DNS - Domain Name System

Definition
Das DNS verwaltet den Namensraum des Internets. Es wird zur Umsetzung von Namen in Adressen , und umgekehrt von Adressen in Namen
benutzt. Man braucht sich deshalb nicht die IP-Adresse, sondern nur den Namen
einer Domain merken. Entwickelt hat das Domain Name System Paul Mockapetris im
Jahr 1983.

Die 3 Hauptkomponenten des DNS

1. Domänennamensraum

Der Dömanennamensraum ist baumförmig angeordnet, seine
Knoten werden Labels genannt. Der Domänenname setzt sich aus Labels zusammen,
die aus maximal 63 Zeichen bestehen und durch einen Punkt getrennt werden. 
Der Domänenname wird mit einem Punkt abgeschlossen, der in der Praxis allerdings
weggelassen wird (www.sbg.ac.at.).

Das erste Label eines Namens wird Top Level Domain
(TLD) bezeichnet und in Generic TLD ( "com", "net"...) oder Country
Code TLD ("at", "de"...) eingeteilt.Ein Domain Name ist maximal 255 Zeichen
lang. Informationen innerhalb einer Domain werden als Resource Records in
einer Zonendatei gespeichert

2. Nameserver

Nameserver beantworten Anfragen zum Domänennamensraum.
Mindestens 2 Nameserver verwalten eine Zone (primärer und sekundärer
Nameserver). Man unterscheidet:

• autoritativer Nameserver: ist verantwortlich
  für eine Zonendatei und sichert diese Zone
• nicht autoritativer Nameserver: bezieht
  Informationen über eine Zone von einem anderen Nameserver und ist nicht
  gesichert

3. Resolver

Resolver sind die Schnittstelle zwischen Anwendung und
Nameserver. Sie rufen Informationen über die Zone ab. Dies erfolgt rekursiv oder
iterativ:

• rekursiv: Der Resolver schickt die Anfrage an einen
  bekannten Nameserver und bekommt von ihm direkt den gewünschten Resource
  Record
• iterativ: Der Resolver wird bei seiner Anfrage zu
  einem anderen Nameserver weitergeleitet, um die Informationen zu erhalten.

Die Antwort, die der Resolver erhält, gibt er an den
Browser weiter.

Vereinfachte Darstellung der Namensauflösung

Hackerangriffe
Wenn der Resolver an einen anderen Nameserver weitergeleitet wird, kann es auch passieren, dass Hacker die Informationen abrufen und Sicherheitslücken ausnützen können. Man unterscheidet folgende Arten von Hackerangriffen:

Cache Poisoning
Der Zielserver holt sich falsche Informationen vom Server eines Hackers, diese werden im Cache des Zielservers gespeichert.
Maquerading
Der Hacker führt den Server zu einer falschen Adresse.
Denial of Service
Die Anfrage eines Servers wird durch den Hacker verhindert und abgebrochen.

Maßnahmen
Um solche Angriffe zu vermeiden, sind mindestens 2 Name-Server notwendig. Ein Server geht nur auf Anfragen in seiner Zone ein, beantwortet keine restriktive Anfragen und wird durch eine Firewall geschützt. Die restriktiven Anfragen beantwortet dann ein anderer Server.