Dns betydning

DNS er et hierarkisk og distribueret navnesystem, der forbinder brugere og tjenester på internettet. Når du skriver et domænenavn i en browser, foretager din enhed en DNS‑forespørgsel. En resolver (ofte din internetudbyders eller en offentlig resolver) spørger de autoritative navneservere - via roden og TLD’er (.dk, .com osv.) - og returnerer et svar, som caches i en periode bestemt af TTL (Time To Live). Denne arkitektur giver:

• Navneopslag (A/AAAA), så domæner kan nås via IP
• Mailrouting (MX), så e‑mails leveres korrekt
• Serviceopslag (SRV, NAPTR) for fx VoIP eller AD
• Sikkerhed og politik (DNSSEC, CAA, SPF/DMARC via TXT)
• Reverse DNS (PTR), der oversætter IP til navn

DNS står for Domain Name System; på dansk omtales det ofte som domænenavnesystemet. I løbende tekst ses både DNS (akronym, udtale “di‑en‑es”) og dns som almindeligt substantiv. Almindelige afledninger er fx DNS‑server, DNS‑opslag, DNS‑zone. Pluralis bruges typisk uændret (“flere DNS‑servere”).

• Zone: Et sammenhængende stykke af navnerummet, administreret af en autoritativ server.
• Delegering: Overdragelse af ansvar for en underzone via NS‑poster (ofte med glue A/AAAA hos TLD).
• Autoritativ navneserver: Udsteder endelige svar for zonen.
• Resolver/recursor: Finder svar ved at spørge videre i hierarkiet og cache dem.
• TTL: Hvor længe et svar må caches.
• SOA: Zone‑metadata (serienummer, ansvarlig e‑mail, timers osv.).
• EDNS(0): Udvidelser, bl.a. til større UDP‑pakker og ekstra felter.
• RCODE: Svarstatus (fx NOERROR, NXDOMAIN, SERVFAIL).

1. Din enhed spørger sin lokale resolver om fx www.homepage.dk.
2. Resolveren spørger en root‑server, får henvisning til .dk’s TLD‑servere.
3. TLD‑serverne henviser til domænets autoritative NS.
4. Autoritativ server svarer med A/AAAA (og evt. CNAME), som caches efter TTL.

DNS bruger primært UDP port 53; TCP benyttes ved store svar, retransmissioner og zoneoverførsler (AXFR/IXFR).

• “Kan du tjekke vores DNS? Vores MX ser ud til at pege forkert.”
• “Efter ændringen af A‑posten skal vi lige vente på DNS‑cachen udløber.”
• “Vi aktiverede DNSSEC og publicerede DS hos registraren.”
• “Brug DoH/DoT for at skjule DNS‑trafikken for lokale sniffer‑angreb.”

Kommandoer til fejlfinding:

# Slå A og AAAA op
dig homepage.dk A +short
dig homepage.dk AAAA +short
# Følg hele kæden
dig homepage.dk +trace
# Tjek MX og SPF
dig example.com MX +short
dig example.com TXT +short
# Reverse lookup
dig -x 203.0.113.42 +short
# Med DNSSEC‑flag
dig example.com A +dnssec

Eksempel på zoneudsnit:

$ORIGIN example.com.
$TTL 3600
@   IN SOA ns1.dns.host. hostmaster.example.com. (
        2026012601  3600 600 604800 300 )
    IN NS  ns1.dns.host.
    IN NS  ns2.dns.host.
    IN A   203.0.113.10
www IN CNAME @
mail IN A   203.0.113.20
    IN MX 10 mail.example.com.
_dmarc  IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]"

• Synonymer/nær‑synonymer: domænenavnesystemet, navnesystemet for internetdomæner.
• Relaterede: navneserver, resolver, zonefil, TLD, root‑server, WHOIS (beslægtet men ikke det samme), CDN, DHCP, IP, mDNS (.local).

• Ingen direkte antonym. Kontrastive begreber: direkte brug af IP‑adresser, statiske hosts‑filer, proprietære navnesystemer, eller lokale navneprotokoller (mDNS/NetBIOS) uden globalt hierarki.

• Før DNS: central fil (HOSTS.TXT) hos SRI‑NIC.
• 1983: Paul Mockapetris introducerer DNS (RFC 882/883; senere erstattet af RFC 1034/1035).
• 1980’erne/90’erne: BIND bliver de facto referenceimplementering.
• Root‑servere organiseres i bogstaverne A-M, globalt anycastet.
• 2005: DNSSEC (RFC 4033-4035) standardiseres; senere NSEC3 (RFC 5155).
• 2016: DNS over TLS (DoT, RFC 7858). 2018: DNS over HTTPS (DoH, RFC 8484). 2022: DNS over QUIC (DoQ, RFC 9250).
• 2008: Kaminsky‑angrebet accelererer udbredelse af bedre randomisering og patching.
• IDN/punycode (xn--) muliggør internationale domænenavne.

• DNSSEC: Signerer zonedata, så forfalskning opdages. Kræver DS hos registraren.
• CAA: Begrænser hvilke CA’er der må udstede certifikater for et domæne.
• Privatliv: DoT/DoH/DoQ krypterer forespørgsler; QNAME‑minimering reducerer læk af fulde navne.
• Angreb: Cache‑forgiftning, typosquatting, DNS‑tunneling, forstærkningsangreb (åbne resolvere). Afhjælpning: lukkede resolvere, rate‑limiting, DNS Cookies, DNSSEC, korrekt anycast‑/BGP‑hygiejne.
• “DNS‑propagation”: Ikke en aktiv udrulning men blot caches der udløber efter TTL. Ændringer i NS/glue hos TLD har også egne TTL’er.
• CNAME ved apex: Tillades ikke i standard DNS; brug ALIAS/ANAME/flattening hos udbydere.
• SPF: Anbefales via TXT (SPF‑RR‑typen er forældet).

• Vælg navneservere (mindst to) med geografisk og netværksmæssig redundans.
• Sæt passende TTL’er (fx 300-3600s for web, længere for NS/SOA). Sænk TTL nogle dage før større flytninger.
• Kontrollér DS efter DNSSEC‑aktivering; test med dig +dnssec og online‑valideringsværktøjer.
• Fejlfinding: tjek NOERROR/NXDOMAIN/SERVFAIL; prøv alternative resolvere; flush lokale caches.

  • Windows: ipconfig /flushdns
  • macOS: sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
  • Linux: afhænger af nscd/systemd‑resolved/unbound

• Reverse DNS for mailservere: koordinér PTR med udbyderen af IP‑rummet.
• Split‑horizon DNS: forskellige svar internt/eksternt - brug med omtanke.

• RFC 1034/1035: Grundlæggende DNS‑koncept og protokol.
• RFC 2181: Klargøringer; RFC 2308: Negativ caching.
• RFC 6891: EDNS(0); RFC 8499: DNS‑terminologi.
• RFC 4033-4035: DNSSEC; RFC 5155: NSEC3.
• RFC 7858: DoT; RFC 8484: DoH; RFC 9250: DoQ.
• Andre: RFC 3596 (AAAA), RFC 7766 (DNS over TCP), RFC 7871 (EDNS Client Subnet), RFC 9018 (DNS Cookies).

• mDNS/Bonjour: Lokal navneopslag i .local via multicast.
• DNS64/NAT64: Hjælper IPv6‑kun klienter med at nå IPv4‑tjenester.
• DANE/TLSA: Binder TLS‑certifikater til DNSSEC‑signerede poster.
• CDN og geo‑DNS: Returnerer forskellige IP’er afhængigt af klientplacering (evt. via EDNS Client Subnet).

• Skriv almindeligvis med versaler: “DNS”. Som substantiv kan “dns” forekomme i uformel tekst.
• Hyppige sammensætninger: “DNS‑forespørgsel”, “DNS‑cache”, “DNS‑udbyder”, “DNS‑opslag”.
• Udtale: “di‑en‑es”. På dansk kan man med fordel forklare det som “domænenavnesystemet”.

DNS er internettets navnesystem: det forbinder domænenavne med adresser og politikker, muliggør e‑mail, serviceopdagelse og sikkerhed via DNSSEC og CAA, og det fungerer effektivt takket være hierarki, delegering og caching. Forståelse af poster, TTL’er, autoritative servere og resolvere er nøglen til at konfigurere, sikre og fejlfinde domæner i praksis.