DNS Teil 1: Domain Name System Grundlagen

Ein Herzstück (und damit auch ein Datenschutz-relevantes Thema) des Internet ist das sog. Domain Name System (DNS). Das Internet kann mit Namen wie apple.com oder google.de nichts anfangen. Das Internet liebt Zahlen. Daher verwendet es Zahlen, bietet uns Nutzern aber die Möglichkeit, eher menschlich, sprich mit Namen, zu agieren. Was also passiert, wenn Sie in Ihrem Browser zum Beispiel www.microsoft.com (die sog. URL, Uniform Resource Locator) eingeben? Der Name wird in eine sog. IP-Adresse umgewandelt. Eine IP-Adresse ist eine Nummer, die einen Rechner im Internet eindeutig identifiziert, z.B. 141.1.23.198. Das stimmt zwar nicht ganz, aber um das Konzept DNS zu erklären, gehen wir davon als Grundlage aus. Der Einfachheit halber gehe ich hier von der IP Version 4 aus (IPv4), auch wenn im Internet selber IPv6 (Version 6) eingesetzt wird. Das Prinzip ist dasselbe. 

Aber wie konvertiert der Rechner den Namen „www.untertauchen.info“ in eine IP-Adresse? Woher weiss mein Rechner, welche Nummer das ist? Und woher weiss er, wenn er es selber nicht weiss, wen er fragen muss?

Anmerkung: Das ganze System kann sehr viel komplexer ablaufen, als ich es hier erkläre. Aber das grundlegende Konzept bleibt gleich.

Wenn Ihr Rechner den Namen „www.untertauchen.info“ vor ein paar Minuten aufgelöst hat (also die IP Adresse dazu geholt hat), dann kennt er sie, weil er sie für eine kurze Zeit zwischenspeichert.

Ansonsten gilt: Er weiss es nicht. Er braucht Hilfe. Dazu hat jeder Rechner einen Eintrag in den Netzwerkeinstellungen, der den sog. Resolver (Auflöser) adressiert. Mittlerweile gibt es so viele Rechner im Internet und so viele Domains, dass das nicht in einer einfachen Textdatei möglich ist. Als ich mit dem Internet anfing, gab es die Liste aller Rechner und IP-Adressen in einer Textdatei. Wie die Zeit vergeht. 😉

 Der Ablauf, um an die IP-Adresse zu gelangen ist wie folgt:

  1. Sie geben in die Adressleiste Ihres Browsers beispielsweise „www.untertauchen.info“ ein.
  2. In Ihren Netzwerkeinstellungen steht, wer sich darum kümmern soll. Dieser Eintrag wird fast immer automatisch ausgefüllt, meist mit der IP Adresse Ihres Routers oder Ihres Internetdienstanbieters (Internet Service Provider, ISP, z. B. Unitymedia, Telekom, …). Im Normalfall leitet Ihr Router dies dann an den ISP weiter. Ihr Browser liest diese Info und sendet die Anfrage an diesen Rechner.
  3. Der Resolver des ISP leitet die Anfrage „www.untertauchen.info“ an einen sog. DNS Root Name Server weiter, wenn er die Adresse nicht in seinem temporären Zwischenspeicher hat. Der Root Name Server ist in der Hierarchie die oberste Instanz, sagen wir mal die Kanzlerin. Die hat keine Ahnung, wer „www.untertauchen.info“ ist. Aber sie weiss, wer es wissen könnte, weil sie den Verantwortlichen für alle sog. Top Level Domain, TLD, kennt. Daher weiss sie, wer für alle Namen mit der Endung .info verantwortlich ist.
  4. Also leitet sie die Anfrage zurück an den Resolver mit dem Hinweis (zum Beispiel): „Der Gesundheitsminister ist für .info verantwortlich.“
  5. Der Resolver nimmt diese Info und kontaktiert den Gesundheitsminister. Der Gesundheitsminister hat sowieso von nichts eine Ahnung, auch nicht von „www.untertauchen.info“, denn er ist ja für alle .info verantwortlich, da kann er sich nicht um alles kümmern, daher kann er die Anfrage nicht abschliessend beantworten. Aber er weiss, wer es wissen könnte (immerhin). Also schickt er dem Resolver eine Antwort: „Frag mal das RKI.“
  6. Der Resolver nimmt diese Antwort und kontaktiert das RKI und fragt: „Wisst Ihr wer „www.untertauchen.info“ ist? Da das RKI alles weiss, was den Bereich .info betrifft, ruft es: „Halleluja, klar weiss ich das.“ Es durchsucht die sog. gehostete Zone „untertauchen.info“ nach dem Eintrag „www.untertauchen.info“, ruft den zugehörigen Wert, beispielsweise die IP-Adresse 81.169.145.77 des Webservers ab und gibt diese IP-Adresse an den DNS-Resolver zurück.
  7. Damit liegt dem DNS-Resolver des ISP die vom Benutzer benötigte IP-Adresse vor. Der Resolver gibt diesen Wert dem Web-Browser zurück.
  8. Der Web-Browser sendet eine Anforderung für „www.untertauchen.info“ also nochmals, nur dieses Mal an die IP Adresse „81.169.145.77“ und der Server liefert den von Ihnen gewünschten Inhalt.

Damit kennt Ihr ISP, also Unitymedia/Vodafone, Telekom, Netcologne etc. jede Webseite, die Sie im Web ansurfen. Amazon.de, Gmail.com, hiv-selbsthilfe.de, pornhub.com, penisvergroesserung.net etc. Ihr ganzes Surfverhalten (gilt für alle Programme, die mit dem Internet Kontakt aufnehmen, also auch Emails, Spiele, WhatsApp etc.) ist ihm bekannt.

Ihr ISP weiss also, wann Sie welche Webseite wie oft aufgerufen haben. Das gilt auch für WLAN und Mobilfunknetze. Wenn Sie im Hotel oder einem Internetcafe surfen, dann verwenden Sie standardmässig deren Resolver und damit kennen diese Ihre Surfverhalten. Ich könnte mir vorstellen, dass der ein oder andere, der in der Vergangenheit im Hotel übernachtet und deren WLAN benutzt hat, gerade nachdenklich wird. 😃

Hinzu kommt, dass diese Datenpakete wiederum über mehrere Hops geleitet werden und so von anderen im Prinzip mitgelesen werden können (sog. Packet-Sniffing). Das ist besonders hässlich, weil standardmässig diese Anfragen nicht verschlüsselt sind. Wir haben im Artikel zu Firefox gesehen, dass man diese Anfragen verschlüsseln kann. DNS over https oder DNS over TLS oder DNSCrypt.

Wenn Sie das im Firefox aktivieren ist das toll, aber hat keinen Einfluss auf Ihre Emails, Spiele oder andere Software, die sich mit dem Internet verbindet.

D.h. um wirklich unterzutauchen, brauchen wir eine Lösung, die es verhindert, dass der ISP oder andere alle IP-Adressen kennen, die wir benutzen.