Maakt het veranderen van mijn DNS-server het internet sneller?

Soms. Als de resolutie van uw ISP traag of geografisch ver verwijderd is, kan het overschakelen naar 1.1.1.1 of 8.8.8.8 tientallen milliseconden besparen op DNS-lookups bij het eerste bezoek. Op de meeste moderne netwerken is het verschil klein omdat de caches van de oplossers al warm zijn.

Wie beheert de DNS-rootservers?

Twaalf organisaties beheren de dertien logische rootservers: universiteiten (bijvoorbeeld de Universiteit van Maryland), bedrijven (Verisign), overheidsinstanties (DoD NIC) en non-profitorganisaties (ICANN, Internet Systems Consortium). Elke basisletter wordt via anycast gerepliceerd over honderden fysieke sites. Er is geen centrale autoriteit die DNS gegijzeld houdt; de structuur was opzettelijk gedecentraliseerd.

Kan ik mijn eigen DNS-resolver gebruiken?

Ja. Pi-hole, AdGuard Home, Unbound en BIND zijn veel voorkomende keuzes. Zelf-gehoste solvers geven u volledige controle over caching, filteren en loggen. De wisselwerking: u onderhoudt het en een pas gestarte oplosser heeft langzamere eerste query's dan een openbare met een warme cache.

Wat is het verschil tussen recursieve en gezaghebbende DNS?

Een recursive -resolver doet het werk door antwoorden te vinden door andere servers te bevragen. Een authoritative -server bewaart de feitelijke records voor een specifieke zone en beantwoordt vragen daarover. Publieke solvers (1.1.1.1) zijn recursief; de naamservers waarnaar uw domein verwijst, zijn gezaghebbend.

Hoe gaat DNS om met het uitvallen van een server?

De meeste domeinen hebben minimaal twee gezaghebbende naamservers op verschillende locaties. Als de ene niet bereikbaar is, probeert de oplosser de volgende. TTL's (Time-To-Live-waarden) beperken hoe lang een verouderd antwoord in caches blijft bestaan. Catastrofale DNS-storingen komen nog steeds voor (de uitval van Facebook in oktober 2021 was een DNS-intrekking waardoor een hele wereldwijde dienst offline kwam), maar het protocol is ontworpen voor routinematige serverstoringen.

DNS-servers uitgelegd: hoe domeinzoekopdrachten feitelijk werken

Elke verbinding op internet begint met een DNS-zoekopdracht, waarbij een naam als example.com wordt omgezet in een IP-adres waarmee uw computer verbinding kan maken. De infrastructuur die dit mogelijk maakt, is een van de meest gebruikte en minst begrepen onderdelen van het moderne internet, waarbij meerdere soorten servers een verschillende rol spelen bij elk afzonderlijk verzoek.

De volledige artikeltekst vindt u hieronder in het Engels.

A DNS-server is elke computer die vragen over het Domain Name System beantwoordt. Het DNS-systeem heeft meerdere rollen – recursieve solver, gezaghebbende server, rootserver, TLD-server – die samen een naam in een IP-adres veranderen. Als u begrijpt welke rol wat doet, wordt duidelijk wie uw zoekopdrachten ziet, waar ze vandaan komen en hoe u ze kunt beschermen.

De vier DNS-servertypen

Recursieve resolutie. De DNS-server waarmee uw apparaat communiceert. Het doet het werk om het antwoord te vinden, indien nodig andere servers te bevragen en het resultaat in de cache op te slaan. Voorbeelden: 1.1.1.1 (Cloudflare), 8.8.8.8 (Google), de oplossing van uw ISP.
Root-servers. 13 logische rootservers (met elk veel fysieke instances, via anycast) — A tot en met M — die weten welke servers de topniveaudomeinen (.com, .org, .uk, etc.) beheren. Beheerd door door ICANN gecoördineerde organisaties.
TLD-servers. Eén per topniveaudomein. .com wordt beheerd door Verisign; .org door register van openbaar belang; landcodes per nationale NIC's. Ze weten welke servers gezaghebbend zijn voor individuele domeinen onder hun TLD.
Authoritatieve servers. De DNS-servers die de feitelijke records voor een domein bewaren (A, AAAA, MX, TXT, etc.). Bijvoorbeeld.com, de gezaghebbende servers zijn wat de domeineigenaar ook heeft geconfigureerd bij de registrar.

A-query, stap voor stap

U typt example.com in uw browser. Wat er gebeurt:

Je browser vraagt het besturingssysteem om het IP-adres van example.com.
Het besturingssysteem controleert de lokale cache; als deze niet wordt gevonden, wordt er een query uitgevoerd op de geconfigureerde oplosser (meestal uw router, die doorstuurt naar de oplosser van de ISP of een openbare oplosser).
De recursieve oplosser controleert zijn cache. Indien niet gevonden, wordt de zoekopdracht gestart.
De oplosser vraagt een root-server naar ".com". De root antwoordt met de namen en IP's van de .com TLD-servers.
De oplosser vraagt een .com TLD-server op voor voorbeeld.com. De TLD-server antwoordt met de namen en IP's van de gezaghebbende servers van example.com.
De oplosser vraagt een -autoriteithoudende server om het A-record van voorbeeld.com. De gezaghebbende server antwoordt met het IP-adres.
De solver retourneert het IP-adres naar het besturingssysteem, dat het terugstuurt naar de browser, die verbinding maakt.

De meeste stappen worden in de cache opgeslagen. Een populair domein als google.com wordt 99%+ van de tijd vanuit de cache bediend; alleen nieuwe, niet in de cache opgeslagen query's doen de volledige oplossing.

Public DNS-resolvers

De belangrijkste gratis publieke solvers en wat ze bieden:

1.1.1.1 (Cloudflare) — snel, privacygericht, gecontroleerd door KPMG. Anycast-implementatie.
8.8.8.8 (Google) — snel, veel gebruikt, Google bewaart enkele querylogboeken.
9.9.9.9 (Quad9) — Gevestigd in Zwitserland, blokkeert bekende kwaadaardige domeinen, registreert geen zoekopdrachten content.
208.67.222.222 (Cisco OpenDNS) - originele mainstream openbare oplosser. Biedt filterniveaus.
VolgendeDNS — aanpasbare filtering, betaald voor ervaren gebruikers.
AdGuard DNS — advertentie- en trackerblokkering op DNS-niveau.

Een openbare oplossing kiezen versus die van uw ISP: meestal sneller, vaak meer privé (afhankelijk van het beleid van de oplosser), soms in staat om domeinblokkering op ISP-niveau te omzeilen.

Waarom uw DNS-keuze belangrijk is voor de privacy

Uw oplosser ziet elk domein dat u bezoekt. ISP-resolvers hebben dit historisch geregistreerd. Sommige doen dat nog steeds, en sommige hebben geld verdiend met de gegevens. Openbare solvers met een krachtig privacybeleid (Cloudflare's 1.1.1.1, Quad9) zijn een verbetering ten opzichte van de meeste ISP-standaardinstellingen.

Gecodeerde DNS – DNS via HTTPS, DNS via TLS, DNSCrypt – beschermt verder vragen van iedereen op het netwerk tussen u en de oplosser. Zonder codering ziet uw hotel-wifi gewone DNS-query's, zelfs als het daadwerkelijke webverkeer HTTPS.

DNS-records die u tegenkomt

A — IPv4-adres voor een naam
AAAA — IPv6-adres
CNAME — alias die één naam verwijst naar een andere
MX — mailserver voor het domein
TXT — willekeurige tekst. Gebruikt voor SPF, DKIM, verificatie van domeineigendom
NS — gezaghebbende naamservers voor het domein
SOA — start van autoriteit, definieert de parameters van de zone
CAA — welke CA's certificaten mogen uitgeven voor de domein
HTTPS — nieuwer recordtype, laat browsers HTTP/3-ondersteuning leren voordat ze verbinding maken

DNS

dig voorbeeld inspecteren.com — Unix-opdrachtregel; grondige uitvoer
dig +trace example.com — toon elke stap van root tot gezaghebbend
nslookup example.com — oudere tool, werkt op Windows
host example.com — eenvoudiger één regel antwoord
Onze DNS-lektest vertelt u welke resolver uw apparaat daadwerkelijk gebruikt

Veelgestelde vragen

Maakt het veranderen van mijn DNS-server het internet sneller?: Soms. Als de resolutie van uw ISP traag of geografisch ver verwijderd is, kan het overschakelen naar 1.1.1.1 of 8.8.8.8 tientallen milliseconden besparen op DNS-lookups bij het eerste bezoek. Op de meeste moderne netwerken is het verschil klein omdat de caches van de oplossers al warm zijn.
Wie beheert de DNS-rootservers?: Twaalf organisaties beheren de dertien logische rootservers: universiteiten (bijvoorbeeld de Universiteit van Maryland), bedrijven (Verisign), overheidsinstanties (DoD NIC) en non-profitorganisaties (ICANN, Internet Systems Consortium). Elke basisletter wordt via anycast gerepliceerd over honderden fysieke sites. Er is geen centrale autoriteit die DNS gegijzeld houdt; de structuur was opzettelijk gedecentraliseerd.
Kan ik mijn eigen DNS-resolver gebruiken?: Ja. Pi-hole, AdGuard Home, Unbound en BIND zijn veel voorkomende keuzes. Zelf-gehoste solvers geven u volledige controle over caching, filteren en loggen. De wisselwerking: u onderhoudt het en een pas gestarte oplosser heeft langzamere eerste query's dan een openbare met een warme cache.
Wat is het verschil tussen recursieve en gezaghebbende DNS?: Een <em>recursive</em>-resolver doet het werk door antwoorden te vinden door andere servers te bevragen. Een <em>authoritative</em>-server bewaart de feitelijke records voor een specifieke zone en beantwoordt vragen daarover. Publieke solvers (1.1.1.1) zijn recursief; de naamservers waarnaar uw domein verwijst, zijn gezaghebbend.
Hoe gaat DNS om met het uitvallen van een server?: De meeste domeinen hebben minimaal twee gezaghebbende naamservers op verschillende locaties. Als de ene niet bereikbaar is, probeert de oplosser de volgende. TTL's (Time-To-Live-waarden) beperken hoe lang een verouderd antwoord in caches blijft bestaan. Catastrofale DNS-storingen komen nog steeds voor (de uitval van Facebook in oktober 2021 was een DNS-intrekking waardoor een hele wereldwijde dienst offline kwam), maar het protocol is ontworpen voor routinematige serverstoringen.