I denne artikel behandler vi DNS-opslag – hvad de er, hvordan de fungerer, og hvordan de påvirker online privatliv og censur.

Et DNS-opslag refererer til processen med at matche den URL, De indtaster i Deres browsers adresselinje (det læsbare domænenavn), med den tilsvarende IP-adresse.

Alle enheder, der opretter direkte forbindelse til internettet, identificeres af en numerisk etiket, der kaldes en IP-adresse. For at gøre det nemmere for os mennesker kan denne adresse også identificeres ved hjælp af mere læsbare og letforståelige domænenavne. Domain Name System (DNS) knytter disse domænenavne til deres tilsvarende IP-adresser.

Få mere at vide om IP-adresser

For eksempel bruger Proton VPN-webstedet domænenavnet protonvpn.com, som svarer til IP-adressen 185.159.159.140. Når De indtaster www.protonvpn.com i Deres browsers URL-linje, skal domænenavnet konverteres til dets tilsvarende IP-adresse, for at computere kan forstå det.

Denne konvertering udføres ved hjælp af DNS. Så når De indtaster protonvpn.com, konverterer DNS domænenavnet til IP-adressen: 185.159.159.140. Dette gør det muligt for Deres browser at finde og oprette forbindelse til det korrekte websted.

Domænenavne eksisterer udelukkende af hensyn til menneskelig bekvemmelighed og er ikke påkrævet, for at internettet kan fungere. Hvis De kunne huske IP-adresser, ville De kunne indtaste dem direkte. For at se dette i praksis skal De blot indtaste 185.159.159.140 i Deres browsers URL-linje, hvorefter den vil føre Dem til Proton VPN-webstedet.

Sådan fungerer et DNS-opslag

DNS sammenlignes ofte med en telefonbog, der krydsrefererer domænenavne og deres tilsvarende IP-adresser. Dette er en nyttig analogi til at forstå, hvad DNS gør, men virkeligheden bag, hvordan det fungerer, er mere kompleks.

DNS-resolver

Når De indtaster et domænenavn i Deres browsers URL-linje, sendes en DNS-forespørgsel to en speciel server kaldet en DNS-resolver (også kaldet DNS-recursor eller blot DNS-server).

Som navnet antyder, ”opløser” DNS-resolveren DNS-forespørgslen ved at hente domænets tilsvarende IP-adresse og sende den tilbage til Deres browser. Nu hvor den kender IP-adressen på det websted, De ønsker at besøge, kan Deres browser oprette forbindelse til det.

Så vidt, så enkelt. Men hvordan henter DNS-resolveren den korrekte DNS-adresse for et domæne (en proces, der kompliceres af, at der hele tiden oprettes nye domæner, og at IP-adresser ofte tildeles dynamisk til domæner og derfor ændres regelmæssigt)?

Sådan opløses et domæne ved hjælp af DNS

Et DNS-opslag for et topdomæne(nyt vindue) (TLD) involverer typisk følgende trin:

1. De indtaster protonvpn.com i Deres browsers URL-linje. Deres browser sender denne forespørgsel over internettet til en DNS-resolver.

2. DNS-resolveren sender en forespørgsel til en DNS-rodnavneserver. Dette er en server, der gemmer oplysninger om TLD’er (såsom .com eller .net, eller landekode-TLD’er såsom .ch eller .uk). Da vores forespørgsel var (protonvpn.com), ville DNS-rodnavneserveren pege på DNS-resolveren for “.com”-TLD’er.

3. Udrustet med disse oplysninger vil DNS-resolveren nu forespørge .com-TLD-navneserveren, som vedligeholder en liste over alle .com-domæner. TLD-navneserveren svarer med IP-adressen på domænets autoritative navneserver.

4. DNS-resolveren kan nu forespørge domænets autoritative navneserver. Denne drives typisk af en domænenavnsregistrator(nyt vindue) – en virksomhed, der udlejer og administrerer domænenavne (såsom GoDaddy eller Namecheap). Den autoritative navneserver er den endelige sandhedskilde om domænet og kan returnere dets IP-adresse til DNS-resolveren (i vores tilfælde vil dette være 185.159.159.140).

5. DNS-resolveren sender den korrekte IP-adresse til Deres browser, som nu kan oprette forbindelse til 185.159.159.140.

Sådan fungerer DNS

I virkeligheden er situationen en smule more kompliceret. For eksempel er mange domæner knyttet til flere IP-adresser (herunder både IPv4- og IPv6-adresser), og der vil være yderligere trin, hvis De besøger et underdomæne (såsom blog.protonvpn.com).

Oplysninger caches (gemmes lokalt) også rutinemæssigt i alle faser af processen – af Deres browser, af DNS-resolveren og af de forskellige navneservere. Hvis de påkrævede oplysninger findes i en cache, sendes der ikke en forespørgsel, hvilket resulterer i, at nogle trin springes over.

Men i bund og grund er det sådan, DNS fungerer ved et helt almindeligt besøg på et websted.

DNS, censur og statslig overvågning

Som standard sender Deres browser Deres DNS-forespørgslere til en DNS-resolver, der drives af Deres internetudbyder (ISP). Deres internetudbyder kan bruge forskellige metoder til at se, hvad De foretager Dem på internettet, men den absolut nemmeste (og billigste) måde er blot at overvåge Deres DNS-forespørgsler.

De fleste statslige masseovervågningsprogrammer er afhængige af at kræve, at ISP’er fører logfiler over deres kunders browserhistorik. Og fordi det er nemt og billigt, opfylder de fleste ISP’er disse juridiske forpligtelser ved kun at føre DNS-logfiler.

På samme måde beder regeringer, når de ønsker at censurere internetindhold af sociale, religiøse, politiske eller ”moralske” årsager, de indenlandske ISP’er om at håndhæve disse blokeringer. Og den nemmeste måde at gøre dette på er at blokere for DNS-forespørgslere til specifikke websteder og apps.

Tredjeparts-DNS-tjenester

En måde at undgå mindst en del af denne censur og overvågning på er at bruge en tredjeparts-DNS-resolver, såsom Cloudflare 1.1.1.1 or OpenNIC.

Nogle af disse tjenester har muligvis gode privatlivspolitikker, men medmindre forbindelser til DNS-resolver-serverne er krypteret med DNS over TLS (DoT) eller DNS over HTTPS (DoH), kan Deres ISP se anmodningerne i klartekst, hvis den vælger at kigge efter.

Kryptering af DNS-forespørgsler gør det sværere (og dermed dyrere) for en ISP at overvåge Deres browserhistorik, men den kan stadig ret nemt spore, hvilke websteder og apps De opretter forbindelse til, hvis den ønsker det.

Få Proton VPN!

DNS og VPN’er

Når De bruger en VPN (såsom Proton VPN), er Deres forbindelse til VPN-serveren krypteret. Med en vis indsats kan Deres ISP se, at De har oprettet forbindelse til en IP-adresse, der tilhører VPN-serveren, men det er også alt.

DNS-forespørgsler sendes gennem VPN-tunnelen og opløses af VPN-udbyderen, som måske kører sin egen DNS-resolver eller bruger en tredjeparts-VPN-resolver. Dette har ingen konsekvenser for privatlivet, da DNS-forespørgslerne ser ud til at komme fra VPN-serveren og ikke VPN-brugeren.

Få mere at vide om, hvordan en VPN fungerer

Det er værd at bemærke, at der ikke er brug for krypteret DNS, når De bruger en VPN, da alle DNS-forespørgsler alligevel sendes gennem den krypterede VPN-tunnel.

Det anbefales heller ikke at bruge en tredjeparts-DNS-resolver sammen med en VPN. Hvis De konfigurerer Deres system på denne måde, kan det medføre, at Deres DNS-forespørgsler sendes uden om VPN-tunnelen til tredjeparts-DNS-resolveren.

Få mere at vide om DNS-lækager

NetShield Ad-blocker

Proton VPN tilbyder NetShield Ad-blocker i alle vores apps. Dette is en DNS-filtreringsfunktion, der blokerer DNS-forespørgsler til domæner, der vides at tilhøre reklamefirmaer, onlinetrackere og malware. Den (og andre lignende DNS-filtreringstjenester) fungerer på DNS-resolver-niveau ved simpelthen ikke at opløse DNS-forespørgsler til bloklistede domæner.

Få mere at vide om NetShield Ad-blocker

Rent teknisk udgør dette en DNS-lækage (se nedenfor). Dette er måske ikke et stort problem, hvis DNS-forespørgslen er krypteret, og De har tillid til DNS-resolveren, men det introducerer en unødvendig tredjepart (og dermed et potentielt svagt punkt) i ligningen.

DNS-lækager

Når De bruger en VPN, bør alle DNS-forespørgsler sendes gennem VPN-tunnellen for at blive behandlet af VPN-udbyderen. Hvis DNS-forespørgslen af en eller anden grund sendes uden om VPN-tunnellen til en tredjeparts DNS-resolver, er der opstået en DNS-lækage. Manglende korrekt dirigering af IPv6-DNS-anmodninger gennem VPN-tunnellen er en almindelig årsag til DNS-lækager.

Da denne tredjepart sandsynligvis vil være Deres ISP, er DNS-lækager et alvorligt privatlivsproblem. Det er overflødigt at sige, at alle Proton VPN-apps har stærk indbygget beskyttelse mod DNS-lækage.

Almindelige typer af DNS-poster

Her er nogle af de vigtigste typer af DNS-poster, der kan slås op:

  • A-post (adresse): Knytter et domænenavn til en IPv4-adresse. Eksempel: example.com → 192.0.2.1
  • AAAA-post (Quad A): Knytter et domænenavn til en IPv6-adresse. Eksempel: example.com → 2001:0db8:85a3:0000:0000:8a2e:0370:7334
  • CNAME-post (kanonisk navn): Knytter et domænenavn til et andet domænenavn, hvilket i praksis opretter et alias fra et navn til et andet. Eksempel: www.example.com → example.com
  • MX-post (Mail Exchange): Angiver de mailservere, der er ansvarlige for at modtage e-mail på vegne af et domæne. Eksempel: example.com → mail.example.com (prioritet 10 — prioritetstallet angiver præference, hvor anmodninger med lavere prioritet foretrækkes).
  • PTR-post (pegepost): Knytter en IP-adresse til et domænenavn, hvilket primært bruges til omvendt DNS-opslag. Eksempel: 192.0.2.1 → example.com
  • NS-post (navneserver): Angiver de autoritative navneservere for et domæne. Eksempel: example.com → ns1.example.com, ns2.example.com
  • SOA-post (Start of Authority): Giver vigtige oplysninger om domænet, herunder den primære navneserver, e-mailen på domæneadministratoren, domæneserienummer (som hjælper med at administrere og synkronisere DNS-data på tværs af flere DNS-servere) samt timere for opdatering, genforsøg og udløb (Eksempel: example.com → ns1.example.com, admin.example.com, 2024041501)
  • TXT-post (tekst): Indeholder vilkårlige tekstdata, der ofte bruges til e-mailbekræftelse (såsom SPF eller DKIM) og andre verifikationsformål. Eksempel: example.com → “v=spf1 include:example.com ~all”
  • SRV-post (tjeneste): Angiver placeringen af servere for specifikke tjenester, såsom internettelefoniprotokollen SIP(nyt vindue), beskedprotokollen XMPP(nyt vindue) osv. Eksempel: _sip._tcp.example.com → 0 5 5060 sipserver.example.com
  • CAA-post (Certification Authority Authorization): Angiver, hvilke certifikatautoriteter (CA’er) der må udstede certifikater til et domæne. Eksempel: example.com → 0 issue “letsencrypt.org”
  • NAPTR-post (Naming Authority Pointer): Bruges til URL-opløsning og til at definere omskrivningsregler for forskellige tjenester som f.eks. VoIP. Eksempel: example.com → 100 50 “s” “SIP+D2U” “” _sip._udp.example.com
  • DNSKEY: Indeholder den offentlige signeringsnøgle, der bruges i DNSSEC (en række specifikationer, der er designet til at tilføje et ekstra sikkerhedslag til DNS).
  • . Eksempel: example.com → 256 3 13 …
  • DS-post (Delegation Signer): Indeholder hashværdien af en DNSKEY-post for at sikre delegationer i DNSSEC. Eksempel: example.com → 12345 13 2 …
  • SPF-post (Sender Policy Framework): Bruges til at definere, hvilke IP-adresser der er godkendt til at sende e-mail på vegne af et domæne. Eksempel: example.com → “v=spf1 ip4:192.0.2.0/24 -all”

Kommandoer til DNS-opslag

DNS-kommandoer bruges til at forespørge, teste og fejlfinde DNS-servere og -poster. Disse kommandoer er vigtige for netværksadministratorer for at sikre, at DNS-tjenesterne fungerer korrekt, da DNS især er afgørende for oversættelsen af domænenavne til IP-adresser.

Nedenfor er nogle ofte anvendte DNS-kommandoer. De kan køre disse kommandoer i et terminalvindue (Linux), Terminal (macOS), Kommandoprompt (cmd) eller PowerShell (Windows), eller endda i en terminalemulator-app på Deres mobilenhed. Det er ikke sikkert, at alle disse kommandoer er tilgængelige som standard på Deres platform, men i næsten alle tilfælde er de nemme at installere.

nslookup

Kommandoen nslookup er et værktøj til at forespørge DNS for at hente tilknytninger af domænenavne eller IP-adresser. De kan også angive en bestemt DNS-server, der skal bruges, og udføre et omvendt DNS-opslag.

nslookup

dig

Kommandoen dig (Domain Information Groper) er et mere kraftfuldt og fleksibelt værktøj til DNS IP-opslag end nslookup. Netværksadministratorer foretrækker det ofte på grund af dets detaljerede output og avancerede indstillinger.

dig

Med dig kan De også forespørge på en specifik DNS-posttype, forespørge på en specifik DNS-server og udføre et omvendt DNS-opslag.

host

Kommandoen host er et andet værktøj til at udføre DNS-opslag. Den er mere enkel end dig, men giver tilstrækkelig information til grundlæggende opgaver, herunder forespørgsel på en specifik DNS-server og udførelse af omvendte DNS-opslag.

host

ping

Kommandoen ping bruges primært til at kontrollere en værts tilgængelighed på et IP-netværk, men den udfører også DNS-opløsning som en del af sin funktion.

ping

traceroute / tracert

Kommandoerne traceroute (på Linux og macOS) og tracert (på Windows) bruges til at spore en pakkes sti fra dens kilde til dens destination. Den oversætter domænenavnet til en IP-adresse og viser hvert hop på vejen til destinationen.

traceroute

ipconfig / ifconfig

Kommandoerne ifconfig (på Linux og macOS) og ipconfig (på Windows) kan bruges til at vise netværkskonfigurationen, herunder de DNS-servere, som systemet bruger. Når de bruges alene, viser de kun aktive grænseflader. Hvis De vil se alle grænseflader i Windows, skal De bruge ipconfig /all.

ipconfig

Værktøjer til DNS-opslag

Ud over kommandolinjeværktøjer som dem, der er nævnt ovenfor, findes der mange onlineværktøjer til DNS-opslag, som tilbyder en grafisk brugergrænseflade (GUI) til at forespørge DNS. Et godt eksempel is vores gratis, sikre IP-scanner, som giver Dem mulighed for at udføre almindelige DNS-opslag, MX-opslag, NS-opslag, CNAME-opslag og TXT-opslag.

DNS-opslag

Den kan også udføre omvendte DNS-opslag (IP-opslag).

Omvendt DNS-opslag

Afsluttende tanker

I bund og grund er DNS blot en kompliceret, automatiseret telefonbog. Det gør internettet brugbart for mennesker, men det kan blive (og bliver) misbrugt af regeringer til at udspionere deres borgere og censurere, hvad de ser. Den bedste måde at omgå disse misbrug af DNS på er at bruge en VPN-tjeneste såsom Proton VPN.

En VPN-tjeneste behandler Deres DNS-forespørgsler sikkert i stedet for Deres ISP, og de fleste anerkendte VPN-tjenester gør det til deres mærkesag at beskytte Deres privatliv.

Selvfølgelig tilbyder en VPN også mange andre fordele, såsom at skjule Deres rigtige IP-adresse for de websteder, De besøger, give forbedret beskyttelse mod, at ISP’er kan overvåge eller censurere Deres internetaktivitet, give mulighed for at streame Deres yndlingsindhold, når De rejser, og meget mere.

Få mere at vide om fordelene ved at bruge en VPN