Wenn der DNS-Server des eigenen Netzes bei jeder Anfrage über die Root-Server gegangen wäre, hätte das 1983 zu einem sofortigen Zusammenbruch des Leitungsnetzes geführt. Heutzutage würde das lediglich eine erhebliche Mehrlast des Verkehrs bedeuten. Ebenso müssten extrem leistungsfähige Rechner für Root-Zone und große Top-Level-Zonen, etwa .com, .cn und .de, bereitgestellt werden.
Aus diesem Grund wurde DNS mit einem Caching-Protokoll ausgestattet, das dafür sorgt, dass immer wiederkehrende Anfragen, beispielsweise nach www.google.de, nicht jedes Mal neu über die Root-Server angefragt werden. Die Dauer, wie lange ein Eintrag im Cache verbleiben darf, bestimmt der für Zone zuständige DNS-Server, indem er zu jeder Antwort einen Time-to-live-Wert (TTL) übermittelt.
Dieser TTL-Wert kann sehr lang sein, beispielsweise für die Root- und Top-Level-Server. Die IP-Adressen der Root-Server haben eine TTL von 1000 Stunden oder mehr als 41 Tagen. Ein DNS-Server, der die IP-Adresse eines Root-Servers abgefragt hat, wird daher in den nächsten 41 Tagen keine erneute Anfrage stellen, sondern seinen Clients aus dem Cache antworten. Die Clients erhalten dabei die "Restlaufzeit" des Caches als TTL, so dass auch sie nicht immer wieder ihren DNS-Server befragen müssen.
Meist ist die TTL wesentlich geringer als 41 Tage. Domains unterhalb der .com-Zone werden beispielsweise 48 Stunden gecacht. Wird eine Domain zu einem anderen Provider umgezogen oder ein Inhaberwechsel durchgeführt, so liefern DNS-Server bis zu 48 Stunden lang noch die alten und damit meist falschen Antworten aus dem Cache.
Anbieter von dynamischen DNS-Diensten, die oft von DSL-Anschlussinhabern genutzt werden, verwenden meist eine TTL von 60 Sekunden. Ein solcher Wert wäre für eine häufig angefragte Domain zu gering. Da jedoch Domains wie www.Erika-Musterfrau.dyndns.org nicht besonders häufig aufgerufen werden, kommt es zu keiner großen Belastung der Bandbreite. Dafür ist die Domain nach dem täglichen Adresswechsel innerhalb von einer Minute wieder erreichbar.
Da das DNS-Protokoll über wenig Security und keinerlei Verschlüsselung verfügt, liegt es nahe, Angriffe auf den Cache vorzunehmen. Schiebt man einem DNS-Server eine falsche Antwort unter, so wird er diese falsche Antwort den Clients weiterleiten. Wie lange er das macht, bestimmt der Angreifer, indem er dem DNS-Server eine falsche TTL übermittelt.
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.
Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…
Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.
Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.
Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…