Was ist das Domain Name System (DNS)?

Einleitung: Das unsichtbare Fundament des Internets

Das Domain Name System (DNS) ist eine der grundlegendsten Technologien des Internets – und gleichzeitig eine, die die meisten Nutzer nie bewusst wahrnehmen. DNS ist das System, das menschenlesbare Domainnamen wie "nebty-id.com" in maschinenlesbare IP-Adressen wie "93.184.216.34" übersetzt, die Computer zur Kommunikation benötigen.

Für Sicherheitsteams und alle, die mit Domain Monitoring oder Markenschutz befasst sind, ist ein solides Verständnis von DNS unverzichtbar. Viele Angriffsvektoren – von Phishing über Typosquatting bis hin zu DNS-Hijacking – setzen direkt an DNS-Mechanismen an.

DNS-Grundlagen: Was ist eine Domain?

Eine Domain ist ein eindeutiger Name, der eine Website oder einen Dienst im Internet identifiziert. Sie besteht aus mehreren Teilen, die durch Punkte getrennt sind:

• Top-Level-Domain (TLD) – Der ganz rechte Teil (z.B. ".com", ".de", ".org")
• Second-Level-Domain (SLD) – Der eigentliche Domainname (z.B. "nebty-id")
• Subdomain – Optionaler Präfix (z.B. "www" oder "mail")

Das DNS ist ein dezentralisiertes, hierarchisches Verzeichnissystem. Keine einzelne Stelle speichert alle DNS-Informationen; stattdessen ist die Verantwortung auf Millionen von Nameservern weltweit verteilt.

Wie funktioniert eine DNS-Abfrage?

Wenn Sie eine Website aufrufen, läuft im Hintergrund eine mehrstufige Abfrage ab:

1. Recursive Resolver – Ihr Browser fragt zunächst einen lokalen oder vom ISP bereitgestellten Resolver, der die Anfrage im Auftrag des Browsers bearbeitet.
2. Root-Nameserver – Falls der Resolver die Antwort nicht im Cache hat, fragt er einen der 13 Root-Nameserver-Cluster, die den Startpunkt der DNS-Hierarchie bilden.
3. TLD-Nameserver – Der Root-Server verweist auf den zuständigen Nameserver für die jeweilige TLD (z.B. ".com").
4. Authoritative Nameserver – Der TLD-Server verweist auf den autoritativen Nameserver der Domain, der die finale Antwort (die IP-Adresse) liefert.

Der gesamte Prozess dauert typischerweise weniger als 100 Millisekunden. Caching reduziert die Latenz bei wiederholten Abfragen erheblich.

Hierarchie und Struktur des DNS

Die DNS-Hierarchie lässt sich als umgekehrter Baum vorstellen, der mit dem Root (.) an der Spitze beginnt. Darunter folgen die TLDs, dann die Second-Level-Domains und optional weitere Subdomains. Jede Ebene hat eigene Nameserver, die für ihren Bereich autoritative Antworten liefern.

Diese dezentrale Struktur macht das DNS robust, aber auch komplex zu überwachen. Änderungen an DNS-Einträgen können auf legitime administrative Aktivitäten oder auf Angriffe hindeuten – der Kontext entscheidet.

Wichtige DNS-Eintragsarten

DNS-Einträge (Resource Records) speichern verschiedene Arten von Informationen über eine Domain:

• A-Eintrag – Ordnet einer Domain eine IPv4-Adresse zu. Der grundlegendste DNS-Eintrag.
• AAAA-Eintrag – Wie der A-Eintrag, aber für IPv6-Adressen.
• CNAME-Eintrag – Alias-Eintrag; verweist eine Domain auf eine andere Domain statt auf eine IP-Adresse.
• MX-Eintrag – Legt fest, welche Mailserver E-Mails für die Domain empfangen. Relevant für SPF/DKIM/DMARC-Konfiguration.
• NS-Eintrag – Definiert die autoritativen Nameserver einer Domain.
• TXT-Eintrag – Beliebige Textinformationen; wird u.a. für SPF, DKIM und DMARC genutzt.

DNS-Sicherheit: Angriffsvektoren und Schutz

DNS ist ein häufiges Angriffsziel, da es die Grundlage aller Internetkommunikation bildet. Wichtige Bedrohungen und Gegenmaßnahmen:

DNSSEC (DNS Security Extensions)

DNSSEC ergänzt das DNS um kryptografische Signaturen, die die Authentizität von DNS-Antworten sicherstellen. Es schützt vor DNS-Spoofing und Cache-Poisoning-Angriffen, bei denen Angreifer gefälschte DNS-Antworten einschleusen, um Nutzer auf ihre Server umzuleiten.

DNS over HTTPS (DoH)

DoH verschlüsselt DNS-Abfragen und verhindert, dass sie von Dritten im Netzwerk abgehört oder manipuliert werden können. Dies verbessert die Privatsphäre und schützt vor Man-in-the-Middle-Angriffen auf DNS-Ebene.

DNS-Monitoring als Sicherheitswerkzeug

Kontinuierliches Monitoring auf neue Domainregistrierungen, die Ihrem Markennamen ähneln, ist eines der effektivsten Werkzeuge zur frühzeitigen Erkennung von Phishing-Infrastruktur. Angreifer müssen Domains registrieren, bevor sie Angriffe starten können – dieser Zeitraum bietet ein Handlungsfenster.

Die Zukunft des DNS

Mehrere Entwicklungen prägen das DNS der nächsten Jahre: DNSSEC und DoH setzen sich breiter durch, die Zahl neuer TLDs übersteigt mittlerweile 1.500 – und vergrößert damit die Angriffsfläche für Typosquatting erheblich. Gleichzeitig entstehen DNS-basierte Sicherheitslösungen, die bösartige Domains bereits auf Resolver-Ebene blockieren.

Fazit

Das Domain Name System ist weit mehr als technische Infrastruktur – es ist das Fundament, auf dem Marken, Vertrauen und digitale Kommunikation aufbauen. Wer DNS versteht, versteht auch, wie Angreifer es missbrauchen und wie man sich schützt.

Weiterführende Ressourcen

• ICANN: Beginner's Guide to Domain Names
• IETF DNSOP Working Group
• DNSSEC Deployment Initiative