Wie funktioniert die DNS-Auflösung — rekursiv vs. autoritativ?
Kurzantwort
Ein Stub-Resolver fragt einen rekursiven Resolver nach einem Namen. Ist er nicht im Cache, durchläuft der rekursive Resolver die Hierarchie: Er fragt einen Root-Server (der auf die TLD verweist), den TLD-Server (der auf die autoritativen Server der Domain verweist) und schließlich den autoritativen Server, der den eigentlichen Eintrag hält. Die Antwort wird unterwegs gemäß ihrer TTL gecacht. DNS nutzt Port 53 — UDP für die meisten Anfragen, TCP für große.
DNS verwandelt menschenfreundliche Namen in IP-Adressen, und es tut dies durch eine verteilte, hierarchische Auflösung, die kein einzelner Server allein beantworten könnte. Die Unterscheidung zwischen rekursiv und autoritativ zu verstehen, ist der Kern der Frage.
Der Auflösungsweg
- Der Stub-Resolver Ihres Geräts fragt seinen konfigurierten rekursiven Resolver (oft den Ihres Providers oder einen öffentlichen wie 1.1.1.1) nach
www.example.com. - Hat der rekursive Resolver die Antwort nicht im Cache, beginnt er ganz oben. Er fragt einen Root-Server, der die IP nicht kennt, aber antwortet „frag die
.com-TLD-Server". - Er fragt einen
.com-TLD-Server, der antwortet „frag die autoritativen Nameserver von example.com". - Er fragt den autoritativen Server von example.com, der die Zone tatsächlich hält und den A/AAAA-Eintrag zurückgibt.
- Der rekursive Resolver cacht die Antwort für ihre TTL und gibt sie an Ihr Gerät zurück.
Rekursiv vs. autoritativ
Ein rekursiver Resolver erledigt die Arbeit im Auftrag des Clients, verfolgt Verweise und cacht Ergebnisse. Ein autoritativer Server ist die Quelle der Wahrheit für eine bestimmte Zone — er antwortet endgültig für die Domains, für die er zuständig ist, und fragt nie woanders nach.
Ports und Transport
DNS läuft auf Port 53 und nutzt UDP für typische kleine Anfragen (schnell, ohne Handshake) und fällt auf TCP zurück, wenn eine Antwort zu groß für ein einzelnes Datagramm ist oder bei Zonentransfers.
Sicherheit
Da klassisches DNS nicht authentifiziert ist, ist es anfällig für Cache-Poisoning — das Einschleusen gefälschter Antworten. DNSSEC signiert Einträge, damit Resolver ihre Echtheit prüfen können; DoH/DoT verschlüsseln die Anfrage während der Übertragung.
Interviewer erwarten die Kette Root→TLD→autoritativ, die Unterscheidung rekursiv/autoritativ, Port 53 und idealerweise ein Wort zu Caching oder Poisoning.
Wahrscheinliche Anschlussfragen
- Was ist der Unterschied zwischen einem rekursiven Resolver und einem autoritativen Server?
- Wie funktioniert DNS-Cache-Poisoning und wie mindert DNSSEC es?
- Wann fällt DNS von UDP auf TCP zurück?