Uitlegparty: Domain Name System

De .org-domeinnaam van Wikileaks ging vorige week offline. De dns-provider van Wikileaks, EveryDNS, trok de stekker eruit na aanhoudende serveraanvallen waardoor ook zijn hele eigen infrastructuur in gevaar kwam. EveryDNS is een gratis aanbieder van dns-diensten. Zo'n 130 miljoen domeinnamen verwijst EveryDns door naar de ip-adressen van de bijbehorende servers.

DNS is een cruciaal onderdeel van internet: het zorgt ervoor dat we geen nummercombinaties van sites hoeven te onthouden maar gewoon domeinnamen kunnen intikken in onze browser.

Telefoonboek
DNS staat voor Domain Name System. Dit wereldwijde systeem werkt als een soort telefoonboek voor websites. DNS koppelt servernamen (hostnames) aan ip-adressen en andersom. Je tikt www.bright.nl in en DNS vertaalt dat automatisch in 82.94.203.198. Ook al wisselt de achterliggende server van ip-adres, voor bezoekers blijft Bright.nl gewoon werken, mits de wijzigingen goed in de DNS-server zijn aangebracht door de sitebeheerder.
Amazon, het bedrijf dat Wikileaks als hostingbedrijf de deur wees, is overigens maandag toevallig ook een DNS-dienst voor zijn klanten gestart.



DNS wordt voor meer gebruikt dan alleen doorverwijzen van domeinnamen naar servers. Het systeem is ook belangrijk voor het instellen van de mailservers van een domein. Stel je voor dat je al die cijfers zou moeten onthouden als je iemand wilt mailen. DNS is ook op het eigen thuisnetwerk te gebruiken en op lokale computers. Door het hosts-bestand in het besturingssysteem aan te passen is het mogelijk een machine een makkelijkere naam te geven of advertentieservers te blokkeren zodat de banners niet worden getoond.

Geen centrale lijst
Op het web is DNS een hiërarchisch systeem van gedistribueerde databases. Er is dus geen centrale, wereldwijde lijst van namen en nummers van alle sites. Naamservers zijn elk verantwoordelijk voor hun eigen domeinen in hun eigen zone. Ze kunnen andere naamservers toewijzen voor subdomeinen. Dat werkt ook op groter niveau.

Zo hebben internetproviders hun ook eigen dns-cachingservers die vaak bezochte sites koppelen aan nummers. Caching betekent dat dat een eenmaal ontvangen DNS-antwoord enige tijd bewaard blijft. De beheerder kan zelf instellen hoe lang dat gebeurt.

Rootservers en tld's
Bij het intikken van een domeinnaam in de browser gaat het DNS-verzoek bijna altijd eerst naar de speciale DNS-server van je internetprovider. Staat het niet in de cache, dan gaat het verzoek door naar een DNS-server hoger in de hiërarchie, net zolang totdat de DNS-server die het antwoord weet is bereikt. Op wereldniveau zijn er DNS-rootservers die opzoeken of een domeinextensie als .org, .de of .nl of .tk bestaat. Dit zijn de zogeheten top level domainnames. Er zijn wereldwijd meer dan 200 DNS-rootservers.

Elk top-level domein (tld) wordt toegewezen door de ICANN, de Internet Corporation for Assigned Names and Numbers, de organisatie die het namen- en nummersysteem van internet beheert. ICANN heeft het onlangs mogelijk gemaakt dat internetters in diverse landen nu ook hun domeinnamen in hun eigen schrift kunnen invoeren. Elk TLD wordt beheerd door een organisatie. Voor .nl is dat de SIDN. Na het opvragen van een site gaat er een DNS-verzoek naar de zogeheten resolver van je provider. Als die het adres nog niet kent, gaat het verzoek door naar de tld, en indien nodig naar een rootserver.

<object width="390" height="321" data="http://www.youtube.com/v/hcaJ1Vp_Ntg" type="application/x-shockwave-flash"><param name="data" value="http://www.youtube.com/v/hcaJ1Vp_Ntg"><param name="src" value="http://www.youtube.com/v/hcaJ1Vp_Ntg"></object>

Misbruik
Rond DNS zijn allerlei vormen van misbruik mogelijk. DNS-servers zijn bijvoorbeeld te besmetten met virussen die ervoor kunnen zorgen dat je wordt verwezen naar malafide sites. Een andere vorm van misbruik is DNS cache poisoning, waarbij een DNS-server wordt misleidt zodat hij denkt authentieke informatie te ontvangen over een domein, terwijl dat niet zo is. DNS maakt standaard geen gebruik van cryptografische sleutels zodat misbruik op allerei manieren mogelijk is. Een uitbreiding op het DNS-protocol is DNSSEC dat wel met cryptografische sleutels werkt.

Zo'n 10 procent van de servers wereldwijd is kwetsbaar voor een DNS cache poisoning-lek dat ruim twee jaar geleden in het nieuws was. Ook veel thuismodems zijn kwetsbaar voor DNS-lekken, waardoor ze zijn in te zetten voor serveraanvallen. Vorig jaar was volgens het bedrijf Infoblox al 80 procent van de dsl- en kabelmodems lek. Modems zijn vaak zo geconfigureerd dat ze alle DNS-verzoeken accepteren, ongeacht de herkomst.

<object width="390" height="321" data="http://www.youtube.com/v/1d1tUefYn4U" type="application/x-shockwave-flash"><param name="data" value="http://www.youtube.com/v/1d1tUefYn4U"><param name="src" value="http://www.youtube.com/v/1d1tUefYn4U"></object>

Alternatieve DNS-servers
Als de DNS-servers bij een provider platliggen, om wat voor reden dan ook, zorgt dat ervoor dat klanten denken dat hun internetverbinding eruit ligt. Als ze een andere dns-server zouden instellen, kunnen ze echter gewoon verder surfen. Dat gebeurde vorige week maandag bij de grote Amerikaanse provider Comast, die kampte met een grote DNS-storing. Internetters kunnen in die gevallen uitwijken naar alternatieve dns-servers als OpenDNS of Google Public DNS.

Het enige wat je ervoor hoeft te doen is de netwerkinstellingen aanpassen om een bepaalde reeks ip-adressen te gebruiken voor DNS. Bij Google Public DNS zijn dat bijvoorbeeld de ip-adressen 8.8.8.8 en 8.8.4.4. Hoe je dat instelt bij Windows 7 en Mac OS X lees je hier. Vaak zijn meerdere DNS-lookups nodig voordat complexe pagina starten met laden. Hoe sneller de DNS-server hoe sneller het websurfen lijkt te gaan. Google claimt dat zijn Public DNS de browse-ervaring kan versnellen en dat zijn DNS-servers veiliger zijn dan die van veel isp's.

OpenDNS is net als Google Public DNS gratis en biedt onder meer automatische correctie van verkeerd gespelde domeinnamen, beveiliging tegen phishing en het plaatsen van 25 domeinen op een zwarte lijst. Uitgebreidere functies zijn alleen tegen betaling beschikbaar, zoals het blokkeren van meer sites. Voor thuisgebruik kosten de extra diensten 10 dollar per jaar. Ook OpenDNS is vaak sneller dan de DNS-server van je provider.

Handig voor thuis
Dynamische DNS-providers als DynDNS bieden tot slot een manier om eigen computers vaste hostnamen te geven. Dat is handig voor als je vaak op reis bij bestanden op je thuis-pc wilt. Zo krijgt die computer een makkelijker te onthouden hostnaam, die hetzelfde blijft. Dat is belangrijk omdat bij veel providers automatisch om de zoveel tijd de ip-adressen van thuisgebruikers veranderen. Door dynamische DNS-diensten te gebruiken blijft de computer via dezelfde naam te benaderen.