BrowserTools
Werbung
Startseite / Netzwerk / DNS-Abfrage

DNS-Abfrage

Frage DNS-Einträge (A, AAAA, MX, TXT, NS, CNAME, SOA, CAA) für jede öffentliche Domain ab.

DNS-Abfrage wird geladen… Wenn nichts passiert, aktiviere JavaScript.

Das Domain Name System (DNS) ist das Telefonbuch des Internets, das menschenlesbare Hostnamen wie example.com in die numerischen IP-Adressen übersetzt, die Computer tatsächlich zum Weiterleiten des Datenverkehrs verwenden. Ohne DNS müsste jede nutzende Person die IP-Adressen für jede besuchte Website auswendig lernen. DNS ist eine hierarchische, verteilte Datenbank, die von autoritativen Nameservern auf der ganzen Welt verwaltet wird, und es verarbeitet Milliarden von Abfragen pro Sekunde. Über einfache Adressabfragen hinaus transportieren DNS-Einträge eine reiche Vielfalt an Informationen, darunter Konfigurationen von Mailservern, Tokens zur Verifizierung des Domain-Eigentums, Sicherheitsrichtlinien und kryptografische Signaturen.

Häufig gestellte Fragen

Welche Daten sendet dieses Werkzeug an eure Server?
Nur der Domainname, den du in das Suchfeld eingibst, wird an unseren Server gesendet. Wir protokollieren deine IP-Adresse nicht zusammen mit deinen Abfragen und speichern keine personenbezogenen Informationen. Abfrageergebnisse werden kurz zwischengespeichert, um die Last zu verringern, aber nicht mit einzelnen Nutzenden verknüpft.
Welche DNS-Eintragstypen werden unterstützt?
Das Werkzeug unterstützt die Eintragstypen A, AAAA, MX, TXT, NS, CNAME, SOA und CAA. Diese decken die große Mehrheit der betrieblichen Anforderungen ab, von der Adressauflösung und dem Mail-Routing bis zur Domain-Verifizierung und den Einschränkungen für Zertifizierungsstellen. PTR-Abfragen (Reverse DNS) sind derzeit nicht enthalten.
Meine DNS-Änderung wird nicht angezeigt, wie lange dauert die Verbreitung?
Die Verbreitungszeit hängt vom TTL des alten Eintrags ab. War der vorherige TTL 3600 Sekunden (eine Stunde), liefern Resolver, die den alten Eintrag zwischengespeichert haben, ihn bis zu einer Stunde weiter aus, bevor sie erneut abfragen. Einen niedrigen TTL (300-600 Sekunden) vor einer geplanten Änderung zu setzen, beschleunigt die Verbreitung erheblich. Die weltweite Verbreitung zu allen Resolvern kann im schlimmsten Fall bis zu 48 Stunden dauern.
Was sagt mir der SOA-Eintrag?
Der Start-of-Authority-Eintrag nennt den primären Nameserver der Zone, die zuständige Kontakt-E-Mail (mit einem Punkt statt @ kodiert), die Seriennummer der Zone (ein Versionszähler, der bei jeder Änderung erhöht wird) und Zeitparameter für die Aktualisierungs- und Wiederholungsintervalle der sekundären Nameserver. Sind sich zwei Nameserver über den Zoneninhalt uneinig, zeigt der Vergleich ihrer SOA-Seriennummern, welcher die neuesten Daten hat.
Gibt es Ratenbegrenzungen für die Anzahl der Abfragen, die ich durchführen kann?
Ja. Um den Dienst kostenlos und für alle verfügbar zu halten, gelten pro IP Ratenbegrenzungen für die DNS-Abfragen im Backend. Eine leichte alltägliche Nutzung ist nie betroffen. Automatisierte Massenabfragen werden gedrosselt und können vorübergehend gesperrt werden. Für skriptgesteuerte Anforderungen mit hohem Volumen solltest du in Betracht ziehen, einen eigenen Resolver zu betreiben oder eine kommerzielle DNS-API zu verwenden.
Wie verhält sich das im Vergleich zur Ausführung von 'dig' oder 'nslookup' in einem Terminal?
Das Werkzeug ist für die unterstützten Eintragstypen funktional gleichwertig zu 'dig @8.8.8.8 example.com ANY'. Es fragt vom Standort unseres Servers aus ab, was nützlich sein kann, um zu prüfen, wie das DNS aus einer anderen Netzwerkregion aussieht. 'dig' und 'nslookup' fragen von deinem lokalen Rechner aus ab und können auch bestimmte Nameserver ansteuern, was beim Testen von Zonenänderungen vor ihrer Verbreitung nützlich ist.
Was ist DNSSEC und werde ich es in den Ergebnissen sehen?
DNSSEC (DNS Security Extensions) fügt DNS-Einträgen kryptografische Signaturen hinzu, damit Resolver überprüfen können, dass Antworten während der Übertragung nicht manipuliert wurden. Wenn DNSSEC aktiviert ist, siehst du in einer rohen dig-Abfrage zusätzliche Eintragstypen wie RRSIG, DNSKEY und DS. Dieses Werkzeug konzentriert sich derzeit auf die betrieblichen Eintragstypen statt auf die rohen DNSSEC-Kettendaten, aber eine signierte Zone zeigt NS- und SOA-Einträge mit korrekter Delegierung.
Protokolliert dieses Werkzeug meine Abfragen für Analyse oder Werbung?
Nein. Domain-Abfragen werden ausschließlich verwendet, um die Suche durchzuführen und dir die Ergebnisse zurückzugeben. Wir erstellen keine Abfrageverläufe, geben keine Daten an Werbetreibende weiter und verknüpfen Abfragen nicht mit Benutzerkonten. Aggregierte, nicht identifizierende Nutzungsstatistiken (wie die Gesamtzahl der Abfragen) können zur Kapazitätsplanung erfasst werden.
Was ist ein CNAME-Eintrag und wann sollte ich ihn verwenden?
Ein CNAME-Eintrag (Canonical Name) erstellt einen Alias von einem Hostnamen zu einem anderen. Zum Beispiel kann www.example.com per CNAME auf example.com verweisen, sodass beide zur selben IP-Adresse aufgelöst werden. Wichtig ist, dass ein CNAME nicht mit anderen Eintragstypen auf demselben Hostnamen koexistieren kann, weshalb der Zonen-Apex (die nackte Domain wie example.com) keinen CNAME verwenden kann, dort musst du stattdessen einen A-Eintrag verwenden.
Kann ich DNS-Einträge für private oder interne Domains abfragen?
Nein. Abfragen werden über die öffentliche DNS-Infrastruktur aufgelöst, und unser Server fragt nur öffentlich routbare Domains ab. Interne Hostnamen, die nur auf einem privaten Unternehmens-DNS-Server oder einem Heimrouter existieren (wie printer.local oder server.corp), werden nicht aufgelöst. Um internes DNS abzufragen, müsstest du 'dig' oder 'nslookup' aus dem Netzwerk heraus ausführen, in dem diese Einträge gehostet werden.

Über DNS-Abfrage

Systemadministratoren greifen zu DNS-Abfragewerkzeugen, wenn sie Probleme bei der E-Mail-Zustellung beheben (Prüfung der MX- und SPF-TXT-Einträge), Website-Ausfälle diagnostizieren (Bestätigung, dass A- und AAAA-Einträge auf den richtigen Server zeigen) oder überprüfen, ob sich eine kürzliche DNS-Änderung weltweit verbreitet hat. Entwickelnde nutzen es, um zu bestätigen, dass Domain-Verifizierungs-Challenges für SSL-Zertifikate oder Drittanbieterdienste wie die Google Search Console korrekt veröffentlicht sind. Sicherheitsteams fragen CAA-Einträge ab, um einzuschränken, welche Zertifizierungsstellen Zertifikate für eine Domain ausstellen dürfen, und verringern so das Risiko einer Fehlausstellung. Selbst gewöhnliche Nutzende können davon profitieren zu prüfen, ob ihr Domain-Registrar die Nameserver korrekt eingerichtet hat.

Dieses Werkzeug führt Live-DNS-Abfragen von unserem Server gegen die öffentliche DNS-Infrastruktur durch, sodass die Ergebnisse widerspiegeln, was das weitere Internet sieht, und nicht deinen lokalen Resolver oder den Cache deines Internetanbieters. Du kannst alle wichtigen Eintragstypen abfragen: A (IPv4-Adresse), AAAA (IPv6-Adresse), MX (Mailaustausch), TXT (Text, verwendet für SPF, DKIM und Domain-Verifizierung), NS (Nameserver), CNAME (kanonischer Namensalias), SOA (Start of Authority, mit dem primären Nameserver und der Seriennummer der Zone) und CAA (Certification Authority Authorization). Abfragen werden auf unserer Seite kurz zwischengespeichert, um die Last auf den autoritativen Nameservern zu verringern und den Dienst für alle kostenlos zu halten. Nach der Rückgabe der Antwort werden keine personenbezogenen Daten aufbewahrt.

Achte beim Auswerten der Ergebnisse auf den TTL-Wert (Time to Live) neben jedem Eintrag, er sagt dir, wie lange Resolver diesen Eintrag zwischenspeichern, bevor sie ihn erneut abfragen. Ein sehr niedriger TTL (unter 300 Sekunden) bedeutet oft, dass die Domain-Inhaberin oder der Domain-Inhaber eine Änderung vorbereitet oder ein Failover verwaltet. Wenn du nach einer DNS-Änderung die Verbreitung untersuchst, denke daran, dass der Resolver deines eigenen Anbieters den alten Wert möglicherweise bis zum Ablauf des TTL zwischenspeichert. Verwende die Seriennummer des SOA-Eintrags, um zu bestätigen, dass der autoritative Server die neuesten Zonendaten hat. Frage zur Fehlerbehebung bei E-Mails die MX- und TXT-Einträge gemeinsam ab (suche nach v=spf1), um die vollständige Konfiguration für Mail-Routing und Spam-Abwehr zu verstehen.

Wie das DNS zum unsichtbaren Fundament des Internets wurde

Bevor das DNS 1983 erfunden wurde, war jeder Computer im ARPANET auf eine einzige Textdatei namens HOSTS.TXT angewiesen, die am Stanford Research Institute gepflegt und von jeder verbundenen Maschine regelmäßig heruntergeladen wurde. Mit dem Wachstum des Netzes wurde dieser Ansatz unhaltbar, die Datei wurde mehrmals täglich aktualisiert, und die Bandbreitenkosten ihrer weltweiten Verteilung belasteten das Netz bereits. Paul Mockapetris vom Information Sciences Institute der USC entwarf die DNS-Spezifikation, veröffentlicht in den RFC 882 und 883 im November 1983, und schuf damit die hierarchische, verteilte Datenbank, die wir bis heute verwenden.

Das ursprüngliche DNS hatte keine eingebaute Sicherheit, eine bewusste Designentscheidung, um das Protokoll einfach und schnell zu halten. Diese Auslassung führte schließlich zu schwerwiegenden Schwachstellen: 2008 entdeckte der Sicherheitsforscher Dan Kaminsky eine kritische Cache-Poisoning-Lücke, die Angreifern erlauben konnte, ganze Domains auf bösartige Server umzuleiten. Die Lücke betraf praktisch jeden DNS-Resolver der Welt und erforderte eine beispiellose koordinierte Notfall-Patch-Veröffentlichung bei allen großen Anbietern gleichzeitig, eine der größten koordinierten Sicherheitsreaktionen der Internetgeschichte.

Das DNS trägt heute weit mehr als die Adressauflösung. Moderne TXT-Einträge transportieren SPF-Richtlinien, die autorisierte Mailabsender festlegen, DKIM-Public-Keys, die E-Mail-Signaturen authentifizieren, und Tokens zur Domain-Kontrollvalidierung, die es Zertifizierungsstellen erlauben, den Domain-Besitz ohne jegliche menschliche Interaktion zu überprüfen. Die bescheidene DNS-Abfrage, die typischerweise in unter 50 Millisekunden abgeschlossen ist, hat sich still und leise zu einer kritischen Sicherheits- und Identitätsschicht für das gesamte Internet entwickelt.

Werbung
Werbung
Werbung