFCs des IETF, sind aber trotzdem bereits in verschiedenen (auch freien) Implementierungen verfügbar. Zusammen mit einer Reihe von anderen Techniken fasst Apple DNS-SD und mDNS unter dem Namen ?Zeroconf“ zusammen, als Bestandteil von OS X auch als ?Rendezvous“ bzw. ?Bonjour“. Die meisten Linux-Distributionen unterstützen diese Erweiterung z. B. mit der avahi-Implementierung von Zeroconf.

Standardm??ig wird der DNS-Servern durch den Mobilfunkanbieter ausgew?hlt, oder durch die Anwendung die gerade genutzt wird. Mozilla Firefox verwendet bspw. Cloudflare um DNS-Anfragen aufzul?sen. Innerhalb eines Netzwerkes, oder lokal auf einem Ger?t, kann jedoch nach eigener Pr?ferenz ein DNS-Server eingestellt werden.

Seit der Debatte um das Zugangserschwerungsgesetz (2008) und Zensur im Internet im Allgemeinen gibt es eine Reihe von alternativen DNS-Anbietern, die Domains nach eigener Aussage nicht zensieren. Beispiele sind Organisationen wie Digitalcourage, Freifunk München^[29] oder Digitale Gesellschaft. Auch von Privatpersonen werden alternative DNS-Server bereitgestellt.^[30][31] Der alternative DNS-Server des Chaos Computer Club wird, aufgrund von fehlenden Sicherheitsaspekten, kritisiert.^[30]

Es kann unterschiedliche Gründe geben einen DNS-Server zu nutzen, der mit Schwarzen Listen arbeitet, also bestimmte Anfragen an Webseiten nicht aufl?st. So k?nnen gezielt Werbetreibende blockiert werden (siehe auch: Werbeblocker), auch gibt es Anbieter die versprechen die Cybersicherheit oder die Privatsph?re zu verbessern. Das Blockieren von nicht jugendfreien Inhalten ist ein weiterer Einsatzzweck. Technisch betrachtet handelt es sich bei der Verwendung von Filterlisten um eine Zensur von Inhalten. Die Grenzen zur Meinungszensur sind jedoch unscharf und werden subjektiv empfunden. Einige Anbieter führen Blocklisten über Fake-News-Websiten, die Kriterien, nach denen die Einordnung erfolgt, sind hierbei teilweise nicht offengelegt. Gro?e Anbieter, die blockierende DNS-Server betreiben sind unter anderen: Quad9, Mullvad und Adguard. Die EU kündigte 2022 an, einen eigenen DNS-Server etablieren zu wollen (DNS4EU), dieser soll ebenfalls mit Filterlisten arbeiten und Netzsperren umsetzen.^[32]

Namecoin ist der erste Fork von Bitcoin aus dem Jahr 2011 und findet Anwendung als Kryptow?hrung sowie als Key-Value Store für Domainnamen und Identit?ten. Als alternatives verteiltes Domain Name System (DNS) au?erhalb des ICANN-Namensraumes werden Transaktionen zum Registrieren, Aktualisieren und übertragen von Domains auf der Blockchain aufgezeichnet. Zur Aufl?sung der .bit-Adressen werden ein Browserplugin oder ein lokaler Namecoin DNS-Server ben?tigt. Ebenso wie Bitcoin ist Namecoin ein dezentrales Peer-to-Peer-System, das keiner Zensur unterliegt.^[33] Die Software ist Open Source und wird auf GitHub gehostet.^[34]

Einem Bericht von Trend Micro zufolge wurden .bit-Domains seit 2013 vermehrt auch von Cyberkriminellen genutzt.^[35] Vornehmlich aus diesem Grund hat das OpenNIC-Projekt im Sommer 2019 seine DNS-Aufl?sung von .bit-Domains eingestellt.^[36]

Auswahl bekannter Software für Namensaufl?sung.

• BIND (Berkeley Internet Name Domain) ist die meistgebrauchte Nameserversoftware und gilt als Referenzimplementierung der meisten RFCs zu DNS. Die erste Version von BIND war die erste ?ffentlich verfügbare Nameserver-Implementierung.
• CoreDNS ist ein in Go geschriebener DNS-Server der Cloud Native Computing Foundation.
• Bei djbdns hat der Autor Daniel J. Bernstein eine Pr?mie für das Finden von Sicherheitsproblemen ausgeschrieben. Djbdns wird von Bernstein nicht mehr weiterentwickelt, weil er es als fertig ansieht.
• Dnsmasq ist ein Nameserver und DHCP-Server mit eingeschr?nkter Funktionalit?t. Es werden die Namen aus dem lokalen Netz entsprechend /etc/hosts aufgel?st. Dnsmasq verfügt über keinen vollst?ndigen Resolver: unbekannte Namensanfragen werden weitergeleitet und im Cache gespeichert.
• Knot DNS ist ein autoritativer Nameserver, der von CZ.NIC entwickelt wird, dem Betreiber von .cz.
• Microsoft Windows DNS ist eine der wenigen kommerziellen Nameserver-Implementierungen als Teil der Produktreihe Microsoft Windows Server. Der Nameserver unterstützt dynamische Updates, Zonentransfers und Notification. Zonendaten k?nnen in den aktuellen Versionen im Active Directory oder in Zonendateien gespeichert und repliziert werden.
• Name Server Daemon ist ein autoritativer Nameserver, der zum Einsatz als Top-Level-Domain- und Root-Nameserver entwickelt wurde. NSD kompiliert Antworten statisch vor, um die Server-Performance zu optimieren. Dynamische Zoneninhalte oder Round Robin werden nicht unterstützt.
• PowerDNS ist ein Nameserver, der Zonen aus SQL-Datenbanken, LDAP-Verzeichnissen und anderen Backends lesen kann. PowerDNS begann als kommerzielle Implementierung und ist seit 2002 unter der GPL lizenziert.
• Unbound ist ein DNS-Resolver, der DNSSEC-Validierung und Caching unterstützt. Unbound kann als Softwarebibliothek in Anwendungen eingebunden werden.

• RFCs
  • RFC: 1034 – Domain Names – Concepts and Facilities. 1987 (englisch).
  • RFC: 1035 – Domain Names – Implementation and Specification. 1987 (englisch).
  • RFC: 2181 – Clarifications to the DNS Specification. (englisch).
  • RFC: 2782 – A DNS RR for specifying the location of services (DNS SRV). (englisch).
• Multicast DNS
• Funktionsweise und Verwaltung des DNS als Poster
• Beitr?ge des Chaos Computer Clubs
  • Zensur durch DNS-Server: DNS Howto
  • Podcast zum Thema DNS: Chaosradio Express 099 – Domain Name System
• Julia Evans: Life of a DNS query. Wizard Zines (DNS-Abfrage als Comic)

1. ↑ RFC: 7858 – Specification for DNS over Transport Layer Security (TLS). Mai 2016 (englisch).
2. ↑ RFC: 8094 – DNS over Datagram Transport Layer Security (DTLS). Februar 2017 (englisch).
3. ↑ ^{a b} RFC: 1034 – Domain Names – Concepts and Facilities. 1987 (englisch).
4. ↑ ^{a b} RFC: 1035 – Domain Names – Implementation and Specification. 1987 (englisch).
5. ↑ Artikel 4 Nr. 14 der Richtlinie (EU) 2016/1148
6. ↑ Paul Mockapetris: RFC: 882 – Domain Names – Concepts and Facilities. November 1983 (englisch).
7. ↑ Paul Mockapetris: RFC: 883 – Domain Names – Implementation and Specification. November 1983 (englisch).
8. ↑ RFC: 2181 – Clarifications to the DNS Specification. Abschnitt 11: Name syntax. (englisch).
9. ↑ iana.org
10. ↑ ^{a b c} RFC: 8499 – DNS Terminology. Januar 2019 (englisch).
11. ↑ RFC: 7766 – DNS Transport over TCP – Implementation Requirements. M?rz 2010, Abschnitt 1: Introduction. (englisch). “This document therefore updates the core DNS protocol specifications such that support for TCP is henceforth a REQUIRED part of a full DNS protocol implementation. […] It should be noted that failure to support TCP (or the blocking of DNS over TCP at the network layer) will probably result in resolution failure and/or application-level timeouts.”
12. ↑ RFC: 1035 – Domain Names – Implementation and Specification. 1987, Abschnitt 2.3.4: Size limits. (englisch).
13. ↑ RFC: 6891 – Extension Mechanisms for DNS (EDNS(0)). April 2013, Abschnitt 6.2.5: Payload Size Selection. (englisch).
14. ↑ ^{a b} dnsflagday.net
15. ↑ bsi.bund.de
16. ↑ RFC: 6891 – Extension Mechanisms for DNS (EDNS(0)). April 2013, Abschnitt 4.3: UDP Message Size. (englisch).
17. ↑ ^{a b} RFC: 5936 – DNS Zone Transfer Protocol (AXFR). Juni 2010, Abschnitt 2: AXFR Messages. (Ende; gem#? RFC:1035, englisch).
18. ↑ RFC: 7766 – DNS Transport over TCP – Implementation Requirements. M?rz 2010, Abschnitt 6.2: Recommendations. (englisch).
19. ↑ RFC: 6724 – Default Address Selection for Internet Protocol Version 6 (IPv6). September 2012, Abschnitt 2.1: Policy Table. (englisch). “Another effect of the default policy table is to prefer communication using IPv6 addresses to communication using IPv4 addresses, if matching source addresses are available.”
20. ↑ RFC: 3490 – Internationalizing Domain Names in Applications (IDNA). M?rz 2003 (englisch).
21. ↑ RFC: 5890 – Internationalized Domain Names for Applications (IDNA): Definitions and Document Framework. August 2010 (englisch).
22. ↑ RFC: 2671 – Extension Mechanisms for DNS (EDNS0). August 1999 (englisch).
23. ↑ RFC: 2916 – E.164 number and DNS. September 2000 (englisch).
24. ↑ ^{a b c} Carsten Strotmann, Jürgen Schmidt: DNS mit Privacy und Security vor dem Durchbruch. Ehemals im Original (nicht mehr online verfügbar); abgerufen am 25. Juli 2018.@1@2Vorlage:Toter Link/www.heise.de (Seite nicht mehr abrufbar. Suche in Webarchiven) 
25. ↑ DoQ soll nicht manipulierbar sein, die gleiche Privatsph?re wie DoT bieten, eine geringe Latenz wie unverschlüsseltes DNS über UDP und nicht blockierbar sein wie DoH. Abgerufen am 28. Januar 2021. 
26. ↑ RFC: 9250 – DNS over Dedicated QUIC Connections. Mai 2022 (englisch).
27. ↑ Verbesserte Namensaufl?sung: IETF ver?ffentlicht RFC zum Internetprotokoll QUIC. In: heise online. Abgerufen am 20. Juli 2022. 
28. ↑ Patrick McManus: Improving DNS Privacy in Firefox. Abgerufen am 26. Juli 2018 (englisch). 
29. ↑ DNS-over-HTTPS und DNS-over-TLS Unterstützung. ffmuc.net
30. ↑ ^{a b} Vertrauenswürdige DNS-Server. Abgerufen am 19. Februar 2021. 
31. ↑ Encrypted DNS Resolvers. Abgerufen am 3. Mai 2021 (englisch). 
32. ↑ EU will eigenen DNS-Server mit Filterlisten und Netzsperren. Abgerufen am 16. Oktober 2023. 
33. ↑ Kevin Helms: How to Obtain and Use .Bit Privacy Domains. In: Bitcoin News. 7. M?rz 2017, abgerufen am 19. M?rz 2020 (englisch). 
34. ↑ Namecoin. Abgerufen am 6. M?rz 2020 (englisch, Projektwebsite). 
35. ↑ .bit – The next Generation of Bulletproof Hosting. In: abuse.ch. 25. September 2017, abgerufen am 19. M?rz 2020 (englisch). 
36. ↑ Catalin Cimpanu: OpenNIC drops support for .bit domain names after rampant malware abuse. In: ZDNet. 17. Juli 2019, abgerufen am 19. M?rz 2020 (englisch).