Allt du behöver veta om DNS – Domännamnssystemet

DNS, eller Domain Name System (på svenska ofta kallat domännamnssystemet), är en av internets mest grundläggande och kritiska teknologier. Utan DNS skulle internet som vi känner det inte fungera. Istället för att skriva in enkla adresser som ”google.com” i webbläsaren skulle vi tvingas memorera långa numeriska IP-adresser som 142.250.190.78. DNS fungerar som internets telefonkatalog: den översätter mänskligt läsbara domännamn till maskinläsbara IP-adresser och vice versa.

Detta inlägg ger en heltäckande översikt – från historik och grundläggande funktion till tekniska detaljer, rekordtyper, säkerhet, moderna utökningar och praktiska tips. Målet är att du efter läsningen förstår allt väsentligt om DNS.

Historik: Från HOSTS.TXT till globalt distribuerat system

På 1970- och början av 1980-talet, under ARPANET (internets föregångare), hanterades namn-till-adress-översättning med en central fil kallad HOSTS.TXT. Den underhölls manuellt av SRI International (Stanford Research Institute). Varje dator laddade ner denna fil för att veta vilka namn som hörde till vilka adresser. När nätverket växte blev detta ohållbart – filen blev för stor, uppdateringar tog tid och det fanns en enda punkt av fel.

År 1983 löste Paul Mockapetris problemet genom att designa DNS. De första specifikationerna publicerades i RFC 882 och 883, som senare uppdaterades till RFC 1034 och 1035 (1987). BIND (Berkeley Internet Name Domain) blev den första populära implementationen. Idag drivs DNS av ett distribuerat, hierarkiskt system med tusentals servrar världen över. Det är fault-tolerant och skalbart tack vare delegation av ansvar.

Hur fungerar DNS? – Hierarki och upplösning steg för steg

DNS är ett hierarkiskt och distribuerat system. Det finns ingen central databas som håller allt – istället är ansvaret uppdelat i zoner.

Domännamnsstrukturen liknar ett träd:

  • Roten (.) – Den absoluta toppen.
  • Toppdomäner (TLD) – .com, .se, .org, .nu etc.
  • Andra nivåns domäner – example.com
  • Subdomäner – www.example.com, mail.example.com

När du skriver in ”www.example.com” i webbläsaren sker en DNS-upplösning (DNS resolution/lookup). Processen involverar vanligtvis dessa steg (vid ingen caching):

  1. Lokal cache – Webbläsaren och operativsystemet kollar först om svaret redan finns cachat.
  2. Stub resolver – Datorn skickar frågan till en rekursiv resolver (ofta ISP:s DNS-server eller Google DNS 8.8.8.8).
  3. Rekursiv resolver frågar en root nameserver. Det finns 13 logiska root-servrar (A–M) med hundratals fysiska instanser via anycast. Root svarar med referens till TLD-servern för .com.
  4. TLD nameserver (.com) svarar med referens till den auktoritativa nameservern för example.com.
  5. Auktoritativ nameserver för example.com returnerar IP-adressen (t.ex. A-record).
  6. Svaret skickas tillbaka genom resolvern till din dator, som kan ansluta till servern.

Detta kallas ofta en rekursiv query från klientens sida, medan resolvern gör iterativa queries mot andra servrar.

Caching är nyckeln till prestanda. Varje svar har en TTL (Time To Live) i sekunder, som talar om hur länge informationen får cachas. Typiska värden: 300 (5 min) för snabba ändringar, 3600 (1 timme) eller längre för stabila poster. Caching sker på flera nivåer: webbläsare, OS, ISP-resolver och ibland CDN.

Typer av DNS-servrar

  • Rekursiv resolver (Recursive Resolver): Hanterar frågor från klienter, följer hela kedjan och cachar svar.
  • Root nameservers: Toppen av hierarkin.
  • TLD nameservers: Hanterar toppdomäner.
  • Auktoritativa nameservers (Authoritative): Håller den definitiva informationen för en specifik zon/domän. Kan vara primär (master) eller sekundär (slave/secondary) för redundans.
  • Stub resolver: Den enkla klienten på din dator.

Vanliga DNS-record-typer (Resource Records, RR)

DNS lagrar information i så kallade resource records. Här är de viktigaste:

  • SOA (Start of Authority): Definierar zonen. Innehåller primär NS, admin-e-post, serial-nummer (för zoner), refresh, retry, expire och minimum TTL.
  • A: IPv4-adress (t.ex. example.com → 93.184.216.34).
  • AAAA: IPv6-adress.
  • NS (Name Server): Pekar ut auktoritativa servrar för zonen. Viktigt för delegation.
  • CNAME (Canonical Name): Alias. www.example.com → example.com. Kan inte peka direkt på IP och får inte vara på apex (rot-domän).
  • MX (Mail Exchange): E-postservrar med prioritet (lägre nummer = högre prioritet).
  • TXT: Textinformation. Används för SPF (anti-spam), DKIM, DMARC, verifikation av ägarskap etc.
  • PTR: Reverse lookup – IP till namn. Viktigt för e-post och diagnostik.
  • SRV: Service records, t.ex. för SIP, XMPP, LDAP (_service._proto.name).
  • CAA (Certification Authority Authorization): Vilka CA får utfärda SSL-certifikat för domänen.
  • DNSKEY, RRSIG, DS, NSEC: För DNSSEC (se nedan).

Andra: ALIAS (pseudo-record för apex CNAME-liknande), DNAME, HTTPS/SVCB (moderna för prestanda och säkerhet).

Records lagras i zone files – textfiler med specifik syntax.

Protokoll och transport

DNS använder primärt UDP port 53 för snabba queries (datagram upp till 512 bytes traditionellt, mer med EDNS). TCP port 53 används för stora svar, zone transfers (AXFR/IXFR) och när UDP inte räcker.

EDNS(0) (Extension Mechanisms for DNS) utökar paketstorlek och lägger till flaggor för bättre funktionalitet.

Säkerhet: Vulnerabiliteter och lösningar

Original-DNS hade ingen inbyggd säkerhet – det var designat för tillit. Vanliga hot:

  • DNS spoofing/cache poisoning: Falska svar injiceras i cache.
  • DDoS: Amplification attacks (små queries ger stora svar).
  • Man-in-the-middle: Ändring av svar i transit.
  • Hijacking: Obehörig ändring av NS eller records.
  • Tunneling: Data exfiltreras via DNS.

DNSSEC (DNS Security Extensions) löser integritet och autenticitet med kryptografiska signaturer (RRSIG, DNSKEY, DS etc.). Det skapar en ”chain of trust” från root nedåt. Nackdelar: komplexitet, större svar, key rollover. Många domäner har det inte aktiverat fullt ut.

DoH (DNS over HTTPS) och DoT (DNS over TLS): Krypterar DNS-trafiken (port 443 respektive 853) för integritet och integritet mot ISP eller lokala nätverk. DoH integreras ofta i webbläsare (t.ex. Firefox, Chrome). Fördelar: svårare att censurera eller snoopa. Nackdelar: centralisering (färre resolvers), potentiella privacy-risker om resolvern loggar.

Andra: DNS over QUIC (DoQ), DNSSEC + monitoring, rate limiting, response rate limiting (RRL) mot amplification.

Praktiska aspekter och administration

Zonhantering: Primär/sekundär, NOTIFY, IXFR för effektiva uppdateringar. Verktyg: BIND, PowerDNS, Knot DNS, Unbound (resolver), Microsoft DNS etc. Molntjänster som Cloudflare DNS, Route 53, Azure DNS erbjuder anycast, DDoS-skydd och enkla gränssnitt.

TTL-strategier: Kort TTL för snabb propagation vid ändringar (t.ex. failover), längre för prestanda. Observera att caching inte alltid respekterar TTL strikt.

Reverse DNS (rDNS): Viktigt för e-post (SPF/DKIM kräver ofta match).

Dynamisk DNS (DDNS): För hemnätverk med dynamiska IP-adresser (t.ex. No-IP, DynDNS).

Anycast: En IP-adress på många platser – root-servrar och stora DNS-leverantörer använder detta för låg latens och redundans.

Vanliga problem och troubleshooting:

  • NXDOMAIN, SERVFAIL, REFUSED.
  • Verktyg: dig, nslookup, drill, ping, traceroute, dnsperf.
  • Kolla propagation med whatsmydns.net eller Google DNS.
  • Flush cache: ipconfig /flushdns, systemd-resolve --flush-caches.
  • Lame delegation, glue records (nödvändiga för NS som ligger i egen zon).

DNS i moderna sammanhang

  • CDN och global load balancing: DNS dirigerar trafik till närmaste server.
  • Email security: SPF, DKIM, DMARC bygger på TXT-records.
  • Zero Trust och SASE: DNS som säkerhetslager (DNS filtering mot malware/phishing).
  • IoT och edge computing: Lättviktiga resolvers.
  • IPv6-transition: AAAA-records blir allt viktigare.
  • ICANN och governance: Root-zonen, TLD-delegation, WHOIS/RDAP.

Internationalisering (IDN): Punycode för icke-ASCII-tecken (t.ex. svenska åäö).

Utvecklingen av DNS

DNS fortsätter att utvecklas med fokus på hastighet (SVCB/HTTPS records), privacy (oblivious DoH) och resiliens. Hot som quantum computing påverkar kryptografi i DNSSEC. Centralisering via stora leverantörer (Cloudflare, Google, Quad9) väcker frågor om kontroll och privacy.

Statistik: Miljarder queries per dag. Root-servrar hanterar enorm trafik utan avbrott tack vare anycast och redundans.

DNS är enkelt i konceptet men komplext i detaljerna. För privatpersoner: Använd pålitliga resolvers som Quad9 (9.9.9.9, malware-block) eller Cloudflare (1.1.1.1). Aktivera DoH/DoT i webbläsaren.

För administratörer:

  • Implementera DNSSEC där möjligt.
  • Använd sekundära servrar och monitoring (Zabbix, Prometheus + exporters).
  • Ha redundans och backups av zone files.
  • Följ best practices för TTL, säkerhet och validering.
  • Testa alltid ändringar i staging.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Senaste inläggen:

Fler tjänster:

Länkar:

Sociala Medier:

Kontakt:

[email protected]