In dit artikel bespreken we DNS-lookups — wat ze zijn, hoe ze werken en welke invloed ze hebben op online privacy en censuur.
Een DNS-lookup verwijst naar het proces waarbij de URL die u invoert in de adresbalk van uw browser (de leesbare domeinnaam) wordt gekoppeld aan het bijbehorende IP-adres.
Alle apparaten die rechtstreeks verbinding maken met het internet, worden geïdentificeerd door een numeriek label dat bekendstaat als een IP-adres. Om het voor ons als mensen gemakkelijker te maken, kan dit adres ook worden geïdentificeerd met behulp van beter leesbare en memorabele domeinnamen. Het Domain Name System (DNS) koppelt deze domeinnamen aan hun bijbehorende IP-adressen.
Meer informatie over IP-adressen
De website van Proton VPN gebruikt bijvoorbeeld de domeinnaam protonvpn.com, die overeenkomt met het IP-adres 185.159.159.140. Wanneer u www.protonvpn.com in de URL-balk van uw browser typt, moet de domeinnaam worden omgezet in het bijbehorende IP-adres zodat computers deze kunnen begrijpen.
Deze omzetting wordt uitgevoerd met behulp van DNS. Dus wanneer u protonvpn.com typt, zet DNS de domeinnaam om in het IP-adres: 185.159.159.140. Hiermee kan uw browser de juiste website vinden en er verbinding mee maken.
Domeinnamen bestaan uitsluitend voor het menselijk gemak en zijn niet vereist voor de werking van het internet. Als u IP-adressen zou kunnen onthouden, zou u deze rechtstreeks kunnen invoeren. Om dit in actie te zien, voert u gewoon 185.159.159.140 in de URL-balk van uw browser in, en u wordt naar de website van Proton VPN geleid.
- Hoe een DNS-lookup werkt
- DNS, censuur en overheidssurveillance
- DNS-diensten van derden
- DNS en VPN’s
- NetShield Ad-blocker
- DNS-lekken
- Veelvoorkomende DNS-recordtypen
- DNS-lookup-opdrachten
- DNS-lookup-tools
Hoe een DNS-lookup werkt
DNS wordt vaak vergeleken met een telefoonboek dat een kruisverwijzing bevat tussen domeinnamen en hun bijbehorende IP-adressen. Dit is een nuttige analogie om te begrijpen wat DNS doet, maar de realiteit van de werking ervan is complexer.
DNS-resolver
Wanneer u een domeinnaam invoert in de URL-balk van uw browser, wordt er een DNS-query verzonden naar een speciale server die een DNS-resolver wordt genoemd (ook wel DNS-recursor of gewoon DNS-server genoemd).
Zoals de naam al doet vermoeden, lost de DNS-resolver de DNS-query op door het bijbehorende IP-adres van het domein op te halen en dit terug te sturen naar uw browser. Nu uw browser het IP-adres weet van de website die u wilt bezoeken, kan deze er verbinding mee maken.
Tot zover heel eenvoudig. Maar hoe haalt de DNS-resolver het juiste DNS-adres voor een domein op (een proces dat complexer wordt gemaakt door het feit dat er voortdurend nieuwe domeinen worden gemaakt en IP-adressen vaak dynamisch aan domeinen worden toegewezen en dus regelmatig veranderen)?
Hoe een domein wordt opgelost met behulp van DNS
Een DNS-lookup voor een top-level domein(nieuw venster) (TLD) omvat doorgaans de volgende stappen:
1. U typt protonvpn.com in de URL-balk van uw browser. Uw browser verzendt deze query over het internet naar een DNS-resolver.
2. De DNS-resolver verzendt een query naar een DNS-root-nameserver. Dit is een server die informatie over TLD’s opslaat (zoals .com of .net, of landcode-TLD’s zoals .ch of .uk). Aangezien onze query (protonvpn.com) was, zou de DNS-root-nameserver verwijzen naar de DNS-resolver voor ‘.com’-TLD’s.
3. Gewapend met deze informatie zal de DNS-resolver nu een query verzenden naar de .com-TLD-nameserver, die een lijst van alle .com-domeinen bijhoudt. De TLD-nameserver antwoordt met het IP-adres van de autoritatieve nameserver van het domein.
4. De DNS-resolver kan nu een query verzenden naar de autoritatieve nameserver van het domein. Deze wordt doorgaans beheerd door een domeinnaamregistrar(nieuw venster) — een bedrijf dat domeinnamen verhuurt en beheert (zoals GoDaddy of Namecheap). De autoritatieve nameserver is the uiteindelijke bron van waarheid over het domein en kan het IP-adres ervan terugsturen naar de DNS-resolver (in ons geval is dit 185.159.159.140).
5. De DNS-resolver verzendt het juiste IP-adres naar uw browser, die nu verbinding kan maken met 185.159.159.140.

In werkelijkheid is de situatie iets ingewikkelder. Veel domeinen zijn bijvoorbeeld gekoppeld aan meerdere IP-adressen (waaronder zowel IPv4- als IPv6-adressen), en er zijn extra stappen vereist als u een subdomein bezoekt (zoals blog.protonvpn.com).
Informatie wordt in alle fasen van het proces ook routinematig gecached (lokaal opgeslagen) — door uw browser, door de DNS-resolver en door de verschillende nameservers. Als de vereiste informatie in een cache wordt gevonden, wordt er geen verzoek verzonden, wat ertoe leidt dat sommige stappen worden overgeslagen.
In wezen is dit echter hoe DNS werkt voor een vrij standaard bezoek aan een website.
DNS, censuur en overheidssurveillance
Standaard verzendt uw browser uw DNS-queries naar een DNS-resolver die wordt beheerd door uw internet service provider (ISP). Uw ISP kan verschillende methoden gebruiken om te zien wat u op het internet doet, maar de eenvoudigste (en goedkoopste) manier is simpelweg het monitoren van uw DNS-queries.
De meeste spionageprogramma’s van overheden voor de massa zijn erop gebaseerd dat ISP’s verplicht worden om logboeken van de browsegeschiedenis van hun klanten bij te houden. En omdat het eenvoudig en goedkoop is, voldoen de meeste ISP’s aan deze wettelijke verplichtingen door alleen DNS-logboeken bij te houden.
Op dezelfde manier vragen overheden, wanneer ze internetinhoud willen censureren op basis van sociale, religieuze, politieke of ‘morele’ gronden, aan binnenlandse ISP’s om deze blokkades af te dwingen. En de eenvoudigste manier om dit te doen is door DNS-queries naar specifieke websites en apps te blokkeren.
DNS-diensten van derden
Een manier om ten minste een deel van deze censuur en surveillance te vermijden, is door een DNS-resolver van derden te gebruiken, zoals Cloudflare 1.1.1.1 of OpenNIC.
Sommige van deze diensten hebben mogelijk een goed privacybeleid, maar tenzij verbindingen met de DNS-resolverservers zijn versleuteld met DNS over TLS (DoT) of DNS over HTTPS (DoH), kan uw ISP de verzoeken in tekst zonder opmaak inzien, mocht deze besluiten te kijken.
Het versleutelen van DNS-queries maakt het voor een ISP moeilijker (en dus duurder) om uw browsegeschiedenis te monitoren, maar deze kan nog steeds vrij eenvoudig traceren met welke websites en apps u verbinding maakt als deze dat wil.
DNS en VPN’s
Bij het gebruik van een VPN (zoals Proton VPN) is uw verbinding met de VPN-server versleuteld. Met enige inspanning kan uw ISP zien dat u verbinding hebt gemaakt met een IP-adres dat bij de VPN-server hoort, maar dat is alles.
DNS-queries worden via de VPN-tunnel verzonden en opgelost door de VPN-provider, die mogelijk een eigen DNS-resolver beheert of een VPN-resolver van derden gebruikt. Dit heeft geen gevolgen voor de privacy, aangezien de DNS-queries afkomstig lijken te zijn van de VPN-server en niet van de VPN-gebruiker.
Het is vermeldenswaard dat er geen behoefte is aan versleutelde DNS bij het gebruik van een VPN, aangezien alle DNS-queries toch al via de versleutelde VPN-tunnel worden verzonden.
Het wordt ook niet aanbevolen om een DNS-resolver van derden te gebruiken in combinatie met een VPN. Als u uw systeem op deze manier configureert, kan dit ertoe leiden dat uw DNS-queries buiten de VPN-tunnel naar de DNS-resolver van derden worden verzonden.
NetShield Ad-blocker
Proton VPN biedt NetShield Ad-blocker in al onze apps. Dit is een functie voor DNS-filtering die DNS-queries blokkeert naar domeinen waarvan bekend is dat ze toebehoren aan advertentiebedrijven, online trackers en malware. Deze functie (en andere vergelijkbare diensten voor DNS-filtering) werkt op het niveau van de DNS-resolver door DNS-queries naar op de zwarte lijst geplaatste domeinen simpelweg niet op te lossen.
Meer informatie over NetShield Ad-blocker
Technisch gezien is dit een DNS-lek (zie hieronder). Dit hoeft geen groot probleem te zijn als de DNS-query is versleuteld en u de DNS-resolver vertrouwt, maar het introduceert een onnodige derde partij (en dus een potentieel zwak punt) in de vergelijking.
DNS-lekken
Bij het gebruik van een VPN moeten alle DNS-query’s door de VPN-tunnel worden verzonden om door de VPN-provider te worden opgelost. Als de DNS-query om welke reden dan ook buiten de VPN-tunnel naar een DNS-resolver van derden wordt verzonden, is er een DNS-lek opgetreden. Het niet correct routeren van IPv6 DNS-verzoeken door de VPN-tunnel is een veelvoorkomende oorzaak van DNS-lekken.
Aangezien deze derde partij waarschijnlijk uw ISP is, vormen DNS-lekken een ernstig privacyprobleem. Het behoeft geen betoog dat alle Proton VPN-apps een sterke ingebouwde DNS-lekbeveiliging hebben.
Veelvoorkomende typen DNS-records
Hier zijn enkele van de belangrijkste typen DNS-records die kunnen worden opgezocht:
- A (Address)-record: Koppelt een domeinnaam aan een IPv4-adres. Voorbeeld: example.com → 192.0.2.1
- AAAA (Quad A)-record: Koppelt een domeinnaam aan een IPv6-adres. Voorbeeld: example.com → 2001:0db8:85a3:0000:0000:8a2e:0370:7334
- CNAME (Canonical Name)-record: Koppelt een domeinnaam aan een andere domeinnaam, waardoor de ene naam effectief een alias wordt van de andere. Voorbeeld: www.example.com → example.com
- MX (Mail Exchange)-record: Specificeert de e-mailservers die verantwoordelijk zijn voor het ontvangen van e-mail namens een domein. Voorbeeld: example.com → mail.example.com (prioriteit 10 — het prioriteitsnummer geeft de voorkeur aan, waarbij verzoeken met een lagere prioriteit de voorkeur hebben).
- PTR (Pointer)-record: Koppelt een IP-adres aan een domeinnaam, voornamelijk gebruikt voor omgekeerde DNS-zoekopdrachten. Voorbeeld: 192.0.2.1 → example.com
- NS (Name Server)-record: Specificeert de autoritatieve naamservers voor een domein. Voorbeeld: example.com → ns1.example.com, ns2.example.com
- SOA (Start of Authority)-record: Biedt belangrijke informatie over het domein, waaronder de primaire naamserver, het e-mailadres van de domeinbeheerder, het serienummer van het domein (dat helpt bij het beheren en synchroniseren van DNS-gegevens over meerdere DNS-servers) en timers voor vernieuwen, opnieuw proberen en verlopen (Voorbeeld: example.com → ns1.example.com, admin.example.com, 2024041501)
- TXT (Text)-record: Bevat willekeurige tekstgegevens, vaak gebruikt voor e-mailvalidatie (zoals SPF of DKIM) en andere verificatiedoeleinden. Voorbeeld: example.com → “v=spf1 include:example.com ~all”
- SRV (Service)-record: Specificeert de locatie van servers for specifieke diensten, zoals het SIP(nieuw venster)-internettelefonieprotocol, het XMPP(nieuw venster)-berichtenprotocol, enz. Voorbeeld: _sip._tcp.example.com → 0 5 5060 sipserver.example.com
- CAA (Certification Authority Authorization)-record: Specificeert welke certificeringsinstanties (CA’s) certificaten mogen uitgeven voor een domein. Voorbeeld: example.com → 0 issue “letsencrypt.org”
- NAPTR (Naming Authority Pointer)-record: Wordt gebruikt voor URL-resolutie en het definiëren van herschrijfregels voor verschillende diensten zoals VoIP. Voorbeeld: example.com → 100 50 “s” “SIP+D2U” “” _sip._udp.example.com
- DNSKEY: Bevat de openbare ondertekeningssleutel die wordt gebruikt in DNSSEC (een reeks specificaties die is ontworpen om een extra beveiligingslaag aan DNS toe te voegen).
- . Voorbeeld: example.com → 256 3 13 …
- DS (Delegation Signer)-record: Bevat de hash van een DNSKEY-record om delegaties in DNSSEC te beveiligen. Voorbeeld: example.com → 12345 13 2 …
- SPF (Sender Policy Framework)-record: Wordt gebruikt om te definiëren welke IP-adressen geautoriseerd zijn om e-mail te verzenden namens een domein. Voorbeeld: example.com → “v=spf1 ip4:192.0.2.0/24 -all”
DNS-lookup-commando’s
DNS-commando’s worden gebruikt om DNS-servers en -records op te vragen, te testen en problemen ermee op te lossen. Deze commando’s zijn essentieel voor netwerkbeheerders om ervoor te zorgen dat DNS-diensten correct werken, aangezien DNS cruciaal is voor het omzetten van domeinnamen naar IP-adressen.
Hieronder vindt u enkele veelgebruikte DNS-commando’s. U kunt deze commando’s uitvoeren in een terminalvenster (Linux), Terminal (macOS), Opdrachtprompt (cmd) of PowerShell (Windows), of zelfs een terminalemulator-app op uw mobiele apparaat. Mogelijk zijn niet al deze commando’s direct beschikbaar (‘out-of-the-box’) op uw platform, maar in bijna alle gevallen zijn ze eenvoudig te installeren.
nslookup
Het commando nslookup is een tool voor het opvragen van de DNS om de koppeling van een domeinnaam of IP-adres te verkrijgen. U kunt ook een specifieke DNS-server opgeven om te gebruiken en een omgekeerde DNS-zoekopdracht uitvoeren.

dig
Het commando dig (Domain Information Groper) is een krachtigere en flexibelere DNS IP-lookup-tool dan nslookup. Netwerkbeheerders geven er vaak de voorkeur aan vanwege de gedetailleerde uitvoer en geavanceerde opties.

Met dig kunt u ook een specifiek type DNS-record opvragen, een specifieke DNS-server opvragen en een omgekeerde DNS-zoekopdracht uitvoeren.
host
Het commando host is een andere tool voor het uitvoeren van DNS-zoekopdrachten. Het is eenvoudiger dan dig, maar biedt voldoende informatie voor basistaken, waaronder het opvragen van een specifieke DNS-server en het uitvoeren van omgekeerde DNS-zoekopdrachten.

ping
Het commando ping wordt voornamelijk gebruikt om de bereikbaarheid van een host op een IP-netwerk te controleren, maar voert als onderdeel van de werking ook DNS-resolutie uit.

traceroute / tracert
De commando’s traceroute (op Linux en macOS) en tracert (op Windows) worden gebruikt om het pad van een pakket te traceren, van de bron naar de bestemming. Het zet de domeinnaam om naar een IP-adres en toont elke hop op weg naar de bestemming.

ipconfig / ifconfig
De commando’s ifconfig (op Linux en macOS) en ipconfig (op Windows) kunnen worden gebruikt om de netwerkconfiguratie weer te geven, inclusief de DNS-servers die het systeem gebruikt. Wanneer het commando op zichzelf wordt gebruikt, worden alleen actieve interfaces weergegeven. Om alle interfaces op Windows te zien, gebruikt u ipconfig /all.

DNS-lookup-tools
Naast commandoregel-tools zoals de hierboven besproken hulpprogramma’s, zijn er veel online DNS-lookup-tools die een grafische gebruikersinterface (GUI) bieden om DNS op te vragen. Een goed voorbeeld is onze gratis veilige IP-scanner, waarmee u reguliere DNS-lookups, MX-lookups, NS-lookups, CNAME-lookups en TXT-lookups kunt uitvoeren.

Het kan ook omgekeerde DNS-zoekopdrachten uitvoeren (IP-lookup).

Laatste gedachten
In de kern is DNS gewoon een ingewikkeld, geautomatiseerd telefoonboek. Het maakt het internet bruikbaar voor mensen, maar het kan worden (en wordt) misbruikt door overheden om hun burgers te bespioneren en te censureren wat ze zien. De beste manier om dit misbruik van DNS te omzeilen is door een VPN-dienst zoals Proton VPN te gebruiken.
Een VPN-dienst lost uw DNS-query’s veilig op in plaats van uw ISP, en de meeste gerenommeerde VPN-diensten maken er hun werk van om uw privacy te beschermen.
Natuurlijk biedt een VPN ook vele andere voordelen, zoals het verbergen van uw echte IP-adres voor websites die u bezoekt, een betere bescherming tegen het feit dat ISP’s uw internetactiviteit kunnen controleren of censureren, het kunnen streamen van uw favoriete inhoud wanneer u op reis bent, en meer.







