DNS und seine Aufgaben

Kolibri130 · 12. November 2019 um 19:10

Hallo,

heute hab ich wieder einen Artikel gelesen in dem das DNS mit einem Telefonbuch verglichen wird (Übersetzung leicht zu merkender Namen und IP Adressen), aber meiner Meinung nach ist diese Darstellung doch nicht ganz korrekt bzw. sogar degradierend wenn man einen der wichtigsten Dienst in großen Netzen als „Telefonbuch“ bezeichnet. Auch wenn die Funktionsweise tatsächlich einer Auskunft ähnelt, so sind doch die Aufgabengebiete doch sehr viel weiträumiger und vielfältiger, oder nicht? Ein wie ich finde immer wieder vernachlässigter Punkt ist doch die Tatsache dass Domain Namen statisch sind. Wärend das Netz hinter der Domain sich permanent im Umbau befinden kann (IP´s wechseln, vergrößert / verkleinert, Umzug, etc…) ist die Domain als solche statisch und kann den ganzen „Komplex“ an Servern Adressieren. Diese statische Adresse ist wie ich finde eine Grundvorraussetzung für die Funktion des Internets oder generell größeren Netzen. Wärend im Postverkehr ohne statische Hausnummern Adressen eine Briefzustellung nahezu unmöglich wäre ist auch die Zuordnung von Diensten im Internet ohne diese statischen Adressen nicht möglich. Zwar wäre eine Zuweisung auch per IP möglich, allerdings ist diese technisch bedingt nicht immer permanent. Ausserdem können unter einer Domain ja mehrere Server zusammengefasst werden.
Fallen euch noch weitere wichtige Punkte ein? DNS als einfaches Telefonbuch abzustempeln halte ich ein wenig degradierend

Peter_TOO · 12. November 2019 um 19:10

Hallo Fragewurm,

DNS als
einfaches Telefonbuch abzustempeln halte ich ein wenig
degradierend

Ich sehe dein Problem nicht?!

Der DNS macht nicht mehr als ein Telefonbuch.

Man übergibt die URL und bekommt die IP zurück.
Beim Telefonbuch sucht man den Namen und erhält die Tel.Nr.

Alle deine anderen Argumente treffen auch auf ein Telefonbuch zu. Zumindest früher hat man bei jedem Umzug auch eine neue Tel.Nr. erhalten und das Telefonnetz war auch dauernd im Umbau. Da haben auch Vorwahlen geändert und die Nummern wurden mit den Jahrzehnten länger, da gab es also auch Umnummerierungen des ganzen Systems.
Und manche Leute haben jedes Jahr eine neue Handynummer.

Vor etwa 35 Jahren gab es für die USA noch keine einheitliche Landesvorwahl, wie heute die 001. Da musste man wissen bei welchem Provider der Telefonanschluss ist, denn jeder Provider hatte eine eigene Landesvorwahl.

Und bei Firmen verstecken sich auch mehrere Leute hinter einer einzelnen Nummer. Ruf nur mal irgendeinen Support an, da weisst du auch nicht wer abnimmt, auch wenn du zweimal hintereinander anrufst. Ich sehe da keinen Unterschied zu einer Serverfarm.

Und wie beim Telefon, ist es technisch nicht nötig über den Namen zu gehen, man kann auch direkt die IP eingeben.

MfG Peter(TOO)

herrmann_59614f · 12. November 2019 um 19:11

Wärend das Netz hinter der Domain sich
permanent im Umbau befinden kann (IP´s wechseln, vergrößert /
verkleinert, Umzug, etc…)

Wenn die zugehörige IP-Adresse sich ändert, muss diese Änderung i. d. R. manuell im DNS nachgezogen werden. Im kleinen Rahmen (z. B. Fimennetzwerk) gibt es die Möglichkeit, dass die Rechner Änderungen der IP-Adresse selbst an den DNS-Server melden, aber das setzt ein enormes Vertrauensverhältnis voraus.

Wenn die IP-Adresse aber räumlich umzieht, oder wenn sich der Pfad zur Adresse ändert, ist das DNS völlig aussen vor; derartiges wird über das Routing erledigt.

Insofern ist der Vergleich mit dem Telefonbuch durchaus passend. Mehr macht DNS wirklich nicht. Zwar kann man mit DNS z. B. auch bestimmte Dienste propagieren (z. B. im mx-Eintrag für Mailserver) oder Informationen deklarieren (z. B. SPF-Eintrag), aber auch das ist nicht wesentlich anderes, als ein erweiterter Eintrag im Branchenbuch.

Gruß

Kolibri130 · 12. November 2019 um 19:11

Ganz so einfach ist der Vergleich nicht wie ich finde. Die englischsprachige Wikipedia Seite definiert das (wie so häufig wie ich finde^^) eigentlich sogar recht gut und man kann doch unterschiede zum Telefonbuch erkennen (Insbesondere Punkt 1). Natürlich ist die Primäre Aufgabe eines DNS die Auflösung eines Hostnamens in eine IP Adresse. Ich zitiere Wikipedia (EN) zum Thema Domain Name Service (Fettschrift von mir):

The system outlined above provides a somewhat simplified scenario. The Domain Name System includes several other functions:

Hostnames and IP addresses do not necessarily match on a one-to-one basis. Multiple hostnames may correspond to a single IP address: combined with virtual hosting, this allows a single machine to serve many web sites. Alternatively, a single hostname may correspond to many IP addresses: this can facilitate fault tolerance and load distribution, and also allows a site to move physical locations seamlessly.
There are many uses of DNS besides translating names to IP addresses. For instance, Mail transfer agents use DNS to find out where to deliver e-mail for a particular address. The domain to mail exchanger mapping provided by MX records accommodates another layer of fault tolerance and load distribution on top of the name to IP address mapping.

E-mail Blacklists: The DNS is used for efficient storage and distribution of IP addresses of blacklisted e-mail hosts. The usual method is putting the IP address of the subject host into the sub-domain of a higher level domain name, and resolve that name to different records to indicate a positive or a negative. Here is a hypothetical example blacklist:
102.3.4.5 is blacklisted => Creates 5.4.3.102.blacklist.example and resolves to 127.0.0.1
102.3.4.6 is not => 6.4.3.102.blacklist.example is not found, or default to 127.0.0.2
E-mail servers can then query blacklist.example through the DNS mechanism to find out if a specific host connecting to them is in the blacklist. Today many of such blacklists, either free or subscription-based, are available mainly for use by email administrators and anti-spam software.

Sender Policy Framework and DomainKeys, instead of creating their own record types, were designed to take advantage of another DNS record type, the TXT record.
To provide resilience in the event of computer failure, multiple DNS servers are usually provided for coverage of each domain, and at the top level, thirteen very powerful root name servers exist, with additional „copies“ of several of them distributed worldwide via Anycast.
Dynamic DNS (sometimes called DDNS) allows clients to update their DNS entry as their IP address changes, as it does, for example, when moving between ISPs or mobile hot spots.

Im Grunde funktioniert das DNS natürlich wie eine Auskunft, aber diese Definition ist eben wie man sehen kann sehr stark vereinfacht und erklärt das System wie ich finde nicht wirklich ausreichend.

Peter_TOO · 12. November 2019 um 19:11

Hallo Fragewurm,

Hostnames and IP addresses do not necessarily match on a
one-to-one basis. Multiple hostnames may correspond to a
single IP address:

Das konnte das Telefonbuch auch schon immer:
Meine Partnerin und ich hatten eigene Einträge im Telefonbuch, aber nur einen Telefonanschluss.

combined with virtual hosting, this allows
a single machine to serve many web sites.

Hat jede grössere Firma!
Eine Hauptnummer, darüber kann man dann die unterschiedlichen Abteilungen erreichen.

Alternatively, a
single hostname may correspond to many IP addresses: this can
facilitate fault tolerance and load distribution, and also
allows a site to move physical locations seamlessly.

Hat auch jede grössere Firma:
Die Hauptnummer ist eigentlich ein Nummernblock. Due wirst automatisch auf eine der freien Nummern aufgeschalten. Normalerweise weiss man nicht welche Nummern zu einem Block gehören, aber man kann jede einzelne auch direkt anwählen.

Nicht zu vergessen, die unterschiedlichen Rufnummernumleitungen.
Die gibt es fest verdrahtet oder schaltbar.

Und nicht zu vergessen den Zusatzeintrag:
Wenn kein Antwort:

There are many uses of DNS besides translating names to IP
addresses. For instance, Mail transfer agents use DNS to find
out where to deliver e-mail for a particular address.

Die Postadresse stand auch schon immer im Telefonbuch.

The
domain to mail exchanger mapping provided by MX records
accommodates another layer of fault tolerance and load
distribution on top of the name to IP address mapping.

E-mail Blacklists: The DNS is used for efficient storage and
distribution of IP addresses of blacklisted e-mail hosts. The
usual method is putting the IP address of the subject host
into the sub-domain of a higher level domain name, and resolve
that name to different records to indicate a positive or a
negative.

Auch so ähnlich beim Telefon:
Robinsonliste, das Sternchen neben der Telefonnummer „wünscht keine Werbung“

Sender Policy Framework and DomainKeys, instead of creating
their own record types, were designed to take advantage of
another DNS record type, the TXT record.
To provide resilience in the event of computer failure,
multiple DNS servers are usually provided for coverage of each
domain, and at the top level, thirteen very powerful root name
servers exist, with additional „copies“ of several of them
distributed worldwide via Anycast.

Das war früher die Auskunft, wenn man das Telefonbuch einer Region nicht hatte.
Meistens gab e auch noch eine Auslandsauskunft. Die habe dann oft per Telex bei der entsprechenden Auskunft im Ausland nachgefragt

Dynamic DNS (sometimes called DDNS) allows clients to update
their DNS entry as their IP address changes, as it does, for
example, when moving between ISPs or mobile hot spots.

Für so etwas gab’s z.B. den Auftragsdienst. Also eine feste Anlaufstelle, welce wusste wo man erreichbar war.

Was ich da fürs Telefon beschreibe ist Technik, welche schon weit über 50 Jahre alt ist.

MfG Peter(TOO)

Kolibri130 · 12. November 2019 um 19:11

Ja stimmt, bei genauer Betrachtung ist der Vergleich mit einem Telefonbuch/Auskunft doch nicht so unpassend

herrmann_59614f · 12. November 2019 um 19:11

Auch so ähnlich beim Telefon:
Robinsonliste, das Sternchen neben der Telefonnummer „wünscht
keine Werbung“

Nein, das ist nicht vergleichbar. In der Robinsonliste wird eingetragen, dass ein bestimmter Empfänger keine Werbung erhalten will. Kriminelles Pack wird sich jedoch nicht an Robinsonlisten halten, diese eher noch für den gegenteiligen Zweck verwenden.

Mit DNS-Blacklistings gibt es hingegen ein überaus wirksames und hochvolatiles Werkzeug, kriminelles Pack am Versand seines Drecks nachhaltig und wirksam zu hindern. Etwas Vergleichbares findest du im Telefonbuch oder in der klassischen Telefonie tatsächlich nicht.

Zwar kannst du an Telefonanlagen bestimmte Nummernkreise oder Rufnummern für den Eingang sperren. Aber das bietet bei weitem keine mit DNS-Blacklisting vergleichbare Funktionalität.

Allerdings ist diese Funktionalität m. W. nicht Bestandteil der DNS-Spezifikation; vielmehr findet hier im Grunde genommen eine Zweckentfremdung statt. Systeme, die Blacklisting-Anfragen beantworten, führen i. d. R. keine sonstigen DNS-typischen Dienste aus. Es wäre also zwecklos, einen Blackhole-Server zu fragen, welche IP-Adresse sich hinter wer-weiss-was.de verbirgt - das weiss er nicht (oder er gibt die Anfrage transparent weiter). Wenn ich (z. B. meinen privaten Blackholeserver) aber frage:

dig @dns.schorsch.privat 236.59.238.213.blackhole.schorsch.privat

bekomme ich zur Antwort

236.59.238.213.blackhole.schorsch.privat 86400 IN TXT "wer-weiss-was.de - bekannter Spammer. Keine Mails annehmen!"

(is gelogen, sagt er garnich!)

Diese (oder eine ähnliche) Antwort wird ein typischer DNS-Server aber so nie geben - der würde mit der Abfrage grad garnix anfangen können

Gruß

Peter_TOO · 12. November 2019 um 19:12

Hallo Fragewurm,

Auch so ähnlich beim Telefon:
Robinsonliste, das Sternchen neben der Telefonnummer „wünscht
keine Werbung“

Nein, das ist nicht vergleichbar. In der Robinsonliste wird
eingetragen, dass ein bestimmter Empfänger keine Werbung
erhalten will. Kriminelles Pack wird sich jedoch nicht an
Robinsonlisten halten, diese eher noch für den gegenteiligen
Zweck verwenden.

Mit DNS-Blacklistings gibt es hingegen ein überaus wirksames
und hochvolatiles Werkzeug, kriminelles Pack am Versand seines
Drecks nachhaltig und wirksam zu hindern. Etwas Vergleichbares
findest du im Telefonbuch oder in der klassischen Telefonie
tatsächlich nicht.

Naja, ist mehr ein Rundumschlag!

Die Andren 99’999 User auf dem gelisteten Server können dann auch keine Mails mehr versenden!
Es ist mehr ein Druckmittel gegen die Admins des betroffenen Servers, damit die den User sperren und die offenen Löcher stopfen.

Spammer arbeiten mit Netzen aus Zombie-PCs, da nützt die Blacklist auch nicht wirklich viel.

MfG Peter(TOO)

herrmann_59614f · 12. November 2019 um 19:12

Naja, ist mehr ein Rundumschlag!

Aber ganz im Gegenteil! Ich habe allerdings in meinem Posting nicht hinreichend differenziert zwischen klassischen, mehr oder weniger administrativ geführte Blacklists, und hochdynamischen Blackhole-Lists. Letztere reagieren unmittelbar und vollautomatisiert auf Spam und blockieren…

Spammer arbeiten mit Netzen aus Zombie-PCs, da nützt die
Blacklist auch nicht wirklich viel.

gerade in Fällen von Spam aus Botnetzen unmittelbar i. d. R. ausschließlich den Spamversender! Im günstigsten Fall geht von so einem Zombie ein einziger Spam aus - und er ist verbrannt! Für einen Tag - am nächsten kann er dann eine! weitere Spammail versenden…

Die Andren 99’999 User auf dem gelisteten Server können dann
auch keine Mails mehr versenden!

Das ist ein Problem der klassischen, statischen Blacklists. Bei Blackholes lassen sich solche Probleme leicht vermeiden.

Gruß