Domain Name System

Aus Foxwiki

Domain Name System (DNS) - Hierarchisch unterteiltes Bezeichnungssystem zur Beantwortung von Anfragen zu Domain-Namen (Namensauflösung)

topic - Kurzbeschreibung

Beschreibung

Installation

Syntax

Optionen

Parameter

Umgebungsvariablen

Exit-Status

Anwendungen

Fehlerbehebung

Konfiguration

Dateien

Siehe auch

Unterseiten

Sicherheit

Dokumentation

RFC

RFC

RFCs

  1. RFC 1034 – Domain Names – Concepts and Facilities
  2. RFC 1035 – Domain Names – Implementation and Specification
  3. RFC 2181 – Clarifications to the DNS Specification
  4. RFC 2782 – A DNS RR for specifying the location of services (DNS SRV)

Man-Pages

Info-Pages

Links

Einzelnachweise

Projekt

Weblinks

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5

TMP

Komponenten

Datei:Schematische Darstellung DNS Hierarchie.png
DNS-Hierarchie

Domain-Namensraum

  • Baumförmige Struktur
  • Blätter und Knoten werden als Labels bezeichnet
  • Kompletter Domainname = Verkettung aller Labels eines Pfades
  • Labels werden durch Punkt getrennt
  • Domainname wird mit Punkt abgeschlossen

Fully Qualified Domain Name (FQDN)

Der vollständige Name einer Domain wird als ihr Fully Qualified Domain Name (FQDN) bezeichnet

Der Domain-Name ist in diesem Fall eine absolute Adresse und darf inklusive aller Punkte maximal 255 Bytes lang sein.

Der FQDN www.itw-berlin.net. ergibt sich durch:

3rd-level-label. | 2nd-level-label. | Top-Level-Domain. | root-label
------------------------------------------------------------------
www              . itw-berlin       . net               .

Ein Domainname wird immer von rechts nach links delegiert und aufgelöst, das heißt je weiter rechts ein Label steht, umso höher steht es im Baum.

.net.itw-berlin.www

root-label. | Top-Level-Domain. | 2nd-level-label. | 3rd-level-label.
------------------------------------------------------------------
            . net               . itw-berlin       . www

Protokoll

DNS-Anfragen werden normalerweise per UDP Port 53 zum Namensserver gesendet.

  • Der DNS-Standard fordert aber auch die Unterstützung von TCP für Fragen, deren Antworten zu groß für UDP-Übertragungen sind.[1] Falls kein Extended DNS verwendet wird (EDNS), beträgt die maximal zulässige Länge des DNS-UDP-Pakets 512 Bytes. Überlange Antworten werden daher abgeschnitten übertragen.
  • Durch Setzen des Truncated-Flags wird der anfragende Client über diesen Sachverhalt informiert.
  • Er muss dann entscheiden, ob ihm die Antwort reicht oder nicht.
  • Gegebenenfalls wird er die Anfrage per TCP Port 53 wiederholen.

Zonentransfers werden stets über Port 53 TCP durchgeführt.

  • Die Auslösung von Zonentransfers erfolgt aber gewöhnlich per UDP.

Erweiterungen

siehe Domain Name System/Erweiterungen

Nameserver

Bieten Namensauflösung an

autoritativ

Verantwortlich für eine Zone
  • Wird als gesichert angesehen
Redundanz vorgeschrieben
  • Primärer Nameserver
  • Sekundärer Nameserver
  • Zonentransfer

nicht-autoritativ

Bezieht Informationen von anderen Nameservern
  • wird als nicht gesichert angesehen
  • speichert Informationen im RAM (caching)

Zusammenarbeit der Nameserver

Ein nicht-autoritativer Nameserver bedient sich folgender Strategien, um Informationen über andere Teile des Namensraumes zu finden:

Delegierung
  • leitet Anfragen an Subdomain Nameserver weiter
Weiterleitung (forwarding)

Bei außerhalb liegenden Namensräumen

  • Weiterleitung an fest konfigurierten Nameserver
  • Oder Auflösung über die Root-Nameserver (ausschließlich Beantwortung iterativer Anfragen)

Aufbau der DNS-Datenbank

Das Domain Name System kann als verteilte Datenbank mit baumförmiger Struktur aufgefasst werden.

  • Beim Internet-DNS liegen die Daten auf einer Vielzahl von weltweit verstreuten Servern, die untereinander über Verweise – in der DNS-Terminologie Delegierungen genannt – verknüpft sind.

In jedem beteiligten Nameserver existieren eine oder mehrere Dateien – die sogenannten Zonendateien – die alle relevanten Daten enthalten.

  • Bei diesen Dateien handelt es sich um Listen von Resource Records.
  • Von großer Bedeutung sind sieben Record-Typen:
  • Mit dem SOA Resource Record werden Parameter der Zone, wie z. B. Gültigkeitsdauer oder Seriennummer, festgelegt.
  • Mit dem NS Resource Record werden die Verknüpfungen (Delegierungen) der Server untereinander realisiert.
  • Mit folgenden Record-Typen werden die eigentlichen Daten definiert:
  • Er stellt eine Besonderheit dar, da er sich auf einen speziellen Dienst im Internet, nämlich die E-Mailzustellung mittels SMTP, bezieht.
  • Alle anderen Dienste nutzen CNAME, A und AAAA Resource Records für die Namensauflösung.
    • Ein PTR Resource Record weist einer IP-Adresse einen Namen zu (Reverse Lookup) und wird für IPv4 und IPv6 gleichermaßen benutzt, nur für IPv4 unterhalb der Domain „IN-ADDR.ARPA.“ und für IPv6 unterhalb von „IP6.ARPA.“.
    • Ein TXT Resource Record kann einem Namen einen frei definierbaren Text zuweisen.
  • Eine Einsatzmöglichkeit hier ist die Abwehr von Spam.

Im Laufe der Zeit wurden neue Typen definiert, mit denen Erweiterungen des DNS realisiert wurden.

  • Dieser Prozess ist noch nicht abgeschlossen.
  • Eine umfassende Liste findet sich unter Resource Record.

Beispiele:

Folgender NS Resource Record sei in der Zonendatei der Domain „org.“ definiert: Die Zonendatei für die Domain „example.org.“ befindet sich auf dem Server „ns0.example.org.“.

  • Der Punkt am Ende ist wichtig, da dieser klarstellt, dass kein relativer Name gemeint ist, also hinter „org“ nichts mehr zu ergänzen ist. „IN“ meint, dass der Eintrag die Klasse „Internet“ besitzt und die Zahl davor bedeutet die Time To Live (TTL) in Sekunden, sie besagt, wie lange diese Information in einem Cache zwischengespeichert werden könnte, bevor sie neu erfragt werden sollte.
  • Bei dynamischen IP-Adressen liegt diese Zahl meistens zwischen 20 und 300 Sekunden.
example   86400  IN  NS   ns0.example.org.

Folgender CNAME Resource Record in der Zonendatei der Domain „example.org.“ definiert: Der Name „de.example.org.“ verweist auf den Namen „rr.example.net.“.

de          3600   IN  CNAME   rr.example.net.

Folgende Resource Records in der Zonendatei der Domain „example.net“ definieren: Der Name „rr.example.net.“ verweist auf den Namen „rr.esams.example.net.“ und diesem wiederum ist die IPv4-Adresse 203.0.113.232 zugewiesen.

rr          600    IN  CNAME   rr.esams
rr.esams    3600   IN  A       203.0.113.232

Letztlich müssen also alle Rechner, die sich mit „de.example.org.“ verbinden möchten, IPv4-Pakete an die IP-Adresse 203.0.113.232 senden.

Resolver

DNS-Auflösung

Programme Prüfung der Namensauflösung sind dig oder nslookup

Resolver sind einfach aufgebaute Software-Module, die auf dem Rechner eines DNS-Teilnehmers installiert sind und die Informationen von Nameservern abrufen können.
  • Sie bilden die Schnittstelle zwischen Anwendung und Nameserver.
  • Der Resolver übernimmt die Anfrage einer Anwendung, ergänzt sie, falls notwendig, zu einem FQDN und übermittelt sie an einen normalerweise fest zugeordneten Nameserver.
Resolver arbeiten rekursiv oder iterativ

rekursiv

  • Resolver schickt Nameserver die Anfrage
  • kennt der Nameserver die Antwort erhält der Resolver die Antwort direkt, sonst schickt er die Anfrage weiter (s. Zusammenarbeit der einzelnen Nameserver)
  • am Ende erhält der Resolver die endgültige ANtwort

iterativ

  • Resolver erhält entweder die Antwort vom ersten Nameserver oder den Verweis zum nächsten Nameserver
  • in diesem Fall fragt der Resolver den nächsten Nameserver
  • dies geschieht so lange, bis er eine Antwort hat

Protokoll

  • DNS-Anfragen normalerweise per UDP-Port 53 zum Namensserver
  • bei DNS-UDP-Paketen grösser als 512 Bytes werden die Antworten abgeschnitten
  • Client wird dann per Truncate-Flag informiert und kann Anfrage per TCP-Port 53 wiederholen
  • Zonentransfers immer über TCP-Port 53, Auslösung aber per UDP.

Komponenten

Domain-Namensraum

Schematische Darstellung der DNS-Hierarchie

Der Domain-Namensraum hat eine baumförmige Struktur.

  • Die Blätter und Knoten des Baumes werden als Labels bezeichnet.
  • Ein kompletter Domainname eines Objektes besteht aus der Verkettung aller Labels eines Pfades.

Labels sind Zeichenketten, die jeweils mindestens ein Byte und maximal 63 Bytes lang sind (RFC 2181, Abschnitt „11. Name syntax“).

  • Einzelne Labels werden durch Punkte voneinander getrennt.
  • Ein Domainname wird mit einem Punkt abgeschlossen (der letzte Punkt wird normalerweise weggelassen, gehört rein formal aber zu einem vollständigen Domainnamen dazu).
  • Somit lautet ein korrekter, vollständiger Domainname (auch [[Fully Qualified Domain Name|Vorlage:Lang (FQDN)]] genannt) zum Beispiel www.example.com. und darf inklusive aller Punkte maximal 255 Bytes lang sein.

Ein Domainname wird immer von rechts nach links delegiert und aufgelöst, das heißt je weiter rechts ein Label steht, umso höher steht es im Baum.

  • Der Punkt am rechten Ende eines Domainnamens trennt das Label für die erste Hierarchieebene von der Wurzel (englisch Vorlage:Lang).

Diese erste Ebene wird auch als Top-Level-Domain (TLD) bezeichnet. Die DNS-Objekte einer Domäne (zum Beispiel die Rechnernamen) werden als Satz von Resource Records meist in einer Zonendatei gehalten, die auf einem oder mehreren autoritativen Nameservern vorhanden ist.

  • Anstelle von Zonendatei wird meist der etwas allgemeinere Ausdruck Zone verwendet.

Vorlage:Siehe auch

Nameserver

Ein Nameserver ist ein Server, der Namensauflösung anbietet.

  • Namensauflösung ist das Verfahren, das es ermöglicht, Namen von Rechnern bzw.
  • Diensten in eine vom Computer bearbeitbare Adresse aufzulösen (z. B. www.wikipedia.org in 91.198.174.192).

Die meisten Nameserver sind Teil des Domain Systems, das auch im Internet benutzt wird.

Nameserver sind zum einen Programme, die auf Basis einer DNS-Datenbank Anfragen zum Domain-Namensraum beantworten.

  • Im Sprachgebrauch werden allerdings auch die Rechner, auf denen diese Programme zum Einsatz kommen, als Nameserver bezeichnet.
  • Man unterscheidet zwischen autoritativen und nicht-autoritativen Nameservern.

Ein autoritativer Nameserver ist verantwortlich für eine Zone.

  • Seine Informationen über diese Zone werden deshalb als gesichert angesehen.
  • Für jede Zone existiert mindestens ein autoritativer Server, der Primary Nameserver.
  • Dieser wird im SOA Resource Record einer Zonendatei aufgeführt.
  • Aus Redundanz- und Lastverteilungsgründen werden autoritative Nameserver fast immer als Server-Cluster realisiert, wobei die Zonendaten identisch auf einem oder mehreren Secondary Nameservern liegen.
  • Die Synchronisation zwischen Primary und Secondary Nameservern erfolgt per Zonentransfer.

Ein nicht-autoritativer Nameserver bezieht seine Informationen über eine Zone von anderen Nameservern sozusagen aus zweiter oder dritter Hand.

  • Seine Informationen werden als nicht gesichert angesehen.
  • Da sich DNS-Daten normalerweise nur sehr selten ändern, speichern nicht-autoritative Nameserver die einmal von einem Resolver angefragten Informationen im lokalen RAM ab, damit diese bei einer erneuten Anfrage schneller vorliegen.
  • Diese Technik wird als Caching bezeichnet.
  • Jeder dieser Einträge besitzt ein eigenes Verfallsdatum (TTL time to live), nach dessen Ablauf der Eintrag aus dem Cache gelöscht wird.
  • Die TTL wird dabei durch einen autoritativen Nameserver für diesen Eintrag festgelegt und wird nach der Änderungswahrscheinlichkeit des Eintrages bestimmt (sich häufig ändernde DNS-Daten erhalten eine niedrige TTL).
  • Das kann unter Umständen bedeuten, dass der Nameserver in dieser Zeit falsche Informationen liefert, wenn sich die Daten zwischenzeitlich geändert haben.

Ein Spezialfall ist der Caching Only Nameserver.

  • In diesem Fall ist der Nameserver für keine Zone verantwortlich und muss alle eintreffenden Anfragen über weitere Nameserver (Forwarder) auflösen.
  • Dafür stehen verschiedene Strategien zur Verfügung:
Zusammenarbeit der einzelnen Nameserver

Damit ein nicht-autoritativer Nameserver Informationen über andere Teile des Namensraumes finden kann, bedient er sich folgender Strategien:

Delegierung
Teile des Namensraumes einer Domain werden oft an Subdomains mit dann eigens zuständigen Nameservern ausgelagert.
  • Ein Nameserver einer Domäne kennt die zuständigen Nameserver für diese Subdomains aus seiner Zonendatei und delegiert Anfragen zu diesem untergeordneten Namensraum an einen dieser Nameserver.
Weiterleitung (forwarding)
Falls der angefragte Namensraum außerhalb der eigenen Domäne liegt, wird die Anfrage an einen fest konfigurierten Nameserver weitergeleitet.
Auflösung über die Root-Nameserver
Falls kein Weiterleitungsserver konfiguriert wurde oder dieser nicht antwortet, werden die Root-Nameserver befragt.
  • Dazu werden in Form einer statischen Datei die Namen und IP-Adressen der Root-Server hinterlegt.
  • Es gibt 13 Root-Server (Server A bis M).
  • Die Root-Server beantworten ausschließlich iterative Anfragen.
  • Sie wären sonst mit der Anzahl der Anfragen schlicht überlastet.

Anders konzipierte Namensauflösungen durch Server, wie der NetWare Name Service oder der Windows Internet Naming Service, sind meistens auf Local Area Networks beschränkt und werden zunehmend von der Internetprotokollfamilie verdrängt.

DNS im lokalen Netz

DNS ist nicht auf das Internet beschränkt
  • Es ist ohne weiteres möglich und mit der Definition verträglich, für die Auflösung lokaler Namen eigene Zonen im Nameserver einzurichten und dort die entsprechenden Adressen einzutragen.
  • Der einmalige Aufwand zur Installation lohnt sich auch bei relativ kleinen Netzen, da dann alle Adressen im Netz zentral verwaltet werden können.
Bei größeren Firmen oder Organisationen ist häufig ein aus lokalem und Internet-DNS bestehendes Mischsystem (Split-DNS) anzutreffen.
  • Die internen Nutzer greifen auf das lokale und die externen auf das Internet-DNS zu.
  • In der Praxis können dadurch sehr komplizierte Konstellationen entstehen.
Der DNS-Server BIND kann auch mit DHCP zusammenarbeiten und damit für jeden Client im Netz eine Namensauflösung ermöglichen.
Unter Windows gibt es noch einen anderen Dienst zur Namensauflösung – WINS, der eine ähnliche Funktion zur Verfügung stellt, allerdings ein anderes Protokoll verwendet.

DNS-Serververbund

Es ist möglich, mehrere DNS-Server zu verbinden
  • Die als Master bezeichneten Server sind für eine oder mehrere Domains verantwortlich.
  • Die Slaves aktualisieren nach einer Änderung selbst die Daten, der Master verteilt diese Daten nicht automatisiert.
  • Die Abholung der Daten wird über einen Zonentransfer realisiert.
Beispielsweise kann eine Firma mit mehreren Standorten an einem Platz einen Master für ihr internes DNS betreiben, der die Server in den Außenstellen versorgt
  • Der Zonentransfer geht bei BIND über TCP (per Default Port 53) und erfordert empfohlenerweise Authentifizierung.
  • Die Slaves aktualisieren sich, wenn sich die Seriennummer für eine Zonendatei ändert oder sie eine entsprechende Nachricht vom Master erhalten.
  • Die Freigabe für den Transferport sollte man per Firewall an die IP-Adresse des Masters binden.
  • Bei anderen Softwarepaketen werden die Daten unter Umständen auf anderen Wegen abgeglichen, beispielsweise durch LDAP-Replikation, rsync, oder noch andere Mechanismen.

Sicherheit

siehe Domain Name System/Sicherheit

Domain-Registrierung

Vorlage:Hauptartikel Um DNS-Namen im Internet bekannt machen zu können, muss der Besitzer die Domain, die diesen Namen enthält, registrieren.

  • Durch eine Registrierung wird sichergestellt, dass bestimmte formale Regeln eingehalten werden und dass Domain-Namen weltweit eindeutig sind.
  • Domain-Registrierungen werden von Organisationen (Registries, z. B.
  • Verisign oder Afilias) vorgenommen, die dazu von der IANA bzw. ICANN autorisiert wurden.
  • Registrierungen sind (von wenigen Ausnahmen abgesehen) gebührenpflichtig.
  • Für Domains unter .de ist die DENIC zuständig.
  • In den allermeisten Fällen können Domains bei den Registries nur über Zwischenhändler, sogenannte Registrare wie Godaddy oder 1&1 Internet SE registriert werden, die mit den Registries entsprechende Verträge abgeschlossen haben.

Bonjour bzw. Zeroconf

Apple hat bei der Entwicklung von macOS mehrere Erweiterungen am DNS vorgenommen, welche die umfassende Selbstkonfiguration von Diensten in LANs ermöglichen soll.

  • Zum einen wurde Multicast DNS („mDNS“) eingeführt, das die Namensauflösungen in einem LAN ohne einen dedizierten Namensserver erlaubt.
  • Zusätzlich wurde noch DNS-SD (für „DNS Service Discovery“) eingeführt, die die Suche („Browsing“) nach Netzwerkdiensten in das DNS beziehungsweise mDNS ermöglicht.
  • mDNS und DNS-SD sind bisher keine offiziellen RFCs des IETF, sind aber trotzdem bereits in verschiedenen (auch freien) Implementierungen verfügbar.
  • Zusammen mit einer Reihe von anderen Techniken fasst Apple DNS-SD und mDNS unter dem Namen „Zeroconf“ zusammen, als Bestandteil von OS X auch als „Rendezvous“ bzw. „Bonjour“.
  • Die meisten Linux-Distributionen unterstützen diese Erweiterung z. B.
  • mit der avahi-Implementierung von Zeroconf.

Nameserversoftware

Bekannter Software zur Namensauflösung
Option Beschreibung
BIND (Berkeley Internet Name Domain) Meistgebrauchte Nameserver-Software
  • Referenzimplementierung der meisten RFCs zu DNS
  • Die erste Version von BIND war die erste öffentlich verfügbare Nameserver-Implementierung
CoreDNS In Go geschriebener DNS-Server der Cloud Native Computing Foundation
djbdns Bei djbdns hat der Autor Daniel J. Bernstein eine Prämie für das Finden von Sicherheitsproblemen ausgeschrieben.
  • Djbdns wird von Bernstein nicht mehr weiterentwickelt, weil er es als fertig ansieht.
Dnsmasq Name- und DHCP-Server mit eingeschränkter Funktionalität
  • Es werden die Namen aus dem lokalen Netz entsprechend /etc/hosts aufgelöst
  • Dnsmasq verfügt über keinen vollständigen Resolver
  • unbekannte Namensanfragen werden weitergeleitet und im Cache gespeichert
Knot DNS ist ein autoritativer Nameserver, der von CZ.NIC entwickelt wird, dem Betreiber von .cz.
Microsoft Windows DNS Kommerzielle Nameserver-Implementierungen als Teil der Produktreihe Microsoft Windows Server.
  • Unterstützt dynamische Updates, Zonentransfers und Notification.
  • Zonendaten können in den aktuellen Versionen im Active Directory oder in Zonendateien gespeichert und repliziert werden.
Name Server Daemon Autoritativer Nameserver, der zum Einsatz als Top-Level-Domain- und Root-Nameserver entwickelt wurde.
  • NSD kompiliert Antworten statisch vor, um die Server-Performance zu optimieren
  • Dynamische Zoneninhalte oder Round Robin werden nicht unterstützt
PowerDNS Nameserver, der Zonen aus SQL-Datenbanken, LDAP-Verzeichnissen und anderen Backends lesen kann
  • PowerDNS begann als kommerzielle Implementierung und ist seit 2002 unter der GPL lizenziert
Unbound DNS-Resolver, der DNSSEC-Validierung und Caching unterstützt
  • Unbound kann als Softwarebibliothek in Anwendungen eingebunden werden
  1. RFC 7766DNS Transport over TCP – Implementation Requirements. Internet Engineering Task Force (IETF), S. 3 (Stand: März 2010) Vorlage:"