We all know the DNS, right? But when we need to troubleshoot it, it’s getting much more complicated than initially thought. DNS ≠ DNS ≠ DNS. And unfortunately: It’s Always DNS.
To get a better understanding of those different kinds of DNS servers (authoritative vs. recursive), DNS messages (recursive, iterative, zone transfer, …) as well as other techniques (conditional forwarding, DoH, …), I draw a poster to have it all at a glance! Here it is:
This is my approach to a picture that is worth a thousand words. I’m using it during training sessions and at customers’ sites when explaining things related to DNS. Of course, this drawing is not perfect and does not show every detail. But it’s a good starting point. ;) If you have any thoughts or corrections, please use the comment section down below.
Poster as PDF
–> Download it in high quality as a PDF <–
That’s it. ;)
Soli Deo Gloria!
Photo by Kyle Glenn on Unsplash.
Hi Johannes,
ein tolles Poster! Vielen Dank dafür.
Mit dynamic DNS meinst du die Registrierung von Enterprise Clients im DNS. Ich fände es, super wenn du noch “das andere dynamische DNS” im Home Umfeld skizzieren könntest.
Außerdem: Was heißt w/ ? with? Sicher gibt es auch Applikationen, die DNS-Antworten nicht cachen? Also eher w/o?
Mit DoH / DoT bin ich nicht so sattelfest: Würden die beiden sich im Bild überhaupt unterscheiden oder wie ist die DoT-Anmerkung unten rechts zu verstehen?
Grüße,
Lukas
Hey Lukas. Gute Hinweise. Danke schon mal dafür!
1) Ja, mit “dynamic DNS” meine ich hier tatäschlich die dynamische DNS-Registrierung über UDP 53 am authoritativen DNS-Server im Firmenumfeld. Wenn ich mit dem Poster beim Kunden einen Vortrag halte, weise ich immer noch darauf hin, dass das DynDNS der Fritzbox etwas anderes ist.
2) Ja, mit /w meine ich “with”. Du hast aber recht: Nicht alle Applikationen oder Resolver cachen auch zwangsläufig. Die Mehrheit meiner Erfahrung nach schon. Und meistens ist der Admin eher verwirrt, dass ein Update eines DNS-Records erst deutlich später beim Client Wirkung zeigt, weil zwischen drin 1-17 Caches lagen. :)
3) Auch hier gibt das Bild nicht alle Details aus. (Es wäre einfach zu viel.)
–> DoT: DNS über implizites TLS auf Port 853. Sollte wir normales DNS vom Client (OS) -> Resolver oder Resolver -> Resolver angewandt werden. In der Praxis ist beides aber eher selten implementiert oder eingerichtet. Ich weiß, dass die Fritzbox ihren Upstream-Resolver per DoT anfragen kann. Das wars dann aber auch schon fast. :(
–> DoH: DNS über eine normale HTTPS-Verbindung auf Port 443. Wurde primär von einer Applikation (meist der Browser) zu einem DoH-fähigen Server genutzt. Also eine krasse Änderung des bisherigen DNS-Traffics!!! Das ist im Firmenumfeld gar nicht lustig, wenn auf die Art und Weise einfach mal der rekursive DNS-Server umgangen wird. Neuderings scheint dieses DoH aber auch Einzug in das klassische Betriebssystem zu halten. Bei meinem Windows 11 kann ich das bspw. auf der Netzwerkkarte so auswählen. Was es in den nächsten Jahre noch zu klären gibt: Wie kann dieser Traffic auf einer Enterprise-Firewall vernünftig reglementiert, also per TLS-Interception erkannt und entsprechend berechtigt werden.
Schon krass, wie komplex das DNS ist. Und durch DoT/DoH noch mal einen drauf setzt. Uff… ;)