DNS-Resolver

Was ist ein DNS-Resolver?

Ein DNS-Resolver (auch als rekursiver Resolver oder rekursiver DNS-Server bezeichnet) ist ein Server, der DNS-Abfragen von Client-Geräten empfängt und die Arbeit des Trackings der IP-Adresse für einen Domainnamen durchführt. Resolver fungieren als Vermittler zwischen Clients und der DNS-Hierarchie, um die Rekursion durch root, TLD und autoritative Nameserver zu bewältigen.

Wie DNS-Resolver arbeiten

Der Auflösungsprozess

Wenn Sie "example.com" in Ihrem Browser eingeben:

1. Client → Resolver: "What's the IP for example.com?"

2. Resolver checks cache
   → Cache hit: Return cached result
   → Cache miss: Begin recursion

3. Resolver → Root Server: "Where's .com?"
   Root → Resolver: "Ask these .com nameservers"

4. Resolver → .com TLD: "Where's example.com?"
   .com → Resolver: "Ask these nameservers"

5. Resolver → Authoritative NS: "What's example.com's IP?"
   Auth NS → Resolver: "203.0.113.50"

6. Resolver → Client: "203.0.113.50"
   (Also caches result based on TTL)

Recursive vs Iterative Queries

Client: "Give me the final answer for example.com"
Resolver: "Here's the IP: 203.0.113.50"
        (Resolver does all the work)

Resolver: "What's example.com?"
Root: "I don't know, ask .com servers"
Resolver: "What's example.com?"
.com: "I don't know, ask ns1.example.com"
Resolver: "What's example.com?"
ns1: "203.0.113.50"

Arten von Resolvern

Stub Resolver

Eingebaut in Betriebssysteme und Anwendungen:

• Abfragen zu konfigurierten DNS-Servern
• Minimale Logik
• führt keine Rekursion durch

Recursive Resolver

Vollwertige Server, die vollständige DNS-Auflösung ausführen:

• Caches Ergebnisse
• Folgt Empfehlungen
• Ergänzt Sicherheitsmerkmale

**Beispiele*: ISP DNS, Google (8.8.8.8), Cloudflare (1.1.1.1)

Forwarding Resolver

Abfragen an einen anderen Resolver statt Rekursion durchzuführen:

• Gemeinsam in Unternehmensnetzwerken
• Zentrale politische Durchsetzung
• Reduzierte externe Abfragen

Client → Corporate Resolver (forwarding) → ISP Resolver (recursive) → Internet

Beliebte Public Resolvers

Ihr Resolver ändern

Control Panel → Network → Adapter Settings
→ Properties → IPv4 → Use these DNS servers:
   Preferred: 1.1.1.1
   Alternate: 8.8.8.8

System Preferences → Network → Advanced → DNS
→ Add: 1.1.1.1, 8.8.8.8

nameserver 1.1.1.1
nameserver 8.8.8.8

Resolver Eigenschaften

Caching

Resolvers cache DNS-Antworten basierend auf TTL:

First query: example.com
→ Full recursion (50ms)
→ Cached for 300s (TTL)

Subsequent queries: example.com
→ Cache hit (1ms)
→ Served until TTL expires

Negatives Caching

Resolver speichern auch negative Antworten (NXDOMAIN):

Query: nonexistent.example.com
Response: NXDOMAIN
Cached: Based on SOA minimum TTL

Dies verhindert wiederholte Abfragen für nicht vorhandene Domains.

Quere Minimierung

Moderne Resolver minimieren Informationen Offenlegung:

Query to .com: "What's www.blog.example.com?"
→ Exposes full subdomain structure

**Query Minimization (RFC 7816)*:

Query to .com: "What's example.com?"
Query to example.com NS: "What's blog.example.com?"
Query to blog.example.com NS: "What's www.blog.example.com?"
→ Reveals only necessary information at each level

DNSSEC Validierung

Sicherheits-Aware-Resolver validieren DNSSEC Signaturen:

Query: example.com (DNSSEC-signed)
→ Resolver validates signatures
→ Returns AD (Authentic Data) flag if valid
→ Returns SERVFAIL if signatures invalid

Resolver Sicherheitsfunktionen

DNS über HTTPS (DoH)

Verschlüsselt DNS-Abfragen über HTTPS:

Traditional DNS:
Client → Resolver (UDP port 53, plaintext)

DNS over HTTPS:
Client → Resolver (TCP port 443, encrypted)

**Providers*: Cloudflare (https://cloudflare-dns.com/dns-query), Google

DNS über TLS (DoT)

Verschlüsselt DNS-Abfragen über TLS:

Client → Resolver (TCP port 853, encrypted)

Malware/Phishing Filter

Einige Resolver blockieren bekannte bösartige Domains:

**Quad9 (9.9.9.9)*: Blocks Domains mit Malware, Phishing

**Cloudflare for Familien*: Blocks Malware (1.1.1.2) oder Malware+adult Content (1.1.1.3)

Grenzwerte

Schützt gegen DNS-Angriffe:

If source IP sends > threshold queries/second:
→ Temporarily rate limit or block

Überprüfen Sie Ihren aktuellen Resolver

ipconfig /all | findstr "DNS Servers"

**macOS/Linux*:

cat /etc/resolv.conf

**Online-Tools*: browserleaks.com/dns zeigt, welche Lösung Ihr Browser verwendet

**Testauflösung*:

dig example.com
# Look at "SERVER:" in output

Resolver Performance

Latency Mattes

Resolver Reaktionszeit beeinflusst die Web-Performance:

Irgendwelches Routing

Major Resolver verwenden Anycast für niedrige Latenz:

1.1.1.1 anycast IP
→ Routed to nearest Cloudflare datacenter
→ New York query → New York datacenter
→ London query → London datacenter
→ Result: Global low-latency resolution

Mess-Resolver-Leistung

# Tests multiple resolvers with your actual query patterns
namebench

# Test Cloudflare
time dig @1.1.1.1 example.com

# Test Google
time dig @8.8.8.8 example.com

# Test ISP (current)
time dig example.com

Gemeinsame Lösungsfragen

DNS-Vergiftung

Angreifer injizieren falsche Datensätze in Resolver Cache:

• Verwenden Sie Resolver mit DNSSEC Validierung
• Ermöglichen Source Port randomization
• Verwenden Sie DoH/DoT, um Man-in-the-Middle-Angriffe zu verhindern

Resolver Hijacking

ISPs oder Malware umleiten DNS-Abfragen:

• Änderung des öffentlichen Resolvers (1.1.1.1, 8.8.8.8)
• Verwenden Sie DoH/DoT, um ISP-Interferenz zu verhindern
• Überprüfen Sie die Malware

Stall Cache

Resolver caches veraltete Aufzeichnungen:

• Warten Sie, bis TTL abläuft
• Verwenden Sie verschiedene Resolver vorübergehend
• Flush lokale Cache

Resolver Blocking

Einige Netzwerke blockieren externe Resolver:

**Symptom*: Kann nicht 8.8.8.8, 1.1.1.1 erreichen

• Verwenden Sie DNS über HTTPS (schwerer zu blockieren)
• Verwenden Sie den DoH-Endpunkt des Resolvers

Einen lokalen Resolver konfigurieren

Verwenden Sie Unbound

# Install Unbound (Linux)
sudo apt install unbound

# Basic config (/etc/unbound/unbound.conf)
server:
  interface: 127.0.0.1
  do-ip4: yes
  do-udp: yes
  do-tcp: yes

  # Enable DNSSEC
  auto-trust-anchor-file: "/var/lib/unbound/root.key"

  # Privacy (query minimization)
  qname-minimisation: yes

# Start service
sudo systemctl start unbound
sudo systemctl enable unbound

Verwendung Pi-Loch

Netzwerkweites Ad-Blocking DNS-Resolver:

# Install Pi-hole
curl -sSL https://install.pi-hole.net | bash

# Configure devices to use Pi-hole as resolver
# Set router DHCP to provide Pi-hole IP as DNS

Bewährte Praktiken

1. Benutze seriöse öffentliche Resolver: Cloudflare, Google oder Quad9 für Zuverlässigkeit

2. Einsetzbar DoH/DoT: Abfragen für Privatsphäre und Sicherheit verschlüsseln

3. **Consider-Resolver-Funktionen*: Wählen Sie basierend auf Privatsphäre, Geschwindigkeit oder Sicherheitsanforderungen

4. **Monitor-Resolverleistung*: Testlatenz periodisch

5. Backup-Resolver: Konfigurieren Sie sekundäre DNS für Redundanz

6. ** Verwenden von DNSSEC-validierenden Resolvern*: Schutz vor Cache-Vergiftung

7. **Verstehen Sie die Richtlinien Ihres Entscheiders*: Einige Filterinhalte, einige Log-Abfragen

8. Test nach Änderungen: DNS-Auflösung richtig überprüfen

9. ** Wahl des Entscheiders*: Beachten Sie, warum Sie einen bestimmten Resolver gewählt haben

10. **Update resolv.conf sorgfältig*: Unrichtige Konfiguration bricht DNS vollständig

Resolver vs Authoritative Nameserver

DNS-Resolver sind die Workhorses des DNS-Systems – die Auswahl eines schnellen, sicheren, datenrespektierenden Resolvers beeinflusst Ihre Browser-Erfahrung und Online-Sicherheit erheblich.