Wat is DNS?

Weet je hoe domeinnamen, zoals microsoft.com, worden vertaald naar IP-adressen? Het internet gebruikt een dienst genaamd het Domain Name System (DNS). In dit artikel leer je wat DNS is en hoe het domeinnamen vertaalt naar IP-adressen, zodat browsers en andere internettoepassingen en -diensten webservers kunnen vinden.

Bekijk ook onze handige infographic hieronder om snel te begrijpen hoe DNS werkt.

Wat is DNS?

Het Domain Name System is een server waar domeinnamen worden omgezet in IP-adressen zodat browsers informatie kunnen laden. Meer specifiek vindt DNS het overeenkomstige IP-adres van een domeinnaam (IPv6 of IPv4-adres), zodat webbrowsers de informatie kunnen vinden die aan het domein is gekoppeld.

Domeinnamen (of website domeinen) zijn webadressen. Domeinnamen worden gebruikt in Uniform Resource Locators (URL’s) voor websites. Bijvoorbeeld, je moet ‘www.google.com’ invoeren in een webbrowser om naar de website van Google te gaan. En ‘www.facebook.com’ voor de website van Facebook.

IP-adressen

Een IP-adres is een uniek adres dat wordt gebruikt om bronnen zoals een apparaat of server op het internet te identificeren. Een IP-adres is een nummer dat apparaten helpt om verbinding met elkaar te maken via het internet of een lokaal netwerk, net zoals een telefoonnummer u helpt een specifiek persoon te bellen.

Er zijn twee soorten IP-adressen: IPv4 en IPv6.

IPv4-adressen

IPv4 is een adresregeling van 32 bits. Het maakt gebruik van punt-decimale notatie. IPv4 heeft de capaciteit om meer dan 4,2 miljard adressen te accommoderen. Bijvoorbeeld, een IPv4-adres kan eruitzien als 192.0.2.1.

IPv6-adressen

IPv6 is een adresmethode van 128 bits. Het gebruikt alfanumerieke notatie in plaats van de punt-decimale notatie in IPv4. Het heeft ook de capaciteit om ongeveer 3,4×10³⁸ unieke IP-adressen te accommoderen. Met andere woorden, 340 triljoen triljoen triljoen IP-adressen!

IPv6 is geavanceerder en veiliger dan IPv4 vanwege het ontwerp. Een voorbeeld van een IPv6-adres is 2001:0db8:85a3:0000:0000:8a2e:0370:7334.

Waar wordt DNS voor gebruikt?

Hoewel de belangrijkste functie van DNS het vertalen van domeinnamen naar IP-adressen is, heeft het vele andere toepassingen. DNS-servers zorgen voor snelle toegang tot de informatiebron die u zoekt en ze vereenvoudigen het doorsturen van e-mails naar internetpostservers. DNS is ook wat de communicatie tussen servers en Internet of Things (IoT) apparaten mogelijk maakt.

Hoe werkt DNS?

Om te begrijpen hoe DNS werkt, is het belangrijk om te leren over de processen die zich achter de schermen afspelen. Hier zijn de stappen die betrokken zijn bij het omzetten van domeinnamen naar IP-adressen.

Hoe worden domeinnamen met DNS omgezet in IP-adressen?

De primaire functie van DNS is het vertalen van de domeinnamen die u in uw webbrowser typt in IP-adressen. Het proces van het vertalen van domeinnamen in IP-adressen wordt DNS-lookup of DNS-resolutie genoemd. DNS maakt gebruik van verschillende componenten, waaronder:

• Domain Name Servers
• DNS-query’s
• DNS-records
• DNS-caching
• DNS-propagatie
• En meer

De 4 componenten van het Domain Name System voor het laden van een webpagina

DNS gebruikt vier verschillende diensten om een domeinnaam naar een IP-adres te vertalen.

DNS-resolver

A DNS resolver, also known as a DNS recursive resolver, is the primary function of a DNS query. It either directly provides the required information from its stored cache, or it sends requests to other DNS servers including the root nameserver, top-level domain (TLD) nameserver, and authoritative nameserver.

DNS-rootserver

De Root nameserver, of DNS-rootserver, accepteert vragen van de recursieve resolver en stuurt de recursieve resolver door naar de TLD-nameserver, waar de recursieve resolver het overeenkomende IP-adres kan vinden.

TLD-nameserver

De top-level domain (TLD)-nameserver is verantwoordelijk voor het onderhouden van alle informatie die verband houdt met de domeinnamen op basis van zijn top-level domein zoals .com, .net, .org, enzovoort. Bijvoorbeeld, de .com TLD-nameserver bevat alle informatie voor de domeinen die eindigen op .com.

Er zijn twee soorten TLD-servergroepen: Generieke top-level domeinen zoals .com, .edu, .gov, enzovoort, en Landcode top-level domeinen zoals .uk, .us, .ru, enzovoort.

Authoritative nameserver

De Authoritative nameserver is het laatste stadium in de reis om een IP-adres te bepalen. Het kan een recursieve resolver voorzien van het overeenkomende IP-adres voor een specifieke domeinnaam vanuit zijn DNS-record.

Als een domein een alias heeft van een ander domein, gebruikt de autoritatieve nameserver het Canonical Name Record (CNAME) om de resources van een record te vinden. Als voorbeeld, als je DNS-query ‘blog.google.com’ is, is ‘google.com’ de canonieke naam of het alias van blog.google.com.

De 3 soorten DNS-query’s

DNS-query’s zijn de verzoeken die van een DNS-client naar een DNS-server worden verzonden voor specifieke informatie. Primair is een DNS-query het verzoek om IP-adressen die verband houden met een domeinnaam.

Hier zijn de top drie soorten DNS-query’s:

Recursieve Query

Bij dit type query beantwoordt een DNS-server de query door andere DNS-servers namens jou te vragen. Een DNS-server kan je ofwel voorzien van de gevraagde resource uit een DNS-record, of een foutmelding geven als de recursieve resolver geen gerelateerde informatie bij de query kan vinden.

Iteratieve Query

Bij een iteratieve query retourneert een DNS-server jouw query met het antwoord als het kan. Als een recursieve DNS-query het respectieve IP-adres voor jouw verzoek niet heeft geretourneerd, verwijst het naar een andere autoritatieve DNS-server of rootserver die het antwoord op jouw query kan geven.

Non-recursieve Query

A non-recursive query occurs when a DNS server answers your query from a record that exists in its cache. An immediate response is available with non-recursive queries as they are stored the necessary information is stored locally.

Wat zijn Domein Nameservers?

Domeinnamenservers zijn verantwoordelijk voor het opslaan en onderhouden van alle DNS-records van domeinnamen, waaronder A-records, CNAME-records en MX-records (we leggen hieronder uit wat deze zijn). Er zijn meerdere nameservers waar ze op vertrouwen, doorgaans is er één primaire en meerdere secundaire.

De beschikbaarheid van meerdere nameservers verhoogt de betrouwbaarheid van DNS omdat het andere nameservers kan gebruiken als een nameserver niet beschikbaar is. Nameservers slaan nauwkeurige informatie op voor alle DNS-records.

Wat is een DNS-zone?

A DNS zone is a specific portion of the namespace in DNS. And it’s managed by an administrator or organization. DNS zones provide better control over DNS components such as TLD nameservers, authoritative nameservers, and more.

A DNS zone is implemented in a domain name server and it includes a zone file that contains all DNS records of domains in a zone. Domain name servers can contain multiple DNS zones. And a DNS zone can contain several subdomains.  

Wat zijn de belangrijkste typen DNS-records?

DNS-records bevatten alle details met betrekking tot domeinnamen en de details van deze DNS-records kunnen worden gevonden in DNS-zonebestanden. DNS-records helpen DNS bij het beantwoorden van vragen.

Hier zijn de verschillende typen DNS-records:

• A record: An A record includes IPv4 addresses for FQDNs (Fully Qualified Domain Name). An FQDN has four parts: hostname (www, ftp, etc.), domain name (Google, Facebook, etc.), Top Level Domain (.com, .org, etc.), and a period (.).

• AAAA-record: In tegenstelling tot een A-record, koppelen AAAA-records (of quad A) domeinnamen aan IPv6-adressen.

• MX-record: Een Mail Exchange (of MX-record) wijst naar een mails erver in plaats van een IP-adres om e-mailroutering mogelijk te maken.
• TXT-record: Dit record stelt beheerders in staat tekst op te slaan in een DNS-record. Hoewel het voornamelijk notities zijn geschreven in een vriendelijke taal, kun je ook machinaal leesbare tekst invoeren in DNS. TXT-records worden voornamelijk gebruikt om de eigendom van een domeinnaam te verifiëren en om spam-e-mails te voorkomen.

• NS (Name Server): NS-records verwijzen naar de gezaghebbende nameservers voor een domein of subdomein.

• CNAME: Een Canonical Name (of alias) record is een alias die domeinnamen koppelt aan andere domeinen of subdomeinen.

Wat is DNS-caching?

DNS-caching verwijst naar het proces waarbij informatie over DNS-records tijdelijk wordt opgeslagen om ze opnieuw te gebruiken wanneer dezelfde query in de nabije toekomst wordt uitgevoerd. Caching kan worden ingeschakeld op zowel het niveau van het besturingssysteem als de webbrowser. Daarom hoeven DNS-servers geen DNS-lookup uit te voeren telkens wanneer je apparaat DNS wil raadplegen of een website bezoekt.

Hoe werkt DNS-propagatie?

DNS-propagatie verwijst naar de tijd die nodig is om DNS-records bij te werken op alle DNS-servers op het internet of het lokale netwerk. Propagatie begint wanneer iemand nieuwe DNS-records toevoegt aan een nameserver.

De propagatie kan tot 72 uur duren omdat domeinnaamservers verschillende Time-To-Live (TTL) waarden geconfigureerd hebben voor DNS-records.

Kun je je eigen DNS-server instellen?

Over het algemeen worden DNS-servers geleverd door Internet Service Providers (ISPs). Toch kan het laten draaien van je eigen DNS-server je betere controle geven over je systeem en netwerk. Je kunt je eigen DNS-server opzetten door DNS-server software te installeren zoals Windows DNS Server, PowerDNS en Technitium. DNS-server software is beschikbaar voor verschillende besturingssystemen, waaronder Windows, Linux, iOS, etc.

DNS en beveiliging

Net als bij sommige andere Internetprotocollen, is DNS niet ontworpen met beveiliging in gedachten. Toch speelt DNS-beveiliging een belangrijke rol bij het beschermen van DNS-componenten tegen alle niveaus van aanvallen die de stabiliteit en beschikbaarheid van de DNS-service beïnvloeden. Daarom is het ontwikkelen van een effectieve beveiligingsstrategie, waaronder DNSSEC, DNS logging, en meer, essentieel om de DNS-infrastructuur te beschermen.

Heeft DNS beveiligingslekken?

DNS is kwetsbaar voor verschillende beveiligingsdreigingen, en hackers vinden geavanceerde manieren om DNS-servers aan te vallen. Enkele veelvoorkomende DNS-aanvallen zijn onder andere:

DNS-cachevergiftiging

DNS-cachevergiftiging of DNS-spoofing is een type DNS-aanval waarbij aanvallers webverkeer omleiden naar kwaadaardige webpagina’s door valse informatie toe te voegen aan de DNS-cache.

DNS-tunneling

DNS-tunneling maakt misbruik van het DNS-protocol om gevoelige gegevens te tunnelen in DNS-query’s of responspakketten.

Phantom domeinaanval

A type of Denial of Service (DoS) attack in which attackers create a bunch of phantom domains that restrict servers from responding to DNS queries.

Willekeurige subdomeinaanval

A random subdomain attack is a type of Distributed Denial of Service (DDoS) attack in which many queries are sent to a targeted domain. Due to the high volume of traffic from multiple sources, requested information or services become unavailable to users.

Wat is DNSSEC?

Domeinnaamserverbeveiligingsextensies (of DNSSEC) is een beveiligingsmaatregel die is ontwikkeld om DNS-componenten te beschermen tegen aanvallen door het implementeren van een digitaal ondertekeningsproces. In dit proces vindt ondertekening plaats bij elke fase van het DNS-zoekproces om de geldigheid van de geretourneerde DNS-records te waarborgen en het zoekproces te beveiligen.

De toekomst van DNS

De toekomstige evolutie van DNS richt zich sterk op beveiliging, deels omdat DNS in zijn oorspronkelijke vorm fundamenteel onveilig is. Hoewel versleutelde query’s veilige DNS enigszins kunnen beschermen, blijven vertrouwelijkheidsproblemen bestaan bij DNS-servers omdat ze breed toegankelijk zijn op het openbare internet.

De eerste stap van een DNS-query is ongecodeerd en blijft zichtbaar voor iedereen. Daarom zou versleuteling van DNS-records de beveiliging verhogen en effectief zijn in het voorkomen van domeinaanvallen.

De introductie van resolver-loze DNS kan een verbeterde prestatie en privacy bieden. Het zal de tijd die nodig is om DNS-lookups uit te voeren verminderen en het kan nauwkeurige en gevalideerde DNS-records leveren.