Studium, Ausbildung und Beruf

web uni-protokolle.de
 powered by
NachrichtenLexikonProtokolleBücherForenSonntag, 25. August 2019 

Domain Name System


Dieser Artikel von Wikipedia ist u.U. veraltet. Die neue Version gibt es hier.

DNS im TCP/IP-Protokollstapel
Anwendung DNS
Transport UDP TCP
Netzwerk IP
Netzzugang Ethernet Token
Ring
FDDI ...
Das Domain Name System (DNS) ist einer der wichtigsten Dienste Internet . Das DNS ist eine verteilte Datenbank die den Namensraum im Internet verwaltet. geschieht im Wesentlichen durch die Umsetzung von in Adressen. Das Ganze ist vergleichbar mit Telefonbuch das die Namen der Teilnehmer in Telefonnummer auflöst. Das DNS ist notwendig weil sich Namen weitaus einfacher merken können als So kann man sich den Domainnamen www.wikipedia.de sehr einfach merken die dazugehörende IP-Adresse 130.94.122.195 dagegen nicht ganz so einfach. Darüber ermöglicht das DNS eine logische Lösung von darunterliegenden Physik z. B. Änderung der IP-Adresse ohne Domainnamen ändern zu müssen und sogar rudimentäre Lastverteilung .

Das DNS (Domain Name System) wurde 1983 von Paul Mockapetris entworfen und im RFC 882 beschrieben. Der RFC 882 wurde von den RFCs 1034 und 1035 abgelöst.

Das DNS löste die hosts -Dateien ab die bis dahin für die zuständig waren. Das DNS zeichnet sich aus

  • dezentrale Verwaltung
  • hierarchische Strukturierung des Namensraums in Baumform
  • Eindeutigkeit der Namen
  • Erweiterbarkeit

Inhaltsverzeichnis

Komponenten des DNS

Das DNS besteht aus drei Hauptkomponenten

  • Domänennamensraum
  • Nameservern
  • Resolver

Domänennamensraum

Der Domänennamensraum hat eine baumförmige Struktur. Blätter und Knoten des Baumes werden als Labels bezeichnet. Ein kompletter Domänenname eines Objektes besteht aus der Verkettung Labels. Label sind Zeichenketten (alphanumerisch als einziges ist der '-' erlaubt) die mindestens ein und maximal 63 Zeichen lang sind. Die Label werden durch Punkte voneinander getrennt. Ein wird mit einem Punkt abgeschlossen (Der hinterste wird normalerweise weggelasssen gehört rein formal aber einem vollständigen Domänennamen dazu). Ein korrekter vollständiger lautet z. B. www.wikipedia.de. (der Punkt gehört zum Domänennamen).

Ein Domänenname darf inklusive aller Punkte 255 Zeichen lang sein.

Ein Domänenname wird immer von rechts links delegiert und aufgelöst d.h. je weiter ein Label steht umso höher steht es Baum. Der Punkt ganz rechts wird auch root (Wurzel) im Namensraum bezeichnet.

Das erste Label (das das ganz steht) wird im allgemeinen auch als Top Level Domain (TLD) bezeichnet.

Die DNS-Objekte einer Domäne (zum Beispiel Rechnernamen) werden als Satz von Resource Records in einer Zonendatei gehalten die auf einem oder mehreren Nameservern abliegt. Anstelle von Zonendatei wird meist der etwas allgemeinere Ausdruck Zone verwendet.

Nameserver

Nameserver sind Programme die einen oder mehrere des Namensraumes kennen und diese auf Anfrage Nameserver werden von der höheren Ebene im delegiert und sind dann für den Teilnamensraum der delegierten Ebene zuständig (und können u.U. Teilnamensräume unterhalb dieser Ebene delegieren). Die Baumstruktur die eindeutige Zuordnung eines Nameservers zu einem des Namensraum sicher.

Normale DNS-Anfragen werden auf Port 53 UDP beantwortet. Transfers kompletter Zonen werden auf 53 TCP durchgeführt.

Man unterscheidet zwischen autoritativen und nicht-autoritativen Ein autoritativer Nameserver ist ein Nameserver der gesicherte über eine Zone besitzt. Dem gegenüber hat nicht-autoritativer Nameserver Informationen über eine Domäne sozusagen zweiter oder dritter Hand. Er kann deshalb sicher sein dass seine Daten aktuell und veraltet sind. Aus Redundanz- und Lastverteilungsgründen werden Nameserver fast immer als Server-Cluster realisiert wobei Zonendaten identisch auf einem Master (auch: Primary Server ) und auf einem oder mehreren Slaves Secondary Server ) abliegen. Die Synchronisation zwischen Master und erfolgt per Zonentransfer .

Nameserver speichern die einmal von einem angefragten Informationen im lokalen RAM ab damit diese bei einer erneuten schneller vorliegen. Diese Technik wird als Caching bezeichnet. Caching ist möglich da sich DNS-Daten normalerweise sehr selten ändern. Die Daten im Cache Nameservers verfallen nach der TTL ( time to live ). Das kann u.U. aber auch bedeuten der Nameserver in dieser Zeit falsche Informationen kann wenn sich die Daten zwischenzeitlich geändert Nameserver können auch als caching only Nameserver agieren. Sie besitzen dann selbst keine (autoritative) Informationen sondern lösen alle eintreffenden Anfragen auf.

Damit ein Nameserver Informationen über andere des Namensraumes finden kann werden ihm Informationen die sog. Root-Server in Form einer statischen Datei hinterlegt. Cachedateien enthalten die Namen und IP Adressen Root-Server. Derzeit gibt es 13 Root-Server (Server bis M).

Nameserversoftware

  • BIND (Berkeley Internet Name Domain) ist der und heute noch die meistgenutzte Nameserversoftware. BIND Open Source Software .
  • djbdns (entwickelt von Dan Bernstein ) gilt als sehr sicher und erfreut steigender Beliebtheit.
  • PowerDNS ist eine Implementierung die vor allem für das direkte von Zonen aus SQL -Datenbanken bekannt ist.
  • NSD ist optimiert für Server die autoritative Antworten liefern sollen.

Resolver

Resolver sind Programme die Informationen aus den abrufen können. Sie bilden die Schnittstelle zum Resolver sind entweder eigene Programme oder sie in Applikationen (z.B. einen Browser ) eingebunden. Ein Resolver arbeitet entweder iterativ oder rekursiv .

Bei einer rekursiven Anfrage schickt der eine Anfrage an einen ihm bekannten Nameserver gibt als Antwort entweder den gewünschten Resource (wenn der befragte Nameserver selber rekursiv arbeitet) "gibt es nicht". Rekursiv arbeitende Resolver überlassen die Arbeit anderen und funktionieren so wie andere im Internet: Ich weiß ein bisschen was und ich jemanden der mehr weiß.

Bei einer iterativen Anfrage bekommt der entweder den gewünschten Resource Record oder einen Nameserver den er als nächsten fragt. Der hangelt sich so von Nameserver zu Nameserver er bei einem autoritativen Nameserver landet. Die gewonnene Antwort gibt der Resolver dann weiter.

Die Root-Server arbeiten ausschließlich iterativ. Sie sonst mit der Anzahl der Anfragen schlicht

Bekannte Resolver sind die Programme nslookup und dig . Weitere Informationen zur iterativen/rekursiven Namensauflösung finden unter rekursive und iterative Namensauflösung .

Erweiterung des DNS

Bisher waren die Label – wie – auf alphanumerische Zeichen und das Zeichen '-' eingeschränkt. hängt vor allem damit zusammen dass das (wie auch das Internet ursprünglich) in den USA entwickelt wurde. Allerdings gibt es in Ländern Zeichen die nicht in einem Label werden durften (in Deutschland zum Beispiel die oder Zeichen aus komplett anderen Schriftsystemen (z.B. Namen mit diesen Zeichen waren bisher nicht

Dies hat sich durch die Einführung IDNA ( RFC 3490) geändert. Seit März 2004 können lichtensteinische österreichische und schweizer Domains mit Umlauten registriert und verwendet werden. Um das System mit dem bisherigen kompatibel zu halten die erweiterten Zeichensätze mit erlaubten Zeichen kodiert auf derzeit gültige Namen abgebildet. Die erweiterten werden dabei zunächst gemäß dem Nameprep -Algorithmus (RFC 3491) normalisiert und anschließend per Punycode (RFC 3492) auf den für DNS Zeichensatz abgebildet. Das Voransetzen des durch die IANA festgelegten IDNA-Prefix xn-- vor das Ergebnis der Kodierung ergibt vollständige IDN-Label.

Eine weitere aktuelle Erweiterung des DNS ENUM (RFC 2916) dar. Diese Anwendung ermöglicht Addressierung von Internet -Diensten über Telefonnummern also das "Anwählen" von Internet erreichbaren Geräten mit dem aus dem bekannten Adressschema. Aus dem breiten Spektrum der bietet sich insbesondere die Verwendung für Voice over IP Services an.

DynDNS

Es kann nur Rechnern mit fester also nur sehr selten ändernden IP-Adresse ein Rechnername zugeordnet werden. Da jedoch sehr viele mit Heimrechnern eine variable IP-Adresse haben (mit Einwahl in das Internet wird eine andere aus einem Pool zugeteilt) gibt es inzwischen DynDNS -Betreiber die dafür sorgen dass man auch solch rasch ändernden Adressen möglichst immer über selben Rechnernamen erreichbar ist.

Siehe auch: Liste der TCP/IP-basierten Netzwerkdienste

DNS-Security

Das DNS ist ein zentraler Bestandteil vernetzten IT-Infrastruktur. Eine Störung kann erhebliche Kosten sich ziehen und eine Verfälschung von DNS-Daten von Angriffen sein. Mehr als zehn Jahre der ursprünglichen Spezifikation wurde DNS um Security-Funktionen Folgende Verfahren sind verfügbar:

  • Bei TSIG (Transaction Signatures) handelt es sich um einfaches auf symmetrischen Schlüsseln beruhendes Verfahren mit der Datenverkehr zwischen DNS-Servern gesichert werden kann.

  • Bei DNSSEC (DNS Security) handelt es sich um komplexes Public-Key Verfahren mit dem nahezu alle erfüllt werden können. Neben der Server-Server-Kommunikation wird die Client-Server-Kommunikation gesichert.

Domain-Registrierung

Um DNS-Namen im Internet bekanntmachen zu muss der Besitzer die Domain die diese enthält registrieren. Durch eine Registrierung wird sichergestellt bestimmte formale Regeln eingehalten werden und dass weltweit eindeutig sind. Domain-Registrierungen werden von Organisationen vorgenommen die dazu von der IANA bzw. ICANN autorisiert wurden. Registrierungen sind gebührenpflichtig.

Detaillierte Informationen finden sich hier .

Weblinks

  • RFCs
    • RFC 1034 - Domain Names - Concepts and
    • RFC 1035 - Domain Names - Implementation and



Bücher zum Thema Domain Name System

Dieser Artikel von Wikipedia unterliegt der GNU FDL.

ImpressumLesezeichen setzenSeite versendenSeite drucken

HTML-Code zum Verweis auf diese Seite:
<a href="http://www.uni-protokolle.de/Lexikon/Domain_Name_Service.html">Domain Name System </a>