Was ist ein DNS? Das Domain Name System verständlich erklärt
Jedes Mal, wenn du eine Website aufrufst, arbeitet im Hintergrund ein System, ohne das das Internet in seiner heutigen Form nicht funktionieren würde: das Domain Name System, kurz DNS. Es sorgt dafür, dass du anstelle kryptischer Zahlenfolgen einfach einen Domainnamen wie „beispiel.de” in deinen Browser eingeben kannst. Doch wie genau funktioniert das DNS, und warum ist es so wichtig?
Grundlagen: Wie das Domain Name System funktioniert
Computer kommunizieren untereinander über IP-Adressen – numerische Kennungen wie 192.168.1.1 (IPv4) oder 2001:0db8:85a3::8a2e:0370:7334 (IPv6). Für Menschen sind solche Zahlenkombinationen schwer zu merken. Genau hier setzt das DNS an.
Das DNS wird häufig als „Telefonbuch des Internets” bezeichnet. Es übersetzt menschenlesbare Domainnamen in die zugehörigen IP-Adressen – und umgekehrt. Dieser Vorgang wird als Namensauflösung (englisch: name resolution) bezeichnet.
Ein einfaches Beispiel:
- Du gibst
www.beispiel.dein deinen Browser ein. - Dein Gerät fragt einen DNS-Server: „Welche IP-Adresse gehört zu www.beispiel.de?”
- Der DNS-Server antwortet mit der zugehörigen IP-Adresse.
- Dein Browser stellt über diese IP-Adresse eine Verbindung zum Webserver her.
- Die gewünschte Website wird geladen.
Dieser Prozess dauert in der Regel nur wenige Millisekunden und läuft für den Nutzer vollkommen unsichtbar ab.
Der Ablauf einer DNS-Abfrage im Detail
Eine DNS-Abfrage (auch DNS-Query genannt) durchläuft mehrere Stationen, die hierarchisch aufgebaut sind. Dieses mehrstufige System sorgt für Effizienz und Ausfallsicherheit.
1. DNS-Resolver (Rekursiver Resolver)
Die erste Anlaufstelle ist der DNS-Resolver, der in der Regel von deinem Internetanbieter (ISP) betrieben wird. Er nimmt die Anfrage deines Geräts entgegen und übernimmt die Suche nach der richtigen IP-Adresse. Der Resolver prüft zunächst seinen Cache – einen Zwischenspeicher, in dem kürzlich aufgelöste Adressen abgelegt sind. Ist die Antwort dort vorhanden, wird sie direkt zurückgegeben.
2. Root-Nameserver
Findet der Resolver die Antwort nicht im Cache, wendet er sich an einen der weltweit 13 Root-Nameserver-Cluster. Diese bilden die oberste Ebene der DNS-Hierarchie. Sie kennen nicht die endgültige IP-Adresse, verweisen aber auf den zuständigen Top-Level-Domain-Server (z. B. für .de, .com oder .org).
3. TLD-Nameserver
Der TLD-Nameserver ist für eine bestimmte Domainendung zuständig. Er verweist den Resolver weiter an den autoritativen Nameserver, der die konkreten Einträge für die angefragte Domain verwaltet.
4. Autoritativer Nameserver
Dieser Server liefert schließlich die definitive Antwort – also die IP-Adresse, die zur angefragten Domain gehört. Der Resolver speichert das Ergebnis im Cache und leitet es an dein Gerät weiter.
Wichtige DNS-Eintragstypen
Das DNS verwaltet verschiedene Arten von Einträgen, sogenannte Resource Records. Die wichtigsten im Überblick:
| Eintragstyp | Funktion |
|---|---|
| A-Record | Verknüpft eine Domain mit einer IPv4-Adresse |
| AAAA-Record | Verknüpft eine Domain mit einer IPv6-Adresse |
| CNAME-Record | Erstellt einen Alias, der auf eine andere Domain verweist |
| MX-Record | Definiert den zuständigen Mailserver für eine Domain |
| TXT-Record | Speichert Textinformationen, z. B. für SPF- oder DKIM-Einträge |
| NS-Record | Gibt die zuständigen Nameserver für eine Domain an |
Diese Einträge werden vom Domaininhaber oder Administrator beim jeweiligen DNS-Provider konfiguriert.
Sicherheit und Datenschutz beim DNS
Das DNS-Protokoll wurde in den 1980er-Jahren entwickelt – zu einer Zeit, in der Sicherheit im Internet noch eine untergeordnete Rolle spielte. Standardmäßig werden DNS-Anfragen unverschlüsselt übertragen. Das bedeutet: Dritte – etwa Internetanbieter oder Angreifer in öffentlichen Netzwerken – können nachvollziehen, welche Websites du besuchst.
Bekannte Sicherheitsrisiken
- DNS-Spoofing (Cache Poisoning): Ein Angreifer schleust gefälschte DNS-Einträge in den Cache eines Resolvers ein. Nutzer werden dann auf manipulierte Websites umgeleitet, ohne es zu bemerken.
- DNS-Hijacking: Die DNS-Anfrage wird abgefangen und an einen bösartigen Server umgeleitet.
- Man-in-the-Middle-Angriffe: Unverschlüsselte DNS-Anfragen können mitgelesen oder manipuliert werden.
Moderne Schutzmaßnahmen
Um diese Risiken zu minimieren, wurden mehrere Sicherheitserweiterungen entwickelt:
- DNSSEC (DNS Security Extensions): Stellt durch digitale Signaturen sicher, dass DNS-Antworten authentisch und unverändert sind.
- DNS over HTTPS (DoH): Verschlüsselt DNS-Anfragen über das HTTPS-Protokoll und schützt so vor Abhören.
- DNS over TLS (DoT): Verschlüsselt DNS-Anfragen über eine TLS-Verbindung auf einem eigenen Port (853).
Viele moderne Browser und Betriebssysteme unterstützen DoH oder DoT bereits. Wer besonderen Wert auf Privatsphäre legt, kann zudem alternative DNS-Resolver nutzen, die keine Nutzerdaten protokollieren – etwa:
- Cloudflare DNS:
1.1.1.1 - Google Public DNS:
8.8.8.8 - Quad9:
9.9.9.9(mit integriertem Malware-Schutz)
Die Wahl des DNS-Servers hat direkten Einfluss auf Geschwindigkeit, Sicherheit und Datenschutz deiner Internetnutzung.
Warum das DNS für das Internet unverzichtbar ist
Ohne das Domain Name System müsste sich jeder Nutzer IP-Adressen merken, um Websites aufzurufen. E-Mail-Zu