DNS - Das Telefonbuch für IP-Adressen

Das IP-Protokoll DNS

Aufbau Fully Qualified Domain Name

Was ist DNS?

DNS ist ein wichtiger Dienst bei vielen IP basierten Netzwerken und ein zentraler Bestandteil des Internets. Alle Austauschpartner im Internet kommunizieren mittels IP-Adressen miteinander, das heißt IP-Adressen werden von Computern zur gegenseitigen Vernetzung verwendet. Der Nutzer selbst muss nur den Domain-Namen eingeben und sich nicht die lange IP-Nummer aus Zahlen und Punkten merken, um eine Anfrage zu stellen. Wird eine Anfrage gestellt, werden Domain-Namen mithilfe von DNS-Servern in Zahlen übersetzt. Diese steuern dann, welchen Server ein Nutzer erreicht. Das Ganze funktioniert auch in die umgekehrte Richtung, die Auflösung von IP-Adressen in Namen, denn DNS-Server übersetzen Anfragen zwischen zwei Punkten hin und her und somit in beide Richtungen. Dieser Vorgang heißt Inverssuche (engl. reverse lookup).

Das Akronym DNS steht für "Domain Name System" und beschreibt damit vereinfacht gesagt, dass eine Domain allegro-packets.com in eine IP-Adresse 12.345.67.89 umgewandelt wird. Die Funktionalität von DNS lässt sich mit einem Telefonbuch vergleichen. Es verwaltet die Zuweisung zwischen Domainnamen und IP-Adressen, wie das klassische Telefonbuch zwischen Namen und Telefonnummern.

Abbildung 1: DNS ist das "Telefonbuch für IP-Adressen"

Der Domainnamensraum hat eine baumförmige Struktur, siehe dazu das nebenstehende Bild. Die Blätter des Baumes stellen die Labels dar. Labels sind Zeichenketten, die jeweils 1-63 Bytes lang sind und durch Punkte voneinander getrennt werden. In der Struktur wird eine Domain mit einem Punkt abgeschlossen - dieser wird beim Eingeben meist weggelassen. Formal gehört der Punkt aber zu einer vollständigen Domain dazu. Daneben besteht ein vollständiger Domain-Name aus der Verkettung aller Labels eines Pfades. Unsere vollständige Domain lautet also allegro-packets.com. und darf inklusive aller Punkte nicht 255 Bytes überschreiten. Der vollständige Domainname wird auch Fully Qualified Domain Name (FQDN) genannt.

Ein Domainname wird immer von rechts nach links aufgelöst. Das heißt, je weiter rechts ein Label steht, umso höher befindet es sich im Baum. Der Punkt am Ende der Domain trennt das Label für die erste Hierarchieebene von der Wurzel (hier root). Die erste Ebene ist die Top-Level-Domain. Die Grafik veranschaulicht den baumförmigen Aufbau einer Domain.

Abbildung 2: Fully Qualified Domain Name

Welche Probleme verursachen Paketverluste bei DNS

Wenn DNS-Anfragen nicht beantwortet werden können, sagt der Nutzer oft, dass das Netzwerk oder das Internet nicht funktionieren würden. Werden falsche DNS-Server verwendet, ist der Fehler selbst für den Netzwerk-Admininistrator schwer zu erkennen. Eine Störung innerhalb einer vernetzten IT-Infrastruktur kann erhebliche Kosten nach sich ziehen und eine Verfälschung von DNS-Daten Ausgangspunkt von Angriffen sein.

DNS ist ein sensibles Protokoll, wenn es um Paketverluste geht. Wenn "das Internet nicht geht", kann DNS durch Paketverluste gestört sein und in den unterschiedlichsten Anwendungsszenarien Fehler auslösen bzw. die Ursache für Störungen sein. Beispiele sind, wenn eine Website nicht aufgerufen, eine E-Mail nicht versendet, ein Bild nicht hochgeladen oder ein Stream nicht gestartet werden kann. Wenn durch Paketverluste bei DNS die IP-Adresse des Servers nicht ermittelt werden kann, entstehen Fehler dieser Art. Mit dieser grundlegenden Information erleichtern Sie Ihr Troubleshooting, denn ist klar, an welcher Stelle nach dem Fehler gesucht werden muss, kann dies viel Zeit, Geld und sogar Nerven ersparen.

Als Verbindungsprotokolle zum Transport von Daten verwendet DNS hauptsächlich UDP und als Alternative TCP, wenn die Maximalgröße eines UDP-Paketes von 512 Bytes überschritten wird. Heutzutage ist dies allerdings nicht selten der Fall. Warum gibt es diese Begrenzung also noch? Die UDP-Nutzlast hängt mit IPv4 zusammen.

Wird versucht Daten über TCP zu übertragen, obwohl TCP blockiert ist, muss die Anfrage nichtsdestotrotz über UDP beantwortet werden, obwohl die Maximalgröße des Pakets überschritten ist. Dies wird zum Problem und führt dazu, dass Pakete verworfen werden. Daraus resultierend, kommt es zu einer fehlerhaften DNS-Namensauflösung oder gar zu nicht auflösbaren Domains. Somit funktionieren Dienste, Anwendungen und "das Internet" langsam oder überhaupt nicht.

DNS mit dem Allegro Network Multimeter analysieren

Da das Internet heute ein fester Bestandteil von nahezu allen Unternehmen und Prozessen ist, muss ein störungsfreier Arbeitsablauf sichergestellt werden. Dabei helfen die Überprüfung und die Kontrolle von DNS, einen Überblick über "das Internet" zu behalten und im Notfall Fehler schnell zu finden und zu beheben. Mit dem Allegro Network Multimeter wird die Überprüfung des DNS-Protokolls deutlich erleichtert.

Seit dem Release 3.0 lassen sich noch mehr DNS-Details untersuchen und so Fehler noch leichter erkennen. Beispielsweise können noch mehr Statistiken zu Antwortzeiten, Status, der Häufigkeit von Anfragen und wie oft diese (nicht) beantwortet wurden, aufgerufen werden. Es muss nicht mehr langwierig ein Pcap untersucht werden, um einen Fehler zu finden. Mit dem DNS-Modul kann die Suchzeit verringert und direkt die unterschiedlichen DNS-Statistiken aufgerufen werden. Die DNS-Analyse kann sowohl live als auch für ausgewählte Zeitintervalle durchgeführt werden.

Für mehr Informationen zu weiteren Features und Neuerungen des Allegro Network Multimeter schauen Sie sich gerne unser Release-Video an. Ab Minute 12:23 redet der Geschäftsführer von Allegro Packets Klaus Degner über die DNS-Statistiken.

DNS-Modul Vorstellung

Das Dashboard zeigt viele unterschiedliche Statistiken zu Anfrage- und Antwortzeiten der Namensauflösung an, ohne eine aktive Suche durchzuführen. Dadurch ist es dem Allegro Network Multimeter möglich, eine effiziente passive Namensauflösung umzusetzen.

Das DNS-Modul speichert für jeden Domainnamen die zuletzt bekannt gegebene IP-Adresse. Aufgrund von Lastausgleichsmechanismen in beispielsweise Content-Delivery-Netzwerken und im virtuellen Hosting kann ein Name zu mehreren IP-Adressen aufgelöst werden. Daneben kann eine einzelne IP-Adresse auch mehrere Namen verwenden. Das Allegro-Dashboard zeigt immer die neuesten Informationen an, die im Netzwerk gesehen wurden.

Das DNS-Modul besteht aus fünf Tabs: DNS-Server, Aufgelöste Namen, Server-Antwortzeiten, Server-Antwort-Codes und DNS-Record-Typen. Diese werden im Folgenden und im Produkt-Wiki näher erörtert.

DNS-Server

Hier werden für jeden Server alle vergangenen und aktuellen Anfragen und Antworten dargestellt. In der Tabelle werden Detailansichten für den DNS-Server, zu den einzelnen IP-Adressen und den IP-Verbindungen angezeigt. Für jede einzelne DNS-Verbindung können detaillierte Listen, z.B. zu Antwortzeiten oder den unbeantworteten Anfragen, abgerufen werden.

Abbildung 3: Das DNS-Modul ist unter Layer 3 IP zu finden

Aufgelöste Namen

Diese Registerkarte zeigt eine Tabelle mit allen IP-Adressen und ihrem Namen an. Die Spalte "Ablaufzeit" enthält den Zeitpunkt, ab dem der Name nicht mehr gültig sein wird. Normalerweise verwenden DNS-Server nur eine kurze Zeitspanne, damit die Clients falsche Namen nicht zu lange speichern. Die Spalte "DNS-Server-IP" listet die IP-Adresse des DNS-Servers auf, der auf eine Anfrage reagiert hat. Oft, vor allem in kleineren Netzwerken, gibt es nur einen Server, aber den Clients steht es frei, jeden anderen verfügbaren DNS-Server zu verwenden.

IP Statistiken aufgelöste Namen
Abbildung 4: Angefragte Domain zu IP-Adressen

Server-Antwortzeiten

Dieses Tab zeigt die globalen Statistiken zu den Zeiten zwischen einer Anfrage eines Clients und der Antwort des Servers pro DNS-Server auf. Hier können einzelne Abschnitte ausgewählt werden, die genauer betrachtet werden sollen.

Abbildung 5: Server-Antwortzeiten

Server-Antwort-Codes

Unter dem Reiter Server-Antwort-Codes können global Antwort-Codes angesehen werden. Zusätzlich werden alle Codes für einzelne DNS-Server in einer Liste dargestellt. Die Diagramme verdeutlichen die Verteilung über die Zeit mithilfe unterschiedlicher Farbmarkierungen (siehe Bild).

Abbildung 6: Server-Antwort-Codes

DNS-Record-Typen

Im letzten Tab wird die Menge der DNS-Record-Typen global für alle DNS-Server dargestellt. Für die am häufigsten verwendeten Eintragstypen A, AAAA, CNAME und MX können zusätzlich detaillierte Diagramme abgerufen werden.

DNS record types
Abbildung 7: DNS-Record-Typen

Use Case: Identifikation der verwendeten DNS-Server und ihrer Nutzer

Häufig gibt es in Unternehmen und Organisationen einen lokalen DNS Server, der für die Namensauflösung verwendet werden sollte. Dieser wird dann auch über Mechanismen wie z.B. DHCP automatisch auf den Client-Systemen übernommen. Doch nicht alle Systeme sind korrekt konfiguriert und manchmal werden auch absichtlich externe DNS Server verwendet. Welche DNS Server verwendet werden, kann man mit dem Allegro Network Multimeter ganz leicht ermitteln:

Unter der Kategorie "L3 - IP" im Punkt "DNS Statistiken" zeigt das erste Tab gleich eine übersichtliche Liste aller verwendeten DNS Server. Hier ist das Verkehrsaufkommen der Server grafisch dargestellt und die Liste kann z.B. nach der Anzahl der an den DNS Server gestellten Anfragen sortiert werden. Ist hier ein unerwarteter Server aufgelistet, so lassen sich die Verbindungen zu diesem Server leicht anzeigen. Ein Klick auf "DNS Verbindungen" führt zu einer Liste, die sämtliche DNS Verbindungen zu diesem Server anzeigt und ermöglicht so die Identifikation der Systeme, die diesen DNS Server verwenden.

Für erweiterte Informationen zu den einzelnen Tabs besuchen Sie das Produkt-Wiki.

zurück zum Blog

Tausende IT-Experten vertrauen auf Allegro Packets

Allegro Network Multimeter

Infos anfordern

Kontakt

Sie haben Fragen?
0341 / 59 16 43 53

Technik-Partner

Auszeichnungen