DNS Upstream-Server
Inhalt
Ablauf einer DNS-Anfrage
- Wenn du eine Domain (z.B.
www.infosophia.eu) im Browser eingibst, sendet dein Rechner die Anfrage zunächst an den lokal eingestellten DNS-Resolver (oft der Router oder ein lokaler DNS-Cache). - Kann dieser Resolver die Adresse nicht aus seinem eigenen Cache beantworten, leitet er die Anfrage an den konfigurierten Upstream-DNS-Server weiter (z.B. Quad9, Cloudflare oder den DNS-Server deines Internetanbieters).
- Der Upstream-Server sucht die Antwort entweder im eigenen Cache oder fragt weitere Server in der DNS-Hierarchie (Root-, TLD- und autoritative Nameserver) ab, bis die IP-Adresse gefunden ist, und sendet diese Information dann zurück an deinen Rechner. So gelangt deine Anfrage Schritt für Schritt von deinem Rechner über den lokalen Resolver zum Upstream-DNS-Server und von dort (ggf. über weitere Server) zur endgültigen Antwort.
Begriffserklärungen
- Ein DNS-Upstream-Server ist ein externer DNS-Server, an den dein lokaler DNS-Resolver (z.B. auf deinem Rechner oder in deinem Heimnetzwerk) DNS-Anfragen weiterleitet, wenn er sie nicht selbst beantworten kann.
- Das DNS (Domain Name System) ist das weltweite
Adressbuch des Internets, das Domainnamen wie
infosophia.euin IP-Adressen übersetzt. - DoH (DNS over HTTPS): ist ein Protokoll, das DNS-Anfragen verschlüsselt über das HTTPS-Protokoll überträgt, um die Privatsphäre und Sicherheit zu erhöhen.
- DoT (DNS over TLS): ist ein Protokoll, das DNS-Anfragen durch Verschlüsselung mit TLS schützt und so vor Abhören und Manipulation bewahrt.
- DNSSEC (Domain Name System Security Extensions): ist eine Sicherheitserweiterung für DNS, die die Authentizität und Integrität von DNS-Antworten durch digitale Signaturen gewährleistet.
- DNSCrypt: ist ein Protokoll, das DNS-Anfragen und -Antworten zwischen dem Benutzer und dem DNS-Resolver verschlüsselt und authentifiziert.
- QUIC ist ein von Google entwickeltes, verbindungsorientiertes und verschlüsseltes Transportprotokoll auf Basis von UDP, das schnellere und sicherere Datenübertragung ermöglicht, indem es die Vorteile von TCP, TLS und HTTP/2 kombiniert und standardmäßig TLS 1.3-Verschlüsselung verwendet.
Nur die Protokolle QUIC, DoH (DNS over
HTTPS), DoT (DNS over TLS) und
DNSCrypt verschlüsseln die Verbindung zwischen deinem
Gerät und dem DNS-Resolver vollständig Ende-zu-Ende, sodass Dritte die
DNS-Anfragen und -Antworten auf dem Transportweg nicht mitlesen oder
manipulieren können.
DNSSEC hingegen sichert nicht die Verbindung selbst,
sondern stellt durch digitale Signaturen sicher, dass die erhaltenen
DNS-Daten authentisch und unverändert sind; die Übertragung bleibt dabei
unverschlüsselt[5].
Das klassische DNS ist grundsätzlich unverschlüsselt
und daher anfällig für Abhören und Manipulation.
Unterstützung durch Betriebssysteme
| Betriebssystem | Klassisches DNS | DoH (DNS over HTTPS) | DoT (DNS over TLS) | DNSCrypt | DoQ (DNS over QUIC) |
|---|---|---|---|---|---|
| Windows | Ja | Teilweise (ab Windows 11, systemweit & Edge/Firefox/Chrome) | Nein (systemweit), aber mit Tools | Mit Tools (z.B. Simple DNSCrypt) | Nein (nur mit Drittsoftware) |
| macOS | Ja | Ja (ab macOS 11 mit Profilen) | Ja (ab macOS 11 mit Profilen) | Mit Tools (z.B. dnscrypt-proxy) | Nein (nur mit Drittsoftware) |
| iOS | Ja | Ja (ab iOS 14 mit Profilen) | Ja (ab iOS 14 mit Profilen) | Mit Apps (z.B. dnscrypt-proxy, Trust DNS) | Nein (nur mit Drittsoftware) |
| Android | Ja | Ja (ab Android 9 in Apps wie Firefox/Chrome; ab Android 11 systemweit) | Ja (ab Android 9 systemweit) | Mit Apps (z.B. RethinkDNS, dnscrypt-proxy) | Nein (nur mit Drittsoftware) |
| Linux | Ja | Ja (mit Tools wie systemd-resolved, dnscrypt-proxy, oder Browsern) | Ja (mit systemd-resolved, stubby, unbound) | Ja (z.B. dnscrypt-proxy) | Ja (mit Tools wie dnscrypt-proxy, unbound) |
- Viele Browser (z.B. Firefox, Chrome, Edge) unterstützen DoH unabhängig vom Betriebssystem.
- Für DNSCrypt und DoQ gibt es plattformübergreifende Tools wie dnscrypt-proxy, die auf allen Systemen eingesetzt werden können.
- Einige geschlossene Router unterstützen bereits DoH und DoT. Die Unterstützung für offene Router, wie OpenWRT entspricht der Linux-Unterstützung
Beliebte DNS-Upstream-Server
| Provider | DoH (DNS over HTTPS) | DoT (DNS over TLS) | DNSCrypt | QUIC (DoQ) | DNSSEC |
|---|---|---|---|---|---|
| Wikimedia | https://doh.wikimedia.org/dns-query |
tls://dns.wikimedia.org |
– | – | Ja |
| Freifunk | https://doh.ffmuc.net/dns-query |
tls://dot.ffmuc.net |
– | – | Ja |
| Digitale Gesellschaft | https://dns.digitale-gesellschaft.ch/dns-query |
tls://dns.digitale-gesellschaft.ch |
– | – | Ja |
| Quad9 | https://dns.quad9.net/dns-query |
tls://dns.quad9.net |
2.dnscrypt.quad9.net:8443 |
quic://dns.quad9.net:8853 |
Ja |
| Mullvad | https://doh.mullvad.net/dns-query |
tls://dot.mullvad.net |
dnscrypt.mullvad.net:443 |
quic://doh.mullvad.net:784 |
Ja |
| UncensoredDNS | https://anycast.uncensoreddns.org/dns-query |
tls://anycast.uncensoreddns.org |
dnscrypt.eu-dk.uncensoreddns.org:443:1 |
quic://anycast.uncensoreddns.org:8853 |
Ja |
| AdGuard DNS | https://dns.adguard.com/dns-query |
tls://dns.adguard.com |
dnscrypt://2.dnscrypt.default.adguard.com |
quic://dns.adguard.com:784 |
Ja |
| CleanBrowsing | https://doh.cleanbrowsing.org/doh/family-filter/ |
tls://family-filter-dns.cleanbrowsing.org |
scaleway-fr.cleanbrowsing.org:8443 |
quic://family-filter-dns.cleanbrowsing.org:8853 |
Ja |
| DNS.Watch | https://resolver2.dns.watch/dns-query |
tls://resolver2.dns.watch |
dnscrypt://resolver2.dns.watch |
– | Ja |
| OpenNIC | https://doh.opennic.org/dns-query |
tls://dot.opennic.org |
z.B. jp.tiar.app:443 |
– | Ja |
| Rabbit DNS | https://dns.rabbitdns.org/dns-query |
tls://dns.rabbitdns.org |
dnscrypt.rabbitdns.org:443 |
– | Ja |
| RethinkDNS | https://basic.rethinkdns.com/ |
tls://basic.rethinkdns.com |
– | – | Ja |
| NextDNS | https://dns.nextdns.io/ |
tls://dns.nextdns.io |
dnscrypt.nextdns.io:443 |
quic://dns.nextdns.io |
Ja |
| Control D | https://freedns.controld.com/p0 |
tls://freedns.controld.com |
dnscrypt://freedns.controld.com:443 |
quic://freedns.controld.com:8853 |
Ja |
| Cloudflare | https://cloudflare-dns.com/dns-query |
tls://1.1.1.1 |
cloudflare-dns.com:8443 |
quic://dns.cloudflare.com:784 |
Ja |
- Nicht alle Anbieter unterstützen DNS over QUIC (DoQ); die Tabelle enthält bekannte und dokumentierte Endpunkte, sofern verfügbar.
- Bindestrich (–) bedeutet, dass kein offizieller DoQ-Endpunkt bekannt ist.
- Die Syntax für DoQ kann je nach Client variieren
(
quic://oder direkt Host:Port).