netzwerke:dns

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
netzwerke:dns [2010/03/08 15:39] stnetzwerke:dns [2025/01/05 00:15] (aktuell) – [DoT testen] st
Zeile 1: Zeile 1:
 +====== DNS  ======
  
 +Das [[wpde>Domain Name System]] (DNS) ist einer der wichtigsten Dienste im Netzwerk/Internet. Seine Hauptaufgabe ist die Umsetzung von „Internetadressen“ in die zugehörige IP-Adresse. DNS-Anfragen sind vom Client nicht Verifizierbar und außerdem angreifbar ([[security:angriffsmethoden und gegenmaßnahmen#DNS-Poisoning]]. Lösung: [[wpde>DNSSEC]] einsetzen.
 +
 +Wenn man lokalen DNS-Servern nicht traut ([[security:angriffsmethoden und gegenmaßnahmen#DNS-Poisoning]]) kann man auch öffentliche DNS-Server wie [[http://www.opendns.com/|OpenDNS]] (IPs: 208.67.222.222 und 208.67.220.220) einsetzen.
 +
 +Per DNS lässt sich auch der Proxy mitteilen (per [[wpde>WPAD|Web Proxy Autodiscovery Protocol (WPAD)]], siehe [[http://wiki.skolelinux.de/ValentinHaenel/WPAD|ValentinHaenel: Web Proxy Automatic Discovery]].
 +
 +^  Abfragetypen  ^^
 +^ interative Abfrage | Der DNS-Server gibt die bestmögliche Antwort zurück, die er ohne die Hilfe anderer Server bereitstellen kann | 
 +^ rekursive Abfrage | Der DNS-Server gibt eine vollständige Antwort auf die Abfrage und nicht nur einen Verweis auf einen anderen Server zurück |
 +
 +^  Lookuptypen  ^^^
 +^ Typ ^ Ipv4 ^ Ipv6 ^
 +^ forward-lookup | Auflösung von Namen in Adressen: <code bash>dig www.stefanux.de.</code> (veraltet auf [[linux:Linux]] aber bei [[windows:Windows]] vorinstalliert: <code>nslookup www.stefanux.de.</code> | <code bash>dig ipv6.google.com AAAA</code> |
 +^ reverse-lookup | Auflösung von Adressen in Namen: <code bash>dig -x 178.63.64.116</code> veraltet bzw. bei [[windows:Windows]]: <code>nslookup 178.63.64.116</code> | <code bash>dig -x 2a00:1450:4008:c00::68</code> |
 +^ Anfragen an einen rekursiven DNS-Resolver | Diagnose auf einem DNS-Server (ohne Antworten von Root-DNS-Servern etc.): ($interface, z.B. eth0, und $IP, z.B. 1.2.3.4, müssen geändert werden): ''tcpdump -i $interface -q udp port 53 and dst $IP and not src port 53'' ||
 +
 +
 +
 +
 +
 +^ Record ^ Windows cmd  ^ Win PS v4 ((Win 8.1+ / Server 2012+)) ^ Linux (host)  ^ Linux (dig)  ^ Mac  ^
 +| A | nslookup XYZ  | Resolve-DnsName -Name XYZ  | host XYZ | dig XYZ | host XYZ |
 +| AAAA | nslookup -query=AAAA XYZ  | Resolve-DnsName -Name XYZ  | host -t aaaa XYZ | dig AAAA XYZ  |
 +| reverse lookup | nslookup IP oder nslookup -type=ptr IP  | | host IP  | dig -x IP  |
 +| MX | nslookup -query=MX XYZ  | | host -t mx XYZ | dig mx XYZ |
 +| NS (authoritative nameservers)  | nslookup -query=NS XYZ  |  |host -t ns XYZ  | dig ns XYZ  | host -t ns XYZ  |
 +| TXT |nslookup -query=TXT XYZ  | | host -t txt XYZ | dig txt XYZ  |
 +| SRV |nslookup -query=SRV XYZ  | | host -t srv XYZ | dig srv XYZ  |
 +| bestimmten Server befragen  | nslookup $Abfrage DNS-Server  | Resolve-DnsName $Abfrage -Server DNS-Server  | host $Abfrage @DNS-Server  | dig $Abfrage @DNS-Server  |
 +| alle Records zurückliefern  | nslookup -query=any XYZ  |  | host -t any XYZ  | dig any XYZ  |
 +
 +  * DNS-Server: IP/Hostname eines DNS-Servers
 +  * XYZ = hostname.Domain.tld 
 +===== Links =====
 +
 +  * [[http://wiki.ubuntuusers.de/DNS-Probleme|DNS-Probleme beheben]]
 +  * [[http://www.cert.org/archive/pdf/dns.pdf|Securing a DNS-Server]]
 +  * [[http://www.linux-praxis.de/lpic2/lpi202/2.207.2.html|Anlegen und Verwalten von DNS-Zonen]]
 +  * [[http://www.oreillynet.com/pub/a/sysadmin/2007/04/26/5-basic-mistakes-not-to-make-in-dns.html|5 basic mistakes not to make in DNS]]
 +  * [[http://cre.fm/cre099-domain-name-system|Chaosradio Express 99 - Domain Name System]]
 +
 +===== Öffentliche Rekursive DNS Server =====
 +
 +Die folgende Auflistung ist eine Auswahl.
 +
 +^ Dienst ^ Standort ^ Methoden ^ EDNS Client Subnet ((client IP durchreichen für geo-located Antworten)) ^ v4 ^ v6 ^ DoT ^ DoH ^ Filterung ^ Datenschutz ^ Ratelimit (queries pro IP und Sekunde) ^
 +| Google DNS |  | UDP53, DoT, [[https://developers.google.com/speed/public-dns/docs/doh|DoH]] |  | 8.8.8.8, 8.8.4.4 | 2001:4860:4860::8888, 2001:4860:4860::8844 | dns.google | ? | Nein | ? | [[https://developers.google.com/speed/public-dns/docs/isp#alternative|1500]] |
 +| Cloudflare |  | UDP53, DoT, DoH |  | 1.1.1.1, 1.0.0.1 | 2606:4700:4700::1111, 2606:4700:4700::1001 | one.one.one.one, 1dot1dot1dot1.cloudflare-dns.com | ? | Ja, je nach Dienst (Blocklist) | ? | ? |
 +| [[https://www.quad9.net/de/support/faq/|Quad9]] |  | UDP53 | Ja, 9.9.9.11, 149.112.112.11 bzw. 2620:fe::11, 2620:fe::fe:11  | 9.9.9.9, 149.112.112.112 | 2620:fe::fe, 2620:fe::9 | ? | ? | Nein | ? | ? |
 +| Foebud | DE (Hetzner) | UDP53, DoT (dns3.digitalcourage.de) | Nein | 5.9.164.112, 46.182.19.48 (ausgelastet, kein DoT) | 2a01:4f8:251:554::2, 2a02:2970:1002::18 | dns3.digitalcourage.de | - | Nein | Ja | 50 |
 +| Stefanux | DE (Hetzner) bzw. DE (Strato) | UDP53, DoT | Nein | 162.55.248.253, 212.132.117.15 | 2a01:4f8:bb:1353::53, 2a01:239:343:ee00::1 | dns.stefanux.net, dns2.stefanux.net | - | Ja: Adware-Liste (diese Treffer werden mit "0.0.0.0" bzw. "::" beantwortet), ansonsten keine | Ja | 100 (burst bis 10s) |
 +==== managed DNS-Services ====
 +
 +Es gibt mittlerweise eine Reihe von Anbietern die DNS-Server betreiben und Kunden hohe Verfügbarkeit, einfache Bedienung und Features wie DNSSec bieten.
 +
 +siehe auch: **[[https://www.heise.de/ct/artikel/Hoster-und-Registrare-mit-DNSSEC-Diensten-2643530.html|Hoster und Registrare mit DNSSEC-Diensten]]** 
 +
 +  * [[server:hetzner]] DNS
 +  * **[[inwx]]**
 +  * [[https://cloud.autodns.com/login|autodns]]
 +  * [[http://www.afilias.info/dns|Afilias]]
 +  * [[http://www.bluecatnetworks.com/|Proteus Cloud services]]
 +  * [[http://www.verisign.com/managed-dns/index.html|VeriSign Managed DNS Service]]
 +  * [[http://www.ultradns.com/|ultradns]]
 +  * [[http://www.nominum.com/solutions/dnssec_made_easy.php|Nominum]]
 +  * [[http://dyn.com/|Dyn Inc.]]
 +
 +===== DNS-Server-Software =====
 +
 +  * [[server:Bind]]
 +  * [[Server:PowerDNS]]
 +  * [[http://www.nlnetlabs.nl/projects/nsd/|NSD: Name Server Daemon]]
 +  * ''dnsmasq'': Eine einfache Lösung die lokale Einträge in die Hosts-Datei berücksichtigt und ansonsten andere DNS-Server befragt
 +
 +
 +:!: Bei selbst betreuten DNS-Servern sollte man [[wpde>Zonentransfer|Zonentransfers]] auf authorisierte Hosts beschränken.
 +
 +===== DNS-Namen für dynamische IP =====
 +
 +Für den Betrieb von Serverdiensten ist in den meisten Fällen ein DNS-Name zugewiesen, der auf eine feste IP zeigt. Wenn keine feste IP möglich ist, z. B. bei einem Einwahlzugang, und sich die dynamische IP somit in (un)regelmäßigen ändert, muss man auf einen [[wpde>DynDNS]]-Anbieter zurückgreifen.
 +
 +Üblicherweise wird durch eine Client-Software die neue (z.B durch Zwangstrennung geänderte) IP-Adresse gemeldet, so dass der Dienst schnell wieder unter der neuen IP-Adresse zur Verfügung steht.
 +
 +
 +==== Dyndns-Anbieter ====
 +
 +  * [[https://www.no-ip.com|no-ip.com]] z.Zt. 3 Hosts kostenlos möglich
 +  * [[http://dyn.com/dns/dns-comparison/|dyndns]] - es scheint keine kostenlosen Accounts mehr zu geben bzw. man wird mehr und weniger genötigt einen Bezahltarif zu nehmen
 +  * [[http://www.xpertdns.com/|xpertdns]]
 +  * diverse andere kleine und große Anbieter wie z.B. [[http://netzadmin.org/ddns-provider.php|in dieser Übersicht aufgelist]].
 +
 +
 +==== Dyndns-Server ====
 +
 +  * [[http://gnudip2.sourceforge.net/|GnuDIP]]
 +  * [[http://www.dyndnsservices.com/|MintDNS]] (kommerziell)
 +  * [[http://www.misdivision.com/blog/create-your-own-dynamic-dns-service-using-powerdns-and-mysql|Powerdns - Create your own Dynamic DNS Service using PowerDNS and MySQL]]
 +  * ...?
 +
 +
 +==== Client-Software ====
 +
 +  * Clients sind auch in vielen Routern enthalten haben aber meist nur eine kleine Auswahl von Dyndns-Anbietern
 +  * [[linux:Linux]]: [[http://ddclient.wiki.sourceforge.net/|ddclient]], ... (siehe auch: [[https://help.ubuntu.com/community/DynamicDNS|DynamicDNS]])
 +  * [[windows:Windows]]: [[http://www.heise.de/software/download/dyndnserv/61830|DynDNServ]], [[http://www.dyndns.com/support/clients/windows.html|Update-Client von DynDNS]], ...
 +  * [[mac:Mac]]: [[http://www.dyndns.com/support/clients/mac.html|DynDNS Updater for Mac]], ...
 +
 +===== DNS Änderungen =====
 +
 +Neue Einträge im DNS-Server verbreiten sich durch caches nicht sofort im ganze Internet.
 +
 +Negative Antworten (DNS-Eintrag zum angefragten Host existiert nicht =negative Caching Zeit) werden ebenfalls von anderen Nameservern zwischengespeichert. Hierbei ist die TTL aus dem SOA-record der Zone verantwortlich. Diese setzt normalerweise der Provider, wenn diese negative Caching Zeit sehr hoch ist (im Vergleich zur TTL einzelner vorhandener Einträge) ist das für dyndns/ddns-Anwendungen ein Problem. In diesem Fall kann mit wildcard-Einträgen (z.B. auf die IP des Nameservers) diese TTL umgangen werden.
 +
 +<code bash>dig GibtsNicht.example.com</code>
 +<file>
 +; <<>> DiG 9.8.1-P1 <<>> GibtsNicht.example.com
 +;; global options: +cmd
 +;; Got answer:
 +;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59706
 +;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
 +
 +;; QUESTION SECTION:
 +;xGibtsNicht.example.com. IN A
 +
 +;; AUTHORITY SECTION:
 +example.com. 1800 IN SOA ns.namespace4you.de. hostmaster.example.com. 1384198447 16384 2048 1048576 2560
 +</file>
 +Aus der Antwort ergibt sich ([[http://www.zytrax.com/books/dns/ch8/soa.html|Bedeutung der Felder des SOA-Records]]):
 +  - Die Seriennr. der letzten Änderung: 1384198447
 +  - Refresh Time: 16384
 +  - Retry Time: 2048
 +  - Expire Time: 1048576
 +  - negative Caching Zeit: 2560
 +===== Konfiguration =====
 +
 +http://www.dnswatch.info/
 +http://zonecheck.denic.de/zonecheck/
 +
 +[[http://de.wikipedia.org/wiki/Kategorie:Domain_Name_System|Wikipedia - Kategorie:Domain_Name_System]]
 +
 +^ **Typ** ^ Bedeutung ^ Eintrag ^
 +| **SOA** | Start Of Authority  | Verschiedene Parameter für die Zone, die der Nameserver verwalten soll. [[http://www.zytrax.com/books/dns/ch8/soa.html|Bedeutung der Felder des SOA-Records]]. |
 +| **A** | Address  | Die Adresse eines Internet Hosts (Verknüpfung einer Domain mit einer bestimmten IP-Adresse). |
 +| **AAAA-Record** | [[netzwerke:IPv6]] pendant zum A-Record unter IPv4. ||
 +| **[[wpde>MX Resource Record|MX]]** | Mail Exchange  | Die Priorität und Name des Mailservers der Domain. Abfrage mit ''dig -t mx DOMAIN'' :!: Achtung: Ein MX-Record darf auschließlich "canonical names" (d. h. einen Hostnamen/FQHN der einen A record hat) enthalten. |
 +|** NS** | Name Server | Name eines Nameservers der Domain (auch: Weiterleitung der Nameserveranfragen an einen anderen Nameserver). |
 +| **CNAME** | Canonical Name | Domainname eines Rechners (Aliasfunktion: Verknüpfung einer Subdomain mit einer anderen Subdomain). |
 +| **PTR**  | Pointer | Alias für eine numerische IP-Adresse (benutzt für Reverse-lookup) |
 +| **HINFO** | Host Information | ASCII Beschreibung des Hosts (CPU, OS, ...) |
 +| **TXT** | Text - Nicht verwertbarer Text - Kommentar || 
 +| **SPF-Record** | Eintrag für das "Sender Policy Framework" (Anti-Spam-Modell). ||
 +| **[[http://wiki.ip-phone-forum.de/internet:dns:srv|SRV-Records]]** | Einträge für [[computer:VoIP]] | |
 +  * [[wpde>SOA_Resource_Record|SOA-Resource-Record]]: Autoritätsursprung
 +
 +
 +:!: falsche DNS-Konfiguration (''localhost. IN A 127.0.0.1'' ohne den Punkt nach localhost) erlaubt Angriffe [[http://www.securiteam.com/securitynews/5RP0M00N5K.html|Common DNS Misconfiguration can Lead to "same Site" Scripting]]
 +
 +==== Split-DNS und private IPs im DNS ====
 +
 +DNS muss als öffentlichen Datenbank angesehen werden, zwar sind ANY-Abfragen nicht komplett und 
 +
 +Gründe für private DNS-Adressen im DNS:
 +  * Robustheit:
 +    * bei Abbruch der Verbindung cacht das Betriebssystem/der resolver negative Antworten aus dem public DNS. Wenn public <-> private DNS deckungsgleich dann kann das nicht passieren
 +    * Split-DNS-Probleme sind aufwendiger zu finden da Antwort von der Zugangsart abhängig und monitoring schwerer möglich
 +  * Wartungsarm:
 +    * keine internen DNS-Server (doppelt ausgelegt) nötig
 +    * keine (manuellen) Abgleiche von externen und internen Zonen nötig. Standardproblem: Anwendung soll öffentlich/Extern aus speziellen Netzen - ohne dns-forwarder - zugreifbar sein -> Record im public DNS anlegen.
 +  * dnssec Zonensignierung / DoT externer Server kann genutzt werden
 +
 +Gründe gegen private IPs im DNS:
 +  * inviduelle Hygenegründe ("was nicht öffentlich routebar ist, soll auch nicht im public dns sein")
 +  * es besteht ein "Security-by-obscurity"-Vorteil interne IPs nicht zu veröffentlichen (diese sind jedoch aufgrund des begrenzten ipv4-Raumes privater Adressen und nach Schema, z.B. vom Gateway aus hoch bzw. runterzählen, leicht zu erraten) DNS-Records sind als öffentlich anzusehen, auch wenn nicht alle Records mit "any"-Abfrage sichtbar sind, bzw. niemand unauthorisiertes Zonentransfers machen darf.
 +  * **DNS-Rebind-Schutzmaßnahmen** brauchen dafür Ausnahmen ((z.B. Fritz-Boxen: Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> weitere Einstellungen -> Hostnamen-Ausnahmen)) Hintergrund: Rebind-Attacken fälschen lokale (unverschlüsselte) Anfragen, diese scheitern allerdings bei validierbaren TLS-Zertifikaten, bei unsicherer Konfiguration des Applikationsservers (selg-signed Zertifikat oder Abruf über unverschlüsselte Wege) kann dies jedoch ein Risiko darstellen (das allerdings unabhängig von DNS-Anforderungen behoben werden sollte!)
 +  * Szenarien in denen Split-DNS zwingend nötig ist (z.B. unterschiedliche IPs auf mehreren privaten Uplinks wobei der FQDN für eine Applikation überall gleich sein muss)
 +  * Rückwärtsauflösung privater Adressen ist nur intern möglich
 +
 +==== .local vermeiden ====
 +
 +dig erzeugt Warnungen, bei bind ist das extra Aufwand, powerdns recursive kommt damit klar (wenn es forwarded), trotzdem nicht benutzen: [[https://datatracker.ietf.org/doc/html/rfc6762|RFC6762]].
 +<code>
 +WARNING: .local is reserved for Multicast DNS
 +;; You are currently testing what happens when an mDNS query is leaked to DNS
 +</code>
 +==== Zonen ====
 +Bei DNS bezeichnet [[wpde>Zone (DNS)|Zone]] den Teil des Domänenbaums, für die ein Nameserver (im Folgenden auch NS) zuständig ist und deshalb die offiziellen Daten kennt. Eine Zone wird durch einen Primary Nameserver verwaltet. Zur Erhöhung der Verfügbarkeit bei Server-Ausfällen ist es üblich, eine Zone auf einen oder mehrere Secondary Nameserver zu spiegeln.
 +
 +^ Zonentypen ^^
 +| primäre Zone  | lese und schreibbar |
 +| sekundäre Zone | liest/spiegelt die Daten der primären Zone zur Ausfallsicherheit |
 +| [[windows:Windows]]-spezifisch | in Active-Directory integriert |
 +
 +==== Unterschied zwischen Domäne und Zone ====
 +Eine Domäne umfasst den gesamten untergeordneten DNS Namensraum. Der Begriff Domäne wird auch verwendet, wenn man sich auf den Inhalt (Welche Namen enthält eine Domäne?) oder die Eigentumsrechte (Für wen ist eine Domäne registriert?) bezieht.
 +
 +Eine Domäne kann in mehrere Zonen aufgeteilt werden, indem man die Zuständigkeit für Subdomains delegiert. Von einer Zone spricht man auch, wenn man die physische Realisierung meint – also auf welchem Server und in welcher Zonendatei liegen die DNS-Einträge.
 +
 +
 +
 +==== Zonentransfer ====
 +
 +[[wpde>Zonentransfer]] bezeichnet beim Domain Name System (DNS) die Übertragung von Zonen auf einen anderen Server.
 +
 +Da ein DNS-Ausfall für ein Unternehmen meist gravierende Folgen hat, werden die DNS-Daten – also die Zonendateien – fast ausnahmslos identisch auf mehreren Nameservern gehalten. Bei Änderungen muss sichergestellt sein, dass alle Server den gleichen Datenbestand besitzen. Die Synchronisation zwischen den beteiligten Servern wird durch den Zonentransfer realisiert. Der Zonentransfer beinhaltet nicht nur das bloße Übertragen von Dateien oder Sätzen, sondern auch das Erkennen von Abweichungen in den Datenbeständen der beteiligten Server.
 +
 +Er kann mit dem Befehl ''host -l'' durchgeführt werden.
 +
 +==== Zonendatei ====
 +
 +Eine [[wpde>Zonendatei]] ist Teil der Konfiguration eines Nameserverdienstes (z.B. [[server:BIND]]) für das Domain Name System. Sie besteht aus einer Liste von Resource Records (RR). Eine Zonendatei beschreibt eine Zone vollständig. Es muss genau ein SOA Resource Record und mindestens ein NS Resource Record vorhanden sein. Der SOA-RR befindet sich meist am Anfang einer Zonendatei.
 +
 +
 +
 +===== Sicherungsmaßnahmen bei DNS =====
 +
 +Das originale DNS ist (leider) standardmäßig unverschlüsselt und unsigniert, die Antworten können also auf dem Weg mitgelesen und verändert werden und die Echtheit der Antwort wird nicht garantiert. 
 +
 +Dagegen existieren im wesentlichen die folgenden drei Lösungen
 +
 +==== DNSSEC (Signierung) ====
 +
 +Gegen Angriffe wie [[security:Angriffsmethoden und Gegenmaßnahmen#dns-poisoning|DNS-poisoning]] hilft [[wpde>DNSSEC]]. Es führt eine Signaturkette ein, das die DNS-Antworten auf Gültigkeit verifiziert, verhindert aber kein mitlesen der Daten.
 +
 +siehe auch: **[[https://www.heise.de/ct/artikel/Hoster-und-Registrare-mit-DNSSEC-Diensten-2643530.html|Hoster und Registrare mit DNSSEC-Diensten]]** 
 +
 +  * [[http://www.heise.de/newsticker/Cache-Poisoning-Gefahr-heizt-DNSSEC-Debatte-an--/meldung/112980/from/rss09|Cache-Poisoning-Gefahr heizt DNSSEC-Debatte an]]
 +  * [[http://www.dnssec-tools.org/|DNSSEC-Tools]]
 +  * [[http://www.dnssec-deployment.org/tracker/|DNSSEC Deployment Initiative: Links to Software]]
 +
 +DNS-Antworten via DNSSEC enthalten sowohl signierte Daten als auch Schlüssel, deshalb können Antworten mehrere KB groß werden. Einige Firewalls und DNS-Server begrenzen jedoch die maximale Paketgröße, das gibt dann Probleme mit DNSSEC. 
 +
 +Das OARC betreibt einen Testdienst, der allgemeine Aufruf lautet: 
 +
 +  dig +short rs.dns-oarc.net @DNS-Server txt
 +
 +Beispiel: Google DNS abfragen:
 +  dig +short rs.dns-oarc.net @8.8.4.4 txt
 +
 +Die Ausgabe zeigt das Google DNS ein zu kleines Limit für DNSSEC hat:
 +
 +<file>
 +rst.x476.rs.dns-oarc.net.
 +rst.x485.x476.rs.dns-oarc.net.
 +rst.x490.x485.x476.rs.dns-oarc.net.
 +"74.125.76.80 DNS reply size limit is at least 490"
 +"74.125.76.80 lacks EDNS, defaults to 512"
 +"Tested at 2010-11-12 16:40:33 UTC"
 +</file>
 +
 +
 +Eine ausreichend dimensioniertes Limit sieht so aus (statt "a.b.c.d" stünde hier die IP des befragten DNS-Servers):
 +
 +<file>
 +rst.x3827.rs.dns-oarc.net.
 +rst.x3837.x3827.rs.dns-oarc.net.
 +rst.x3843.x3837.x3827.rs.dns-oarc.net.
 +"a.b.c.d DNS reply size limit is at least 3843"
 +"Tested at 2010-11-12 16:41:52 UTC"
 +"a.b.c.d sent EDNS buffer size 4096"
 +</file>
 +
 +===== DnsSec testen =====
 +
 +  * negativ-Test (darf kein Ergebnis liefern): dig +short sigfail.verteiltesysteme.net @mein.DNS.server
 +  * positiv-Test (liefert IP zurück): dig +short sigok.verteiltesysteme.net @mein.DNS.server
 +
 +
 +
 +==== DNS over TLS (DoT) ====
 +
 +DNS over TLS (DoT) führt einen zusätzlichen TLS-Schutz ein (Verschlüsselung).
 +Grundlage ist RFC 7858, TLS-verschlüsselte TCP Kommunikation, Port: 853.
 +
 +DoT wird von allen wichtigen DNS-Servern unterstützt (auch von Routern wie der Fritz-box), unverschlüsselte DNS-Server können durch einen TLS-wrapper (wie [[software:stunnel4|stunnel]]) aufgerüstet werden.
 +
 +  * [[https://developers.google.com/speed/public-dns/docs/dns-over-tls|Google DNS DoT]]
 +  * [[https://www.quad9.net/de/service/service-addresses-and-features|Quad9 DoT]]
 +=== DoT testen ===
 +
 +Test via Kommandozeile (kdig ist Teil der "knot-dnsutils"):
 +
 +Beispiel: Abfrage der IP 8.8.4.4 (mit Hostname "dns.google.com" für den das Zertifikat gültig sein muss) nach "www.google.com":
 +
 +<code bash>kdig -d @8.8.4.4 +tls-ca +tls-host=dns.google.com www.google.com</code>
 +
 +Erfolg:
 +<file>;; DEBUG: TLS, The certificate is trusted.</file>
 +
 +Fehler (Beispiel):
 +<file>
 +;; DEBUG: TLS, The certificate is NOT trusted. The name in the certificate does not match the expected. 
 +;; WARNING: TLS, handshake failed (Error in the certificate.)
 +</file>
 +
 +
 +=== systemd-resolved DoT config ===
 +
 +<file>
 +DNS=8.8.4.4#dns.google
 +DNS=9.9.9.9#dns.quad9.net
 +DNS=2001:4860:4860::8844#dns.google
 +DNS=2620:fe::9#dns.quad9.net
 +DNSOverTLS=yes
 +</file>
 +
 +==== DNS over HTTP (DoH) ====
 +
 +DNS over HTTP (DoH) führt einen zusätzlichen TLS-Schutz ein (Verschlüsselung), dafür wird ein TCP-Handshake durchgeführt und das HTTP-Protokoll benutzt.
 +
 +<code bash>
 +# json-Abfrage für "example.com" (erfordert jq)
 +curl -H 'accept: application/dns-json' 'https://cloudflare-dns.com/dns-query?name=example.com&type=A' | jq .
 +</code>
 +
 +==== DNScrypt ====
 +
 +DNSCrypt (basiert auf DNScurve von D.J. Bernstein, von OpenDNS betreut)
 +===== Hosts-Datei =====
 +
 +Muss ein Hostname in eine IP-Adresse (oder umgekehrt) übersetzt (oder „aufgelöst“) werden, so wird bei Betriebssystemen zuerst versucht, die Namensauflösung lokal anhand der in der Hosts-Datei gespeicherten Zuordnungen durchzuführen, bevor andere Methoden (DNS, WINS, usw.) versucht werden. Bei unixartigen Systemen wird die Reihenfolge durch Einträge in der Datei /etc/nsswitch.conf festgelegt.
 +
 +Vor der Einführung des Domain Name Systems (DNS) wurden Rechnernamen im Internet über diese Hosts-Dateien aufgelöst. Die Verteilung und Aktualisierung dieser Dateien war allerdings ein logistisches Problem. Deshalb werden Hosts-Dateien im Internet sowie in größeren Netzwerken heutzutage selten bis nicht mehr verwendet. Auch Loopback-Adressen benötigen heutzutage keinen Eintrag in der Hosts-Datei.
 +
 +Anmerkung: Dieser Abschnitt basiert auf einem [[wpde>Hosts-Datei|Wikipedia-Artikel]].
 +
 +==== Pfade unter verschiedenen Betriebssystemen ====
 +
 +
 +  * [[windows:Windows]] NT/2000/XP/2003/Vista/7 32 & 64 Bit: ''%SystemRoot%\system32\drivers\etc\hosts'' (Standardkonfiguration, der Verweis auf das diese Datei enthaltende Verzeichnis ist in der Windows-Registrierungsdatenbank unter ''\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath'' gespeichert.)
 +  * [[windows:Windows]] 95/98/Me: ''%WinDir%\hosts''
 +  * [[windows:Windows]] Mobile: pro Host ein Schlüssel in der Registrierung unter \HKEY_LOCAL_MACHINE\Comm\Tcpip\Hosts
 +  * Unix, [[linux:Linux]]: ''/etc/hosts''
 +  * [[mac:Mac]] OS X: ''/etc/hosts'' bzw. ''/private/etc/hosts'' (''/etc'' ist eine Verknüpfung mit ''/private/etc'')
 +  * iOS und andere BSD-basierende Betriebssysteme: ''/private/etc/hosts''
 +  * OS/2 und eComStation: ''"bootdrive":\mptn\etc\hosts''
 +  * Series 60 1st und 2nd Edition: ''C:\system\data\hosts''
 +  * Series 60 3rd Edition: ''C:\private\10000882\hosts'' (Zugriff wegen Platform Security nicht ohne weiteres möglich.)
 +  * Android: ''/system/etc/hosts''