Was ist ein DNS Resolver?

Der DNS Resolver bildet die Schnittstelle zwischen Nameservern und Anfragen für Domainnamen durch einen Client. Es handelt sich praktisch um eine Software, die nach dem Aufruf einer Internetadresse – zum Beispiel example.com – das Domain Name System (DNS) kontaktiert und die zugehörige IP-Adresse aus der Datenbank abfragt. Darüber hinaus speichert der DNS Resolver bereits bekannte Informationen in einem eigenen temporären Speicher (Cache), um Ladezeiten zu minimieren und überflüssigen Datentransfer bei identischen Anfragen zu vermeiden. Der Resolver kann lokal auf einem Computer arbeiten oder beispielsweise innerhalb von VPN-Netzwerken oder verzweigten IT-Strukturen zentral als externer Dienst operieren.

Welche Aufgaben übernimmt der DNS Resolver?

Wegen der hohen Anzahl an möglichen Adressen und verfügbaren Top Level Domains (TLD) verwendet das DNS eine dezentrale Struktur, die Anfragen automatisiert auf einen verantwortlichen Nameserver weiterleitet. Der DNS Resolver übernimmt die Kommunikation mit den unterschiedlichen Instanzen und ermittelt dadurch schrittweise die IP-Adresse, der ein Domainname zugeordnet ist. Die Vorgehensweise erfolgt nach der international gültigen Norm Requests for Comments (RFC) 1034 für die Namensauflösung von Internetadressen, die folgende Schritte definiert:

  • Überprüfung des lokalen Caches auf frühere Abfragen und vorhandene Einträge
  • Ermittlung der verantwortlichen Instanz, falls keine Informationen existieren
  • Wiederkehrende Abfragen an einen oder mehr Nameserver
  • Abwarten über ein definiertes Zeitlimit auf eine gültige Antwort
  • Weiterleitung der IP-Adresse oder einer Fehlermeldung an den Client

Kann der DNS Resolver keine Verbindung mit dem primären Nameserver herstellen, versucht er – sofern vorhanden – nacheinander alle alternativen Nameserver zu kontaktieren. Grundsätzlich setzt das DNS aus Gründen der Redundanz für jeden Teilnehmer mindestens zwei unabhängige DNS-Server voraus, die in der Regel jeder Provider mit den fortlaufenden Subdomains nsX als Domainname betreibt.

Warum wird der Begriff DNS Resolver oft missverständlich benutzt?

Leider unterscheiden viele Artikel zu dem Thema nicht ausreichend zwischen dem DNS Resover als Dienst und einem DNS Server als reine Datenquelle. Praktisch entspricht der Nameserver einer öffentlich zugänglichen Datenbank mit oft Millionen bis Milliarden Einträgen, die sortiert Domainname und zugehörige IP-Adresse auflistet. Sie verteilt sich zudem auf komplexe IT-Strukturen mit zahlreichen hierarchisch geordneten und teilweise für die Lastverteilung parallel operierenden Instanzen. Der DNS Resolver koordiniert die Kommunikation mit dem verantwortlichen Nameserver im Netzwerk, indem er Anfragen formuliert, auswertet und weiterleitet. Greift er dabei auf vorhandene Speicherdaten zurück, um bekannte Abfragen schneller zu verarbeiten, operiert er dabei als „eigenes“ lokales DNS. Diese Eigenschaft in Verbindung mit der oft unzureichenden Trennung zwischen Datenspeicherung und -abfrage hat bewirkt, dass DNS-Server und Resolver oft nicht ausreichend abgegrenzt und beide Bezeichnungen mitunter identisch verwendet werden.

Wie lässt sich der aktive DNS Resolver identifizieren?

Alle Betriebssysteme, die für interaktive Bedienung ausgelegt sind, integrieren einen DNS Resolver. Dazu gehören zum Beispiel Microsoft Windows, sämtliche Linux Distributionen und iOS oder Android für Smartphones und Tablet PC. In seiner Basiskonfiguration nutzt der Resolver stets die Einstellungen, die ihm der Netzwerkmanager übermittelt. Viele Unternehmen der Telekommunikation – sowohl im Festnetz wie im mobilen Internet – verwenden eigene Nameserver, die sich auf den DNS Resolver auswirken und sein Verhalten beeinflussen. Dies lässt sich verhindern, indem Nutzer manuell feste DNS Server definieren. Sie ermöglichen, dass der DNS Resolver zusätzliche Aufgaben wie den Schutz von Minderjährigen vor unerwünschten Inhalten übernimmt. Alternativ erlauben internationale DNS-Server ebenfalls das Umgehen von nationalen Domainsperren. Zu den bekanntesten Anbietern für öffentliche DNS-Server (ns1/ns2) zählen:

  • Google: 8.8.8.8 / 8.8.4.4 (unzensiert)
  • Cloudflare: 1.1.1.1 / 1.0.0.1 (unzensiert)
  • DNS0: 193.110.81.9 / 185.253.5.9 (Kindgerechte Inhalte nach EU-Recht und Werbeblocker)
  • AdGuard: 94.140.14.14 / 94.140.15.15 (Blocken von Werbung, Spam, Adds, Phishing und Malware)

Bei Verbindungen zu externen Netzwerken etwa über VPN laufend diese allerdings unter Umständen über isolierte Gateways mit eigenen DNS Resolver, auf die Teilnehmer keinen direkten Einfluss nehmen können.

Bildnachweis: Sumanley xulx auf Pixabay