Was ist ein DNS-Server? Wie funktioniert er und warum ist er wichtig?

Blog

Ein DNS-Server (Domain Name System) ist eine wichtige Komponente des Internets, die die Übersetzung von menschenlesbaren Domänennamen in IP-Adressen ermöglicht.

von Ahona Rudra

Zuletzt aktualisiert:
9 Lesezeit: 9 Minuten
Was ist ein DNS-Server? Wie funktioniert er und warum ist er wichtig?
Inhaltsverzeichnis-

Wichtigste Erkenntnisse

  • Ein DNS-Server übersetzt für Menschen lesbare Domänennamen in IP-Adressen und ermöglicht so eine benutzerfreundliche Navigation im Internet.
  • DNS-Server arbeiten, indem sie eine Abfrage eines Domänennamens von einem Client empfangen und ihn durch eine Hierarchie von DNS-Servern weiterleiten, bis die entsprechende IP-Adresse gefunden wird.
  • Es gibt verschiedene Arten von DNS-Servern, darunter rekursive, autoritative, Caching- und Forwarding-Server, die jeweils eine bestimmte Funktion im DNS-Auflösungsprozess erfüllen.
  • DNS-Server vereinfachen nicht nur den Web-Zugang, sondern verbessern auch die Lastverteilung, Redundanz und Sicherheit des Website-Verkehrs.
  • Das Verständnis der Funktionsweise von DNS-Servern ist entscheidend für die Behebung von Problemen mit der Internetverbindung und die Optimierung der Online-Leistung.

Jedes Mal, wenn Sie einen Webseitennamen eingeben und die Eingabetaste drücken, geschieht in dem Bruchteil einer Sekunde, bevor die Seite geladen wird, etwas – eine stille Abfrage, die Sie nie sehen, an die Sie nie denken und die Sie selten bemerken, wenn sie funktioniert. Genau das ist die Aufgabe eines DNS-Servers.

In diesem Artikel erläutern wir, wie DNS-Server funktionieren, welchen Bedrohungen sie ausgesetzt sind und warum sie eine entscheidende Komponente der Internetsicherheit darstellen, insbesondere wenn es darum geht, E-Mail-Systeme vor Spoofing und Missbrauch zu schützen.

Was ist ein DNS-Server?

Ein DNS-Server ermöglicht es Ihnen, auf Websites über einfache Domainnamen statt über lange numerische IP-Adressen zuzugreifen. Wenn Sie eine URL in Ihren Browser eingeben, übersetzt ein DNS-Server diesen Namen in die richtige IP-Adresse, damit Ihre Anfrage das richtige Ziel erreicht.

Es wird oft als das Telefonbuch des Internets bezeichnet, doch dieser Vergleich erfasst nur einen Teil der Realität. Genauer gesagt: DNS ist das zugrunde liegende System und Protokoll, das die Auflösung von Domainnamen ermöglicht, während ein DNS-Server die Infrastruktur ist, auf der es läuft und die auf Ihre Anfragen reagiert.

Kernfunktion

DNS-Server wandeln für Menschen lesbare Domainnamen in maschinenlesbare IP-Adressen um. Ein Beispiel: Du gibst „wikipedia.org“ ein, dein DNS gibt „208.80.154.224“ zurück, und dein Browser stellt dann eine Verbindung zu dieser IP-Adresse her, um die Seite zu laden.

Diese Übersetzung erfolgt automatisch im Hintergrund, sobald Sie eine Website besuchen, eine E-Mail versenden oder eine App nutzen.

Warum nicht einfach IP-Adressen verwenden?

Technisch gesehen wäre das zwar möglich, aber es wäre unpraktisch, weil:

  • Sich komplexe IP-Adressen wie 142.250.190.46 zu merken, ist viel schwieriger, als sich google.com zu merken. Jede Website hat eine andere IP-Adresse, was es praktisch unmöglich macht, sich alle zu merken.
  • Server werden migriert, ausgetauscht oder über mehrere Maschinen verteilt. Die Domainnamen bleiben unverändert, während sich die zugrunde liegenden IP-Adressen im Hintergrund ändern.
  • Große Websites nutzen Dutzende oder Hunderte von IP-Adressen. Das DNS kann dich, ohne dass du es merkst, an die nächstgelegene oder am wenigsten ausgelastete weiterleiten.

So funktioniert die DNS-Auflösung

Jedes Mal, wenn Sie eine Website besuchen oder eine E-Mail versenden, findet im Hintergrund eine DNS-Abfrage statt. Auch wenn es so aussieht, als geschehe dies augenblicklich, steckt doch ein strukturierter Prozess dahinter.

Im Großen und Ganzen sieht der Prozess wie folgt aus:

  • Ihr Browser sendet eine Anfrage an einen rekursiven Resolver
  • Der Resolver überprüft seinen Cache auf eine vorhandene Antwort
  • Wird er nicht gefunden, fragt er die Root-Nameserver ab
  • Die Anfrage wird an den entsprechenden Server der Top-Level-Domain (TLD) (.com, .org usw.) weitergeleitet.
  • Der TLD-Server verweist auf den autoritativen Nameserver
  • Der autoritative Server gibt die richtige IP-Adresse zurück
  • Der Resolver speichert die Antwort basierend auf der Time-to-Live (TTL) zwischen
  • Ihr Browser stellt eine Verbindung zum Zielserver her

Das Caching spielt hier eine wichtige Rolle: Ist eine DNS-Antwort bereits gespeichert, verläuft der Vorgang wesentlich schneller; andernfalls wird die gesamte Lookup-Kette ausgelöst. Dieses System ist zwar effizient, birgt jedoch auch Schwachstellen, an denen Fehler auftreten oder Manipulationen möglich sind.

Mit unserem kostenlosen DNS-Lookup-Tool können Sie die DNS-Auflösung Ihrer Domain in Echtzeit überprüfen.

Die vier wichtigsten Arten von DNS-Servern

Die vier wichtigsten Arten von DNS-Servern

Um DNS richtig zu verstehen, ist es hilfreich zu wissen, welche Rolle die verschiedenen Arten von DNS-Servern spielen:

Rekursiver Resolver

Der rekursive Resolver ist die erste Anlaufstelle für Ihre Anfrage. Er fungiert als Zwischenschicht zwischen Ihrem Gerät und dem übrigen DNS-System.

Root-Namensserver

Diese Server stehen an der Spitze der DNS-Hierarchie. Sie leiten Anfragen an die richtigen Server der obersten Ebene weiter.

TLD-Nameserver

TLD-Nameserver verwalten Domain-Endungen wie .com, .net oder .org und leiten Anfragen an den richtigen autoritativen Server weiter.

Autoritative Nameserver

Diese liefern die endgültige Antwort. Die autoritativen Nameserver speichern die DNS-Einträge für eine Domain, darunter A-Einträge, MX-Einträge und TXT-Einträge. Für E-Mail und Sicherheit ist der autoritative Server besonders wichtig, da dort die Authentifizierungseinträge gespeichert werden.

Bedrohungen für die DNS-Sicherheit: Warum DNS-Server eine Angriffsfläche darstellen

Das DNS wurde ursprünglich nicht mit Blick auf hohe Sicherheit entwickelt. Daher ist es zu einem häufigen Ziel für Angreifer geworden. Zu den häufigsten DNS-Angriffen zählen:

DNS-Spoofing (Cache-Poisoning)

DNS-Spoofing (Cache-Poisoning)
DNS-Spoofing ist eine Sicherheitsbedrohung, bei der Angreifer falsche DNS-Informationen in den Cache eines Resolvers einschleusen. Dadurch können Nutzer ohne ihr Wissen auf bösartige Websites umgeleitet werden.

So funktioniert es:

Wenn Sie eine URL wie „yourbank.com“ in Ihren Browser eingeben, fordert Ihr Computer einen DNS-Server auf, diesen Namen in eine IP-Adresse (die tatsächliche numerische Adresse des Servers) umzuwandeln. DNS-Spoofing liegt vor, wenn ein Angreifer falsche Informationen in den DNS-Abfrageprozess einschleust. Dies führt dazu, dass der DNS-Server anstelle der korrekten IP-Adresse die IP-Adresse eines bösartigen Servers zurückgibt. Ihr Browser verbindet sich dann mit der Website des Angreifers, oft ohne dass es Anzeichen dafür gibt, dass etwas nicht stimmt.

Risiken von DNS-Spoofing:

  • Angreifer können überzeugende Fälschungen von Bankwebseiten, E-Mail-Anmeldeseiten oder anderen Diensten erstellen, um Zugangsdaten und persönliche Daten zu stehlen.
  • Sie können sie auch dazu nutzen, Malware zu verbreiten oder den Datenverkehr zu zensieren oder zu überwachen. Da die URL in Ihrem Browser weiterhin korrekt aussieht, merken die Opfer oft gar nicht, dass sie weitergeleitet wurden.

DNS-Hijacking

DNS-Hijacking-

Beim DNS-Hijacking übernehmen Angreifer die Kontrolle über DNS-Einstellungen oder -Einträge. Dadurch können sie den Datenverkehr umleiten, die Kommunikation abfangen oder Dienste wie E-Mail manipulieren.

So funktioniert es:

Es gibt mehrere gängige Methoden, wie DNS-Hijacking erfolgt:

  • Bei einem lokalen Hijacking ändert Malware auf Ihrem Gerät die DNS-Einstellungen Ihres Systems so, dass sie auf einen betrügerischen Server verweisen.
  • Beim Router-Hijacking nutzen Angreifer schwache oder standardmäßige Anmeldedaten des Routers aus, um die DNS-Einstellungen Ihres Routers zu Hause oder im Büro zu ändern, was sich dann auf alle Geräte im Netzwerk auswirkt.
  • Bei einem Man-in-the-Middle-Angriff fangen Angreifer den DNS-Datenverkehr zwischen Ihnen und Ihrem legitimen DNS-Server ab und verändern die Antworten während der Übertragung.
  • Bei Angriffen über manipulierte DNS-Server kompromittieren Angreifer einen tatsächlichen DNS-Server auf Ebene des Internetdienstanbieters (ISP) oder der Organisation, wodurch potenziell eine große Anzahl von Nutzern gleichzeitig betroffen ist.

Risiken des DNS-Hijacking:

  • Diebstahl von Zugangsdaten über gefälschte Anmeldeseiten, Verbreitung von Malware, Einblendung von Werbung oder Überwachung.
  • Nutzer auf Werbe- oder Suchseiten umleiten, wenn sie sich bei der Eingabe einer Domain vertippen, oder den Zugriff auf bestimmte Websites sperren.

DNS-Amplifikationsangriffe

DNS-Amplifikationsangriffe-

DNS-Amplifikationsangriffe werden bei verteilten Denial-of-Service-Angriffen eingesetzt, bei denen Angreifer Systeme überlasten, indem sie DNS-Abfrageantworten ausnutzen.

So funktioniert es:

Der Angreifer sendet DNS-Anfragen an öffentlich zugängliche DNS-Resolver, fälscht jedoch die Absender-IP-Adresse dieser Anfragen, sodass sie scheinbar von der IP-Adresse des Opfers stammen. Der DNS-Server geht davon aus, dass die Anfrage vom Opfer stammt, und sendet seine Antwort daher an das Opfer statt an den Angreifer.

Durch die Wahl von Abfragetypen, die umfangreiche Antworten erzeugen (wie ANY-Abfragen oder DNSSEC-bezogene Einträge), kann der Angreifer eine kleine Anfrage von etwa 60 Byte in eine Antwort von mehreren tausend Byte verwandeln. Dieser Verstärkungsfaktor kann das 50-Fache oder mehr betragen, was bedeutet, dass ein Angreifer mit geringer Bandbreite eine um ein Vielfaches größere Flut an Daten erzeugen kann, die sich gegen das Opfer richtet.

Risiken von DNS-Amplifikationsangriffen:

  • Ausfallzeit des Dienstes
  • Ausfall von Geschäftseinnahmen
  • Möglicher Reputationsschaden

Wie DNSSEC zum Schutz der DNS-Integrität beiträgt

DNSSEC(Domain Name System Security Extensions) fügt DNS-Antworten eine zusätzliche Verifizierungsstufe hinzu. Anstatt einer DNS-Antwort blind zu vertrauen, stellt DNSSEC sicher, dass die Antwort authentisch ist und während der Übertragung nicht verändert wurde. Dies geschieht mithilfe kryptografischer Signaturen. So schützt es die Integrität des DNS:

1. Verhindert DNS-Spoofing: Angreifer versuchen häufig, gefälschte DNS-Antworten einzuschleusen. Dank DNSSEC weisen diese gefälschten Antworten keine gültigen Signaturen auf, sodass Ihr Resolver sie verwirft.

2. Stellt sicher, dass die Daten nicht verändert wurden: DNSSEC garantiert, dass die IP-Adresse, die Sie erhalten, genau derjenigen entspricht, die der Domaininhaber veröffentlicht hat, und dass niemand sie während der Übertragung verändert hat.

3. Überprüft die Echtheit der Datenquelle: DNSSEC stellt sicher, dass die Antwort tatsächlich vom autoritativen DNS-Server dieser Domain stammt und nicht von einem Angreifer, der sich als solcher ausgibt.

4. Schafft eine Vertrauenskette: DNSSEC funktioniert nach einer Hierarchie: Root-Zone → TLD (.com, .org) → Domain, wobei jede Ebene die nächste mithilfe kryptografischer Schlüssel validiert. Wenn ein Glied in der Kette ausfällt, schlägt die Validierung fehl

Sie können Ihre DNSSEC-Konfiguration mit unserem kostenlosen DNSSEC-Prüftool überprüfen.

Neben DNSSEC tragen auch neuere Protokolle wie DNS over HTTPS (DoH) und DNS over TLS (DoT) dazu bei, DNS-Abfragen vor dem Abfangen zu schützen.

  • DoH sendet DNS-Anfragen über HTTPS (das gleiche Protokoll, das auch für sicheren Webverkehr verwendet wird), wodurch sie schwerer von normalem Surfen zu unterscheiden sind und Netzwerkfilter leichter umgangen werden können.
  • DoT sendet DNS-Anfragen über eine dedizierte, verschlüsselte TLS-Verbindung (in der Regel Port 853) und bietet so einen hohen Datenschutz durch eine klarere Trennung vom regulären Webdatenverkehr.

Diese Technologien verbessern zwar die Sicherheit, werden jedoch nicht immer flächendeckend eingesetzt. Dadurch entstehen Lücken, die Angreifer weiterhin ausnutzen können.

DNS- und E-Mail-Authentifizierung: Die direkte Verbindung

DNS spielt eine zentrale Rolle bei der E-Mail-Authentifizierung. Ohne DNS-Einträge (die auf autoritativen DNS-Servern veröffentlicht werden) würden moderne E-Mail-Sicherheitsstandards nicht funktionieren.

Drei wichtige Protokolle basieren vollständig auf DNS:

  • SPF-Einträge (Sender Policy Framework) legen fest, welche Server E-Mails im Namen einer Domain versenden dürfen
  • DKIM-Einträge (DomainKeys Identified Mail) veröffentlichen öffentliche Schlüssel, die zur Überprüfung von E-Mail-Signaturen verwendet werden
  • DMARC-Einträge (Domain-based Message Authentication Reporting & Conformance) legen fest, wie empfangende Server mit fehlgeschlagener Authentifizierung umgehen sollen

All diese Daten werden als DNS-Einträge auf dem autoritativen Nameserver gespeichert. Dadurch entsteht eine wichtige Abhängigkeit. Wenn Ihr DNS falsch konfiguriert oder kompromittiert ist, kann Ihre E-Mail-Authentifizierung vollständig ausfallen.

Wenn beispielsweise ein Angreifer Zugriff auf Ihr DNS erlangt:

  • Sie können SPF-Einträge ändern, um böswillige Absender zu autorisieren
  • Sie können DKIM-Schlüssel ersetzen
  • Sie können DMARC-Richtlinien schwächen oder außer Kraft setzen

Neben diesen drei Kernprotokollen werden auch weitere Standards wie Mail Transfer Agent Strict Transport Security (MTA-STS), Transport Layer Security Reporting (TLS-RPT) und Brand Indicators for Message Identification (BIMI) über DNS-Einträge implementiert.

Fehlerbehebung: DNS-Server reagiert nicht

Eines der häufigsten DNS-Probleme, mit denen Nutzer konfrontiert sind, ist die Fehlermeldung „DNS-Server reagiert nicht“. Dieser Fehler bedeutet, dass Ihr Gerät zwar erfolgreich eine DNS-Anfrage gesendet hat, aber innerhalb der erwarteten Zeit keine Antwort vom DNS-Server erhalten hat. Ohne diese Antwort kann Ihr Browser einen Domainnamen wie google.com nicht in eine IP-Adresse umwandeln, sodass die Verbindung fehlschlägt und Sie die Website nicht aufrufen können, obwohl Ihre Internetverbindung an sich möglicherweise grundsätzlich funktioniert.

Dieses Problem kann folgende Ursachen haben:

  • Probleme mit der Netzwerkverbindung
  • Falsch konfigurierte DNS-Einstellungen
  • Probleme mit dem Router oder dem Internetanbieter
  • Beeinträchtigung durch Firewall oder Antivirenprogramm
  • Vorübergehende Ausfälle des DNS-Servers

In den meisten Fällen lässt sich das Problem mit ein paar einfachen Schritten beheben:

Schritt 1: Starten Sie Ihren Router und Ihr Gerät neu

Ziehen Sie das Netzkabel Ihres Routers und Modems ab und warten Sie 30 Sekunden. Schließen Sie dann zuerst das Modem wieder an, anschließend das Kabel des Routers, und warten Sie weitere 1–2 Minuten, bevor Sie Ihr Gerät neu starten.

Schritt 2: Leeren Sie Ihren DNS-Cache

Ihr Gerät speichert DNS-Abfragen in einem lokalen Cache, um den Vorgang zu beschleunigen. Wenn dieser Cache veraltete oder beschädigte Einträge enthält, versucht Ihr Gerät möglicherweise weiterhin, einen Server zu kontaktieren, der nicht mehr erreichbar ist.

Unter Windows 10 oder 11:

  1. Drücken Sie die Windows-Taste, geben Sie „cmd“ ein, klicken Sie mit der rechten Maustaste auf „Eingabeaufforderung“ und wählen Sie „Als Administrator ausführen“.
  2. Geben Sie in dem sich öffnenden schwarzen Fenster „ipconfig /flushdns“ ein und drücken Sie die Eingabetaste.
  3. Es sollte folgende Bestätigung angezeigt werden: „Der DNS-Resolver-Cache wurde erfolgreich geleert.“

Unter macOS:

  1. Öffnen Sie das Terminal (drücken Sie Cmd + Leertaste, geben Sie „Terminal“ ein und drücken Sie die Eingabetaste).
  2. Geben Sie „sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder“ ein und drücken Sie die Eingabetaste.
  3. Geben Sie Ihr Administratorkennwort ein, wenn Sie dazu aufgefordert werden

Erfahren Sie, wie Sie den DNS-Cache unter verschiedenen Betriebssystemen im Detail leeren können.

Schritt 3: Wechseln Sie zu einem öffentlichen DNS-Anbieter

Die DNS-Server Ihres Internetanbieters sind oft langsamer, weniger zuverlässig und werden manchmal gefiltert oder protokolliert. Öffentliche DNS-Anbieter wie Cloudflare und Google betreiben riesige globale Netzwerke, die speziell für eine schnelle und präzise DNS-Auflösung optimiert sind.

Empfohlene Server sind Cloudflare: 1.1.1.1 (primär) und 1.0.0.1 (sekundär) oder Google: 8.8.8.8 (primär) und 8.8.4.4 (sekundär).

Schritt 4: Überprüfen Sie die Einstellungen Ihres Netzwerkadapters

Manchmal weist der Adapter selbst fehlerhafte Einstellungen, veraltete Treiber oder einen beschädigten Protokollstapel auf. Überprüfen Sie Ihre aktiven Verbindungen, trennen Sie die Verbindung und stellen Sie sie erneut her, um zu sehen, ob sich das Problem dadurch beheben lässt.

Schritt 5: Deaktivieren Sie vorübergehend konkurrierende Sicherheitssoftware

Antiviren-Suiten, Firewalls und virtuelle private Netzwerke (VPNs) verfügen oft über eigene DNS-Filter- oder Abfangmechanismen. Wenn diese fehlerhaft funktionieren, können sie legitime DNS-Antworten unbemerkt blockieren.

  • Trennen Sie die Verbindung Ihrer VPN-Clients
  • Pauseschutz für Ihre Antivirensoftware von Drittanbietern
  • Deaktivieren Sie die Firewall für Ihr aktives Netzwerk vorübergehend, führen Sie einen Test durch und schalten Sie sie anschließend sofort wieder ein.
  • Stellen Sie sicher, dass kein manueller Proxy aktiviert ist, es sei denn, Sie benötigen ausdrücklich einen.

Wichtiger Hinweis: Wenn das Deaktivieren einer dieser Funktionen das Problem behebt, liegt der Fehler in der Konfiguration der jeweiligen Software und nicht in der Software selbst. Sie sollten Sicherheitstools nicht deaktiviert lassen; konfigurieren Sie stattdessen das betreffende Tool neu (oftmals, indem Sie Ihren DNS-Server in dessen Einstellungen zulassen) oder wenden Sie sich an den Support.

Abschließende Gedanken: Warum dies für Ihr Unternehmen wichtig ist

Ein zuverlässiger DNS-Server ist die Grundlage für ein sicheres E-Mail-Programm. Für Unternehmen, die auf E-Mail angewiesen sind, ist die Wahl des richtigen DNS-Servers sogar noch entscheidender.

Eine unzureichende DNS-Serverkonfiguration kann zu E-Mail-Spoofing und Phishing-Angriffen, einem Verlust des Vertrauens in die Domain, Zustellungsfehlern und Reputationsschäden führen. Die Schaffung einer sicheren DNS-Grundlage in Verbindung mit ordnungsgemäß konfigurierten SPF-, DKIM- und DMARC-Einstellungen ist für den Schutz Ihrer Nutzer und Ihrer Marke unerlässlich.

Überprüfen Sie die DNS-Einträge Ihrer Domain mit einem kostenlosen Domain-Analyzer -Tool, um sicherzustellen, dass Ihre E-Mail-Authentifizierungsprotokolle korrekt konfiguriert sind.

Häufig gestellte Fragen

Was macht ein DNS-Server?

Ein DNS-Server wandelt für Menschen lesbare Domainnamen in IP-Adressen um, damit Browser Websites finden und laden können.

Was ist der Unterschied zwischen einem DNS-Server und einem DNS-Eintrag?

Ein DNS-Server ist das System, das Anfragen speichert und beantwortet, während ein DNS-Eintrag ein bestimmter Eintrag (wie ein A- oder MX-Eintrag) ist, der festlegt, wie eine Domain aufgelöst oder behandelt werden soll.

Welcher DNS-Server ist am besten geeignet?

Welcher DNS-Server am besten geeignet ist, hängt von Ihren Anforderungen ab. Zu den beliebten und zuverlässigen Optionen zählen jedoch Google Public DNS und Cloudflare, die sich durch ihre Geschwindigkeit, Sicherheit und weltweite Verfügbarkeit auszeichnen.

Neueste Beiträge von Ahona Rudra (alle anzeigen)
Zuletzt aktualisiert:
Wie konfiguriere ich DMARC?Wie man DMARC konfiguriertVerstehen von Zero-Day-SchwachstellenZero-Day-Schwachstellen verstehen: Was sie sind und wie sie eine Bedrohung...