Was ist DNS?
Das DNS (Domain Name System) ist das „Telefonbuch des Internets": Es übersetzt menschenlesbare Domain-Namen (z. B. example.com) in maschinenlesbare IP-Adressen (z. B. 93.184.216.34), die für die Netzwerkkommunikation benötigt werden. Ohne DNS müsste man zum Aufrufen einer Website deren IP-Adresse auswendig kennen. DNS ist eine verteilte, hierarchische Datenbank, die von Tausenden von Servern weltweit betrieben wird. Es wurde 1983 von Paul Mockapetris entwickelt und in den RFCs 1034 und 1035 standardisiert. DNS verarbeitet täglich über 3,5 Billionen Anfragen weltweit (APNIC). Eine typische DNS-Auflösung dauert 20–120 Millisekunden – durch Caching oft unter 1 ms.
DNS ist die meist unterschätzte kritische Infrastruktur des Internets: Es liegt jeder Internetverbindung zugrunde, läuft unsichtbar im Hintergrund – und kann bei einem Angriff das komplette Internet für ein Unternehmen zum Erliegen bringen. DNS-Sicherheit ist keine Option, sondern Grundvoraussetzung.
Auf einen Blick – Key Facts
| Kennzahl | Wert | Quelle |
|---|---|---|
| DNS-Anfragen weltweit täglich | >3,5 Billionen | APNIC 2024 |
| Typische DNS-Auflösungszeit | 20–120 ms (ohne Cache) | Cloudflare |
| Cloudflares 1.1.1.1 – Anfragen täglich | >1 Billion | Cloudflare Blog |
| Größter DNS-Angriff (Dyn, 2016) | 1,2 Tbit/s DDoS | Dyn / Mirai Botnet |
| DNSSEC-Verbreitung (global, TLDs) | ~80 % der TLDs signiert | IANA 2024 |
DNS-Auflösung Schritt für Schritt
1. BROWSER-CACHE → Liegt die IP bereits lokal gecacht? → Fertig
2. OS-CACHE → /etc/hosts, Betriebssystem-DNS-Cache?
3. RECURSIVE RESOLVER → ISP-DNS oder 8.8.8.8, 1.1.1.1
4. ROOT NAMESERVER → 13 Root-Server-Gruppen weltweit
→ Verweist auf TLD-Nameserver (.com, .de)
5. TLD NAMESERVER → z.B. .com-Nameserver (Verisign)
→ Verweist auf autoritativen NS der Domain
6. AUTORITATIVER NS → Gibt die IP-Adresse zurück
7. ANTWORT → Resolver gibt IP an Browser zurück + TTL
DNS-Record-Typen
| Record-Typ | Funktion | Beispiel |
|---|---|---|
| A | Domain → IPv4-Adresse | example.com → 93.184.216.34 |
| AAAA | Domain → IPv6-Adresse | example.com → 2606:2800:: |
| CNAME | Alias für andere Domain | www → example.com |
| MX | Mail-Server (E-Mail-Routing) | @ → mail.example.com |
| TXT | Freitext (SPF, DKIM, DMARC, Verifizierung) | v=spf1 include:... |
| NS | Nameserver-Delegation | example.com → ns1.provider.com |
| SOA | Autoritäts-Information für Zone | Zonentransfer-Parameter |
| PTR | Reverse-DNS (IP → Domain) | 34.216.184.93.in-addr.arpa → example.com |
| SRV | Service-Adressen (SIP, XMPP) | _sip._tcp.example.com |
Öffentliche DNS-Resolver im Vergleich
| Anbieter | DNS-IP | Geschwindigkeit | Datenschutz | Sicherheitsfeatures |
|---|---|---|---|---|
| Cloudflare | 1.1.1.1 / 1.0.0.1 | Sehr schnell | Hoch (No-Log) | DNS-over-HTTPS, Malware-Blocking (1.1.1.2) |
| 8.8.8.8 / 8.8.4.4 | Sehr schnell | Mittel | DNS-over-HTTPS, DNSSEC | |
| Quad9 | 9.9.9.9 | Schnell | Hoch | Malware-Blocking, DNSSEC, No-Log |
| OpenDNS | 208.67.222.222 | Schnell | Mittel | Phishing-Schutz, Family Shield |
| ISP-Default | Variabel | Variabel | Gering (Logging) | Minimal |
Häufig gestellte Fragen (FAQ)
Was ist DNS-Spoofing und wie schützt DNSSEC dagegen?
DNS-Spoofing (Cache Poisoning) ist ein Angriff, bei dem ein Angreifer gefälschte DNS-Antworten in den Cache eines Resolvers injiziert. Das Opfer wird dann auf eine bösartige IP umgeleitet – statt bank.de landet es auf einer Phishing-Seite, obwohl die URL korrekt eingegeben wurde. DNSSEC (DNS Security Extensions) schützt dagegen durch kryptografische Signaturen: Jeder DNS-Record ist mit einem privaten Schlüssel signiert; der Resolver prüft die Signatur mit dem öffentlichen Schlüssel. Gefälschte Records ohne gültige Signatur werden verworfen. DNSSEC ist für alle de-Domains kostenlos verfügbar.
Was ist DNS-over-HTTPS (DoH) und warum ist es wichtig?
Standard-DNS überträgt Anfragen unverschlüsselt im Klartext – jeder im Netzwerkpfad (ISP, öffentlicher WLAN-Betreiber, Angreifer) kann sehen, welche Domains aufgerufen werden. DoH (RFC 8484) und DoT (DNS-over-TLS, RFC 7858) verschlüsseln DNS-Anfragen. Vorteil: Abhörschutz, Schutz vor DNS-Manipulation. Nachteil (für Unternehmen): Bypass von unternehmensinternen DNS-Filtern und Sicherheitsmonitoring, wenn Nutzer eigene DoH-Resolver nutzen. Unternehmen sollten DoH auf Endgeräten konfigurieren (eigener DoH-Resolver) oder blockieren und DNS-Sicherheit zentral sicherstellen.
Wie kann DNS für Cybersicherheit genutzt werden (DNS-Security)?
DNS ist ein mächtiges Sicherheitswerkzeug: DNS-Blocking (Sinkholing): Malware-Domains, Phishing-Sites, C2-Server (Command-and-Control für Malware) werden auf DNS-Ebene blockiert – bevor eine Verbindung zustande kommt. DNS-Monitoring: Ungewöhnliche DNS-Anfragen (bekannte Malware-Domains, DNS-Tunneling, Data-Exfiltration über DNS) erkennen. Bekannte Lösungen: Cisco Umbrella (Unternehmen), Cloudflare Gateway, Pi-hole (Open Source, Heimnetz), Quad9 (Malware-Blocking-Resolver). Laut Cisco blockiert DNS-Security rund 90 % der Malware-Infektionen bevor sie sich etablieren.
Was ist DNS-Tunneling?
DNS-Tunneling ist eine Angriffstechnik, bei der Daten über das DNS-Protokoll exfiltriert werden. Da DNS oft von Firewalls erlaubt wird (Port 53), nutzen Angreifer DNS-Anfragen, um Daten aus einem gesperrten Netzwerk zu schleusen (z. B. gestohlene Daten codiert in DNS-Anfragen an einen kontrollierten Nameserver). Erkennung: Ungewöhnlich hohe Anzahl DNS-Anfragen, sehr lange DNS-Anfrage-Namen, Anfragen an unbekannte/verdächtige Domains. Schutz: DNS-Security-Lösungen mit Traffic-Analyse (Anomalie-Erkennung), Blockierung unbekannter externer DNS-Resolver.
Wie lange sollte mein DNS-TTL-Wert sein?
TTL (Time to Live) definiert, wie lange ein DNS-Record in Caches gespeichert wird. Niedrige TTL (60–300 Sekunden): Schnelle Änderbarkeit (gut vor Migrationen, Failover), aber mehr DNS-Anfragen (Last und Kosten). Hohe TTL (3.600–86.400 Sekunden): Weniger DNS-Last, bessere Performance, aber langsame Propagation bei Änderungen. Empfehlung: Im Normalbetrieb: 3.600 s (1 Stunde) bis 86.400 s (1 Tag). Vor einer geplanten Migration: TTL 24–48 h vorher auf 300 s senken. Nach der Migration: TTL wieder erhöhen.
Fazit
DNS ist die unsichtbare, aber fundamentale Infrastruktur des Internets – jeder Seitenaufruf, jede E-Mail, jede API-Anfrage beginnt mit einer DNS-Auflösung. DNS-Sicherheit (DNSSEC, DoH, DNS-Blocking) ist kein optionaler Extra-Schutz, sondern ein grundlegender Baustein moderner IT-Sicherheit. Mit DNS-Blocking lassen sich rund 90 % der Malware-Infektionen bereits auf Netzwerkebene verhindern, bevor Schadcode Endgeräte erreicht.
Erstellt vom IT-Expertenteam der You Logic AG
Die You Logic AG ist ein IT-Dienstleister aus Wiesbaden mit über 13 Jahren Erfahrung und mehr als 2.500 verwalteten Arbeitsplätzen im Rhein-Main-Gebiet. Unser Qualitätsmanagement ist an den Grundsätzen der ISO 9001:2015 ausgerichtet.
LinkedIn
