Begriff
DNS
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
DNS ist das Telefonbuch des Internets.
Computer verstehen keine Wörter wie google.de. Sie verstehen nur Zahlen (IP-Adressen) wie 142.250.185.35.
Wenn du google.de eingibst, fragt dein Computer beim DNS-Server nach:
"Hey, welche Nummer hat Google?"
Der DNS-Server antwortet: "Google wohnt unter 142.250.185.35".
Erst dann kann dein Computer die Verbindung aufbauen.
Ohne DNS müsstest du dir für jede Webseite eine komplizierte Nummer merken.
Merksatz: Das System, das menschenlesbare Domains (google.de) in maschinenlesbare IP-Adressen übersetzt.
Lernbruecke für Anfänger
Wenn du bei DNS ganz neu startest, denke zuerst nicht an Fachwörter, sondern an die Alltagssituation: Wie Domains zu Servern finden. Der Begriff beschreibt einen klaren Baustein im größeren Ablauf. Frage dich immer: Was ist der Eingang, was passiert in der Mitte, und woran erkenne ich am Ende, dass es funktioniert hat?
Ein guter Einstieg ist, den Begriff in einem Satz zu erklären, danach ein reales Beispiel zu nennen und erst dann die Technikdetails zu lernen. So entsteht kein reines Auswendiglernen, sondern ein mentales Modell.
Normalerweise macht dein Router (FritzBox) das automatisch (er fragt den DNS deines Providers). Aber viele Pros ändern ihren DNS-Server. Warum?
- Geschwindigkeit: Google DNS (
8.8.8.8) oder Cloudflare (1.1.1.1) sind oft schneller als der vom Provider. - Zensur umgehen: Manche Provider sperren Webseiten per DNS ("Du darfst Kinox.to nicht auflösen"). Ein anderer DNS-Server hebt die Sperre auf.
- Sicherheit: Manche DNS-Server (Quad9) blockieren automatisch bekannte Viren-Seiten.
Praxisroutine
In der Praxis lernst du DNS, indem du mit einem kleinen, kontrollierten Beispiel beginnst. Baue zuerst einen Minimalfall, prüfe das Ergebnis, veraendere genau eine Sache und beobachte, was sich ändert. Notiere dir Eingabe, Aktion, Ausgabe und typischen Fehler.
Übung: Erstelle ein Beispiel aus deinem Alltag, fuehre den Ablauf gedanklich Schritt für Schritt durch und markiere die Stelle, an der du Feedback oder ein Log brauchst. Wenn du diese Stelle benennen kannst, verstehst du den Begriff praktisch.
1. DNS Records
Im Telefonbuch steht mehr als nur die Nummer.
- A-Record: IPv4 Adresse (Standard).
google.de -> 1.2.3.4 - AAAA-Record: IPv6 Adresse (Neu).
google.de -> 2001:0db8... - MX-Record: Mail Exchange. "Wo sollen E-Mails hin?" (Wichtig für Firmen).
- TXT-Record: Notizzettel. Oft genutzt für Verifizierungen ("Beweise, dass dir die Domain gehört").
2. Caching & TTL
DNS ist dezentral. Es gibt nicht ein Telefonbuch, sondern Millionen, die sich austauschen. Damit das Netz nicht verstopft, werden Antworten gecached. TTL (Time To Live): Wie lange ist die Info gültig? (z. B. 1 Stunde). Wenn du deine Webseite umziehst (neue IP), dauert es oft bis zu 24 Stunden, bis das "alle Namenbücher der Welt" gelernt haben (DNS Propagation).
1. Rekursive Resolution & Root Server
Wie genau löst dein Router (Resolver) blog.google.com auf, wenn der Cache leer ist?
DNS wandert streng hierarchisch von rechts nach links.
- Root-Server (
.): Dein Router fragt einen von 13 globalen Root-Servern (z.B. a.root-servers.net): "Ich kenne.comnicht, wer ist das?". - TLD-Server (
com): Der Root-Server verweist dich an den TLD (Top Level Domain) Server von Verisign: "Frag den.comServer". - Authoritative Nameserver (
google.com): Der.comServer sagt: "Google.com wird von den Nameservernns1.google.comverwaltet." - Dein Router fragt endlich den echten Google-Server: "Wer ist
blog.google.com?". Die finale IP (A-Record) wird zurückgegeben ("Rekursive Auflösung abgeschlossen").
2. DNS-over-HTTPS (DoH) & DNS-over-TLS (DoT)
Historisch passiert DNS via unverschlüsseltem UDP (Port 53).
Der Internet-Provider (ISP), dein Arbeitgeber oder ein Hacker im Café fängt diesen Request im Klartext ab (Deep Packet Inspection), protokolliert "Aha, User geht auf wiki.com" und kann DNS-Zensur (Sperren) oder Spoofing betreiben (dich auf eine Phishing-Seite umleiten).
DoH tunnelt die extrem kurzen DNS-Anfragen komplett in stinknormale verschlüsselte HTTPS-Streams (Port 443). Für den Provider oder die chinesische Firewall sieht die Abfrage optisch aus wie ein harmloser Aufruf einer beliebigen https:// Website. Es hebelt Zensur und Sniffing rigoros aus (sehr zum Ärger von autoritären Staaten und Firmen-Firewalls).
3. DNSSEC (DNS Security Extensions)
Gegen das "Poisoning" (Vergiften der BGP-Routen oder DNS Caches durch Hacker, um dich umzuleiten) existiert DNSSEC. Es nutzt asymmetrische Kryptografie (Public Key Infrastructur), ohne direkte SSL Zertifikate zu sein. Wenn Cloudflare deinen DNS Record verwaltet, unterschreibt er den fertigen Zone-File-Eintrag (RRSIG). Dein auflösender DNS-Resolver validiert die Signatur hierarchisch hoch bis zu einem Trust-Anchor (Root-Zone). Antwortet ein manipulierter, ausländischer Server frech mit einer gefälschten Bank-IP, erkennt dein Browser sofort "Die DNSSEC Kryptografie-Signatur fehlt oder ist gebrochen! Warnung!" (SERVFAIL). Leider ist die globale Adoption wegen hoher administrativer Komplexität schleppend.
Quick-Check
Was passiert, wenn der DNS-Server ausfällt?
Das Internet "fühlt" sich kaputt an. Du kommst auf keine Webseite mehr. Skype oder WhatsApp könnten aber noch gehen, wenn sie IPs direkt benutzen.Was ist
hosts?Eine Textdatei auf deinem PC (C:\Windows\System32\drivers\etc\hosts). Das ist dein privates Mini-Telefonbuch. Was da steht, gilt vor dem DNS. Wichtig für Entwickler ("Gaukle dem PC vor, dass testseite.local auf meinem PC läuft").Ist DNS verschlüsselt?
Standardmäßig nein! Jeder (WLAN-Betreiber) kann sehen, welche Domains du abfragst. Neuere Standards wie DoH (DNS over HTTPS) verschlüsseln auch das Nachschlagen.