DNS-Forwarder vs. DNS-Resolver. Was ist der Unterschied? Häufig gestellte Fragen.

DNS-Forwarder vs. DNS-Resolver.

Einfach gesagt, DNS-Forwarder und DNS-Resolver sind Netzwerkcomputerkomponenten, die den Anfrage- und Antwortprozess des Internets handhaben, damit Ihr Browser Websites entdecken kann.

Basierend auf den angebotenen Funktionen können sie als DNS-Weiterleitungs- oder DNS-Caching-Server eingerichtet werden. In diesem Beitrag gehen wir etwas detaillierter auf diese Unterschiede ein und erläutern, wie sich DNS-Forwarder und DNS-Resolver auf Ihre Website oder Ihr E-Commerce-Geschäft auswirken können.

Was ist DNS überhaupt?

Das Domain Name System (DNS) ist die Computerversion eines Telefonbuchs. Benutzer können Informationen im Internet nachschlagen, indem sie Domänennamen wie BBC.co.uk oder USAToday.com eingeben, die als Top-Level-Domänen (TLDs) bekannt sind.

Die IP-Adresse ist eine numerische Kennung, die jedem Gerät oder Computer im Netzwerk zugewiesen wird.

Domainnamen werden in IP-Adressen umgewandelt, damit Websites schnell geladen werden können, wie DNS zeigt.

Das Domain Name System wandelt die Adresse in eine IP-Adresse um, wenn Sie eine Website in Ihrem Browser besuchen.

Dies ist der Schritt, bei dem Ihr Computer mit den Servern der Website kommuniziert, entweder über einen Zwischenserver oder sofort.

Eine IP-Adresse ist eine Reihe von Zahlen, die jeden mit dem Internet verbundenen Computer unterscheiden. Es wird von anderen Computern verwendet, um sich gegenseitig zu identifizieren.

Beispielsweise werden Domainnamen (DNS) wie amazon.com leichter gemerkt als IP-Adressen wie 192.168.1.1 (in IPv4) oder noch kompliziertere neuere alphanumerische IP-Adressen wie 1700:df00:5069:1::e753:dg9h7 (bei IPv5).

Was ist der Unterschied zwischen einem DNS-Forwarder und einem DNS-Resolver?

Der DNS-Forwarder (oder mehr als einer) informiert den DNS-Dienst, wohin er Fragen senden soll, wenn er die Antwort nicht „kennt“ (z. B. wenn er nicht autorisierend ist oder sich im Cache befindet).

Die DNS-Resolver-Einstellungen geben an, wohin Abfragen gesendet werden sollen, wenn ein Element aufgelöst werden muss oder eine umgekehrte Suche erforderlich ist.

DNS-Leistung. Warum sollten sich Websites und E-Commerce-Unternehmen darum kümmern?

DNS ist eines der wichtigsten technischen Elemente in einem erfolgreichen Online-Geschäft, egal ob es sich um E-Commerce, Banking oder andere Internetdienste handelt.

Verbraucher können nicht auf Webseiten oder Dienste zugreifen, die online zugänglich sind, wenn sie kein DNS haben.

Die Rolle des autoritativen DNS für Unternehmen.

Aus Unternehmenssicht wird autoritatives DNS das große Thema sein. Unternehmen können autoritatives DNS verwenden, um ihre Online-Präsenz mit einem Domänennamen ihrer Wahl einzurichten (z. B. mybusiness.com).

Der Domänenname wird mit einer Internetprotokolladresse (möglicherweise der Firma oder einer Drittpartei) verknüpft.

Die Verwendung einer starken Domainstruktur ist vorteilhaft für das Marketing und ermöglicht es Besuchern, Ihre Website schnell zu finden.

Die Bedeutung von rekursivem DNS für Unternehmensdomänen.

Rekursives DNS hingegen ist ein wichtiges Element, das häufig unbeachtet bleibt, wenn über DNS gesprochen wird.

Die Komponente, die es Verbrauchern ermöglicht, von Unternehmen erstellte Domainnamen zu finden, ist rekursives DNS.

Jedes Mal, wenn ein Verbraucher die Nachrichten liest, seine Bankkonten überprüft oder diese Website besucht, verwendet er rekursive DNS-Dienste.

Rekursive DNS- und DDoS-Angriffe.

Aus diesem Grund ist rekursives DNS für DDoS-Angriffe unerlässlich.

Während rekursives DNS für Internetbenutzer von Vorteil ist, haben böswillige Hacker zahlreiche Möglichkeiten entdeckt, wie DNS ausgenutzt werden kann, um DDoS-Angriffe zu starten.

Diese DNS-Amplification-Angriffe werden auch als DDoS-Angriffe bezeichnet. Die Verfügbarkeit von offenen rekursiven DNS-Servern war die erste Schwachstelle, die böswillige Angreifer entdeckten.

Ein offener rekursiver Server verfügt über keine Sicherheitsmaßnahmen oder IP-Zugriffslisten, sodass jeder im Internet ihn als rekursiven DNS-Server verwenden kann.

Laut Cisco waren die DNS-Antwortpakete der Angreifer (insbesondere diejenigen, die die Datensatztypen ANY oder DNSSEC verwendeten) größer als das ursprüngliche Abfragepaket.

Mehrere Studien haben gezeigt, dass die ursprüngliche DNS-Abfragepaketgröße im Vergleich zum empfangenen DNS-Antwortpaket um das 25- bis 40-fache verstärkt wird.

Ein böswilliger Angreifer sendet zahlreiche Anfragen an einen offenen rekursiven DNS-Server für einen bestimmten Host- oder Domänennamen, um herauszufinden, wo sich das Ziel befindet.

Der böswillige Täter hingegen gibt sich als Quell-IP-Adresse aus und gibt eine IP-Adresse des beabsichtigten Opfers ein, anstatt seine eigene Quell-IP-Adresse zu verwenden.

Der böswillige Angreifer hat effektiv einen großen DDoS-Angriff gestartet, indem er rekursive DNS-Antwortpakete verwendet, die mit einer enormen Menge multipliziert werden können.

Rekursive DNS-Server können zum Starten von DDoS-Angriffen verwendet werden, sie sind jedoch auch anfällig für einen direkten Angriff.

Trotz der Tatsache, dass die meisten Nachrichten Berichterstattung über DDoS-Angriffe auf Websites und autoritative DNS-Server betreffen, kann ein Angriff auf einen rekursiven Server Benutzern technisch gesehen den Zugriff auf Inhalte oder Dienste im Internet verweigern.

Rekursive DNS-Server werden häufig auf Unicast-IP-Adressen gehostet, was sie anfällig für Angriffe machen könnte.

Viele Server, insbesondere die von Internetdienstanbietern betriebenen, sind in einem Unicast-Modus konfiguriert, was bedeutet, dass sie voneinander getrennt und autonom sind.

Jede Person, die sich über diesen bestimmten rekursiven DNS-Server mit der gewünschten Website oder dem gewünschten Dienst im Internet verbindet, kann daran gehindert werden.

Die Schwierigkeit besteht darin, dass viele Verbraucher andere rekursive DNS-Dienste nicht kennen, was bedeutet, dass versierte und technisch versierte Internetbenutzer sie kennen werden, der durchschnittliche technisch nicht versierte Client jedoch nicht.

Vielen Managern ist nicht bewusst, dass ihre rekursiven DNS-Server nicht geschützt sind.

Dadurch haben Cyberkriminelle freie Hand, die vielen offenen rekursiven DNS-Server im Internet zu nutzen.

Unterschiede zwischen einem DNS-Forwarder und einem DNS-Resolver, Zusammenfassung.

Ein DNS-Forwarder kann Abfragen nur zwischenspeichern, ohne die eigentliche Auflösung vorzunehmen. Ein DNS-Caching-DNS-Resolver kann Anforderungen sowohl zwischenspeichern als auch bei Bedarf auflösen.

Ein Resolver kann besser verwendet werden, wenn Sie mehr als eine Zone in Ihrer DNS-Hierarchie haben, während ein Forwarder besser sein könnte, wenn die Topographie Ihrer DNS-Hierarchie erfordert, dass DNS-Anforderungen mehrere Server durchlaufen müssen.

Ein Resolver ist möglicherweise auch besser geeignet, wenn Sie nur über begrenzten Speicherplatz verfügen, da er keine Anforderungen zwischenspeichert.

Eine DNS-Weiterleitung wird am besten verwendet, wenn ein Caching-Server nicht in Ihre aktuelle Architektur passt, und ein Resolver wird am besten zum Auflösen von DNS-Anforderungen verwendet.

Sie können beide zusammen verwendet werden, aber dies erhöht die Komplexität Ihrer Systemarchitektur.

Ein DNS-Caching-Forwarder beschleunigt den DNS-Lookup-Prozess, indem er DNS-Anforderungen zwischenspeichert, bevor er sie weiterleitet, wodurch die DNS-Lookup-Zeiten verkürzt werden.

Ein DNS-Caching-Resolver reduziert die DNS-Suchzeiten, indem er sie bei Bedarf mit zwischengespeicherten Ergebnissen oder anderen DNS-Servern auflöst – wodurch die DNS-Suchzeiten verkürzt und die Erfolgsrate von DNS-Suchen erhöht werden .

Die Kombination aus Forwarder und Resolver bietet sowohl Caching als auch Auflösung, aber ihre gemeinsame Verwendung kann Ihre Systemarchitektur komplexer machen.

Wenn Sie einen DNS-Resolver und eine Weiterleitung zusammen verwenden, werden DNS-Anforderungen aufgelöst, indem Server mithilfe von DNS-Informationen von Caching-Servern aufgelöst werden.

Ein DNS-Forwarder kann Abfragen nur zwischenspeichern, ohne die eigentliche Auflösung vorzunehmen.

Ein DNS-Caching-Resolver kann Anforderungen sowohl zwischenspeichern als auch bei Bedarf auflösen.

Am Ende kann es jedoch vorkommen, dass Sie nur DNS-Auflösungsserver verwenden möchten. Auch hier ist es am besten, das eine oder das andere zu verwenden, aber niemals beides.