DNS Abfragereihenfolge

[DrCreep 10]

Hallo Freunde,

ich würde gerne mal wissen, wie Ihr das mit der DNS-Abfragereihenfoge seht.

Bei Google gibts leider verschiedene Meinungen dazu.

 

Mein Ausbilder damals erklärte mir folgendes.

 

Abfrage 1: der lokale DNS-Cache

Abfrage 2: die "hosts" Datei

 

Erste zwischenfrage, warum werden die Einträge in der "hosts"Datei generell immer im DNS-Cache angezeigt?

Ich dachte, dass wenn ich den DNS-Cache leere, das er dann auch wirklich nichts anzeigt. Aber es werden alle Einträge aus der "hosts"Datei angezeigt.

 

Ich habe mal meine lokale"hosts"Datei bearbeitet, ich habe dort die IP-Adresse von Web.de auf "google.de" gelegt, in der Hoffnung, dass wenn ich google öffne, Web.de erscheint.

Aber siehe da, es wurde immer google geöffnet.

Ich habe herausgefunden, dass unser DNS-Server, der in der Netzwerkkarte hinterlegt ist daran schuld war.

Nachdem ich diesen Eintrag entfernt habe, also keinen DNS-Server in der Netzwerkkarte stehen hatte, dann ging es so, dass beim öffnen von www.google.de die Seite von Web.de angezeigt wurde.

 

Also das bedutet jetzt für mich, dass die Theorien, die man überall liest nicht stimmen. Es wird direkt als erstes der DNS-Server gefragt, der in der Netzwerkkarte eingetragen ist und nicht der lokale Cache bzw. die "hosts"Datei.

 

Was sagt Ihr dazu?

 

Vielen Dank und viele Grüße

[NilsK 2.934]

Moin,

 

unter Windows (meines Wissens aber sinngemäß genauso in anderen Betriebssystemen) läuft es so:

1. der DNS-Client prüft, ob der angefragte Name der eigene Hostname ist
2. wenn nicht, prüft der Client, ob der Name im lokalen DNS-Cache steht
3. wenn nicht, prüft der Client die hosts-Datei
4. ist dies erfolglos, fragt der Client den ersten konfigurierten DNS-Server
5. nur wenn dieser gar nicht antwortet, versucht der Clients ggf. die anderen konfigurierten DNS-Server
6. bekommt er da auch keine Antwort, versucht der Client, den Namen mit einem lokalen Broadcast aufzulösen

Das ist alles dieselbe Abfrage, nicht sechs verschiedene.

 

Als erstes wird also immer der lokale DNS-Cache geprüft. Beim Start des DNS-Clients lädt dieser alle Einträge aus der hosts-Datei in den Cache, sodass ein Datei-Lookup ggf. entfallen kann. (So ist es dokumentiert. Zumindest unter Windows 10 scheint der DNS-Cache die Einträge aus hosts aber auch dann zu laden, wenn man die Datei bearbeitet hat; möglicherweise prüft der Cache auch direkt die Datei.)

Ist der Name nicht im Cache, dann kommt als nächstes die hosts-Datei - sie hat also höhere Priorität als die konfigurierten DNS-Server. Das kann man für verschiedene Dinge nutzen, was Malware oft versucht. 

 

Bei den DNS-Servern lauern Stolperfallen: Der sekundäre DNS-Server wird nur gefragt, wenn der primäre gar nicht antwortet. Gibt der primäre DNS-Server zurück, dass er den Namen nicht kennt, dann ist das eine gültige Antwort und der Client fragt keine der anderen DNS-Server. Antwortet der erste nicht, aber der zweite, dann wird der DNS-Client ab da immer den zweiten zuerst fragen - aus dem Grund sollte man niemals DNS-Server mit unterschiedlichen Datenbeständen als primären und sekundären Eintrag nutzen.

 

Dein Versuchsergebnis passt nicht dazu. Das liegt meist daran, dass du die hosts-Datei nicht richtig bearbeitet hast: Du brauchst dazu Adminrechte und musst die richtige Fassung bearbeiten. 

 

Gerade getestet (und damit nachgewiesen):

• hosts-Datei als Admin geöffnet 
• eingetragen: 193.104.220.6    www.bild.de
• im Browser www.bild.de geöffnet: es öffnet sich tatsächlich www.taz.de (wegen der IP-Adresse)
• in der hosts-Datei den Eintrag auskommentiert
• erneut www.bild.de geöffnet - es öffnet sich wieder www.taz,de, weil der Eintrag noch im DNS-Cache steht
• DNS-Cache gelöscht (ipconfig /flushdns als Admin)
• www.bild.de öffnet die Seite der unappetitlichen Boulevardzeitung

Generell sollte man die hosts-Datei nicht verwenden. Da sie höher priorisiert ist als die DNS-Server, führt das schnell zu Fehlersituationen, die nur schwer aufzuklären sind.

 

Gruß, Nils

 

[mwiederkehr 373]

Als Ergänzung ist vielleicht noch hinzuzufügen, dass viele Browser ihren eigenen DNS-Cache mitbringen. Der steht dann noch über der hosts-Datei. Diesen kann man ja nach Browser löschen oder man muss den Browser neu starten.

 

Weshalb das so ist, weiss ich nicht. Der Cache des Resolvers vom Betriebssystem sollte ja eigentlich schnell genug sein, ist er aber anscheinend nicht.

[DrCreep 10]

Hallo Nils,

 

danke für Deine Antwort.

 

Ich habe es auch gerade nochmal getestet, ich bin lokaler Administrator, ich habe bei meinen vorherigen Test jetzt nicht explizit beim öffnen des Notepads "Ausführen als Administrator" geklickt.

OK, die "hosts"Datei lies sich dennoch editieren und auch speichern. Nach dem speichern, hatte ich diese auch nochmal geschlossen und wieder geöffnet um zu sehen, ob der Eintrag wirklich gespeichert wurde, was auch der Fall war. Naja warum sich die "hosts Datei" auch so speichern lies, bzw. warum dann der Eintrag ignoriert wurde, kann ich nicht wirklich nachvollziehen.

 

Nach Deiner Antwort habe ich die "hosts" nochmal explizit als Administrator bearbeitet und getestet, dann ging es auch. aber nur mit dem IE!

Es kann auch sein, dass bei meinem vorherigen Test der Browsercache noch eine Rolle gespielt hat.

Gerade der Chrome und der Mozilla haben trotz "ipconfig /flushdns" und des expliziten leeren des Caches in den Browsereinstellungen immer noch Bild.de angezeigt obwohl ich im IE auf TAZ gelandet bin.

 

OK, jetzt weiss ich aber, dass es doch so richtig ist :)

 

Vielen Dank für Deine ausführliche Antwort!

[NilsK 2.934]

Moin,

 

bei der hosts-Datei hat dir evtl. UAC einen Streich gespielt (Dateisystemvirtualisierung).

 

Das mit dem Browsercache kommt noch erschwerend hinzu, da hat mwiederkehr Recht. Browser übernehmen mittlerweile verschiedene Dinge aus dem Netzwerkstack selbst, weil die Hersteller momentan mit einigen Dingen experimentieren.

 

Gruß, Nils

 

[NorbertFe 2.034]

Chrome hat afaik auch einen eigenen resolver.