Jeder technikaffine Internetnutzer, der eventuell sogar schon einmal eine Webseite selber betrieben hat, sollte schon mindestens einmal über den Begriff DNS-Server gestolpert sein.
Doch was ist und was macht ein DNS-Server eigentlich? Haben oder brauchen Sie wohl möglich selber einen DNS-Server? Diese Fragen klären wir im Folgenden.
Das Domainname System
Ein DNS-Server ist eine Komponente des sogenannten Domainname Systems. Computer können besser mit Zahlen als mit Namen arbeiten. Ein Server ist ein Computer auf dem eine Software installiert ist, die einen Dienst für andere (Computer & Menschen) bereitstellt. Im Englischen heißt ja auch „to serve“, dienen, womit die Verbindung zum Dienst hergestellt ist. Um diesen Dienst zu nutzen, muss ein Computer oder Mensch die Adresse des Servers kennen. Da Computer wie bereits erwähnt besser mit Zahlen als mit Buchstaben (intern) arbeiten können, hat jeder Server (nach gängigen Standards) mindestens eine IP-Adresse. Menschen können sich unmöglich für jeden Internet-Dienst die IP-Adresse des Servers merken. Und genau hier schließt sich der Bogen wir können nun die Aufgabe des Domain-Name-System und des DNS-Servers verstehen. Der DNS-Server hat die Aufgabe, Domainnamen wie zum Beispiel guter-webhoster.de einer Server-IP-Adresse zuzuordnen. Das ist quasi auch die Aufgabe des Domain Name Systems, weitere Teile sind zum Beispiel das Protokoll mit dem eine Abfrage bei einem DNS-Server stattfinden kann.
Nameserver Zonefiles
Um Informationen über Domains bei einem DNS-Server bereitzustellen verfügt ein DNS-Server über sogenannte Zonefiles. Je Domainnamen gibt es ein Zonefile. In diesem Zonefile befinden sich verschiedene Resource Records mit verschiedenen Typen. Der sogenannte Type A Record ist einer der wichtigsten, den er erhält die Informationen über die IP-Adresse des Webservers. Ein weiterer interessanter Record (Eintrag) ist der MX-Record. Über ihn wird der Domainname einer Liste von Mailservern zugewiesen, die für die Domain der Zonefile autorisiert sind, E-Mails im Namen eines Absenders mit der entsprechenden Domain hinter dem „@-Zeichen“ zu versenden. Das Versenden von E-Mails ist theoretisch mit jedem frei wählbaren Absender möglich. Ist der MX-Record jedoch nicht gesetzt, kann es sein, dass annehmende Mailserver die empfangene E-Mail als Spam interpretieren, da der Verdacht nahe liegt, dass der Absender gefälscht wurde.
Eigenen DNS-Server betreiben
Jeder Domain-Inhaber hat prinzipiell die Wahl seinen eigenen Nameserver zu betreiben. Hierbei ist jedoch einiges an technischem Know-How von Nöten.
Wichtige Aufgaben beim Betreiben und In-Betrieb-Nehmen eines eigenen DNS-Servers, sind die folgenden:
- Zwei Nameserver bei dem Domain-Registrar anmelden
- Zonefile konfigurieren
- Nameserver synchron halten
Zwei Nameserver bei dem Domain-Registrar anmelden
Die meisten Domain-Registrare wie zum Beispiel die DENIC fordern zwei Nameserver pro Domain. Somit soll sichergestellt werden, dass es zu keinen Problemen bei der Connectierung der Domain kommt, falls ein Nameserver ausfällt. Die DENIC fordert sogar, dass beide Nameserver unterschiedliche IPs in verschiedenen Klasse C Netzen haben, somit versucht man zusätzlich sicherzustellen, dass beide Nameserver an verschiedenen orten stehen. Die Domainkonfiguration wird von der DENIC nur angenommen, wenn die Nameserver richtig konfiguriert sind.
Zonefile konfigurieren
Wer auf seinem Server kein Tool wie zum Beispiel Plesk installiert hat, muss die Zonefiles von Hand konfigurieren und sollte sich deshalb mit den einzelnen Resource Records auskennen.
Nameserver synchron halten
Zu guter Letzt müssen die beiden Nameserver synchron gehalten werden, das bedeutet, wenn die Zonefile auf einem Nameserver verändert wird, muss die Änderung auf dem zweiten (Notfall-) DNS-Server übernommen werden. Diese Synchronisation kann entweder per Hand durchgeführt werden, aber auch automatisiert werden in die beiden Nameserver im sogenannten „Master-Slave-Modus“ konfiguriert wurden.
DNS-Server kaufen
Eine große Erleichterung ist es hier, dass die meisten Domain- und Webhosting-Anbieter dem Anwender die ganze Arbeit des Nameserver-Hostings abnehmen und in ihren Preisen enthalten Nameserver bereitstellen.
Viele Domain-Anbieter bieten dem Nutzer zudem die Möglichkeit den Type-A Record selbständig über ein Webinterface zu verändern und zu konfigurieren. Dadurch erlangt ein Kunde die Freiheit jeden beliebigen Webserver (für das Hosting der Inhalte) zusammen mit seiner Domain zu nutzen. Webhosting-Anbieter, die einen Webserver bereitstellen, bieten meist keinen Zugang zur Nameserver-Konfiguration. In Ausnahmefällen wird eine Änderung der Zonefiles auf Anfrage vorgenommen. Die webhoster.ag ist hier erfahrungsgemäß sehr kooperativ.
DNS Caching
Die DNS-Informationen eines Nameservers verteilen sich rasch über das komplette Internet. Sie werden nicht jedes mal neu, wenn benötigt, beim DNS-Server selbst abgerufen. Um den Informationsübertragungsweg zu reduzieren speichern fast alle Internetprovider wie zum Beispiel die Deutsche Telekom DNS-Informationen auf Ihren eigenen Nameservern zwischen. Dieser Vorgang nennt sich Caching. Erst wenn der Zeitstempel (dessen Dauer der Haupt-DNS-Server vorgibt), abgelaufen ist oder noch nie eine DNS-Server Information für die Domain vorlag, fragt ein Internetprovider die DNS-Informationen beim Haupt-DNS-Server ab.
Deshalb wirken sich Änderungen der Zonefiles immer erst nach einer bestimmten Zeit, in der Regel nach 24 Stunden, auf das gesamte Internet aus.
Computer Angriffe durch DNS-Manipulation
Über welchen DNS-Server der heimische Arbeitscomputer Domainnamen zu IP-Adressen auflöst, kann sowohl im Internet-Router als auch in den Konfigurationsdateien des Computers selbst eingstellt werden.
Hier setzen einige findige Hacker an um Internetnutzer auf Fishing-Seiten oder Affiliate-Seiten umzuleiten. Gibt der Anwender beispielsweise die Adresse von Google in den Browser ein, könnte mit Hilfe einer Manipulation des DNS-Systems im heimischen Netzwerk die Anfrage zu einem Webhosting-Server der gar nicht Google gehört geleitet werden. Auch wenn die eingegebene Adresse im Browser unverändert bleibt.
Auf dieser Seite kann dann entweder komplett anderer Inhalt oder aber eine Kopie von Google mit Werbeeinblendungen des Angreifers gezeigt werden.
Durch die Manipulation des DNS-Dienstes des eigenen Computers, welche recht einfach durch Ändern einer Textdatei zu bewerkstelligen ist, können auch Internetseiten gesperrt werden. Hier öffnet sich ein Tor für Kinderschutz-Mechanismen.
Fazit
DNS-Server sind ein wichtiger Bestandteil des Internets. Wir verwenden Sie täglich und sie sind eine große Erleichterung beim Surfen im Internet, weil wir somit Inhalte von Domainnamen abrufen können. Wer eine Webseite ins Internet stellen möchte, sollte sofern er kein Experte mit wichtigen Gegenargumenten ist, die DNS-Server seines Domainanbieters nutzen um sich zusätzliche Arbeit zu sparen.
Das DNS-System des Heimcomputers kann leicht manipuliert werden und öffnet somit Tür und Tor für Computerangriffe, aber auch für Jugendschutz-Software um Webseiten zu sperren.