I den här artikeln diskuterar vi DNS-sökningar – vad de är, hur de fungerar och hur de påverkar integritet och censur online.
En DNS-sökning avser processen att matcha den URL du anger i din webbläsares adressfält (det läsbara domännamnet) med dess motsvarande IP-adress.
Alla enheter som ansluter direkt till internet identifieras med en sifferbeteckning som kallas IP-adress. För att underlätta för oss människor kan denna adress också identifieras med mer läsbara och minnesvärda domännamn. Domain Name System (DNS) mappar dessa domännamn till deras motsvarande IP-adresser.
Till exempel använder Proton VPN-webbplatsen domännamnet protonvpn.com, vilket motsvarar IP-adressen 185.159.159.140. När du skriver www.protonvpn.com i din webbläsares URL-fält måste domännamnet konverteras till dess motsvarande IP-adress för att datorer ska förstå det.
Denna konvertering utförs med hjälp av DNS. Så när du skriver in protonvpn.com konverterar DNS domännamnet till IP-adressen: 185.159.159.140. Detta gör att din webbläsare kan hitta och ansluta till rätt webbplats.
Domännamn finns enbart för mänsklig bekvämlighet och krävs inte för att internet ska fungera. Om du kunde komma ihåg IP-adresser skulle du kunna skriva in dem direkt. För att se hur det fungerar i praktiken anger du helt enkelt 185.159.159.140 i din webbläsares URL-fält, så kommer du till Proton VPN-webbplatsen.
- Hur en DNS-sökning fungerar
- DNS, censur och statlig övervakning
- Tredjeparts-DNS-tjänster
- DNS och VPN-tjänster
- NetShield Ad-blocker
- DNS-läckor
- Vanliga typer av DNS-poster
- Kommandon för DNS-sökning
- Verktyg för DNS-sökning
Hur en DNS-sökning fungerar
DNS jämförs ofta med en telefonkatalog som korsrefererar domännamn och deras motsvarande IP-adresser. Det här är en användbar analogi för att förstå vad DNS gör, men verkligheten bakom hur det fungerar är mer komplex.
DNS-resolver
När du anger ett domännamn i din webbläsares URL-fält skickas en DNS-fråga till en speciell server som kallas en DNS-resolver (även DNS-recursor eller bara DNS-server).
Som namnet antyder matchar DNS-resolvern DNS-frågan genom att hämta domänens motsvarande IP-adress och skicka tillbaka den till din webbläsare. Nu när den känner till IP-adressen för den webbplats du vill besöka, kan din webbläsare ansluta till den.
Så långt är det enkelt. Men hur hämtar DNS-resolvern rätt DNS-adress för en domän (en process som kompliceras av det faktum att nya domäner skapas hela tiden, och IP-adresser ofta tilldelas dynamiskt till domäner och därför ändras regelbundet)?
Hur en domän matchas med hjälp av DNS
En DNS-sökning för en toppdomän(nytt fönster) (TLD) omfattar vanligtvis följande steg:
1. Du skriver protonvpn.com i din webbläsares URL-fält. Din webbläsare skickar denna fråga över internet till en DNS-resolver.
2. DNS-resolvern skickar en fråga till en DNS-rotserver. Det här är en server som lagrar information om toppdomäner (som .com eller .net, eller landskodstoppdomäner som .ch eller .uk). Eftersom vår fråga gällde (protonvpn.com) skulle DNS-rotservern peka på DNS-resolvern för “.com”-toppdomäner.
3. Rustad med denna information kommer DNS-resolvern nu att skicka en fråga till .com-TLD-namnservern, som underhåller en lista över alla .com-domäner. TLD-namnservern svarar med IP-adressen för domänens auktoritativa namnserver.
4. DNS-resolvern kan nu skicka en fråga till domänens auktoritativa namnserver. Denna drivs vanligtvis av en domännamnsregistrator(nytt fönster) – ett företag som hyr ut och hanterar domännamn (som GoDaddy eller Namecheap). Den auktoritativa namnservern är den slutgiltiga källan för information om domänen och kan returnera dess IP-adress till DNS-resolvern (i vårt fall kommer detta att vara 185.159.159.140).
5. DNS-resolvern skickar rätt IP-adress till din webbläsare, som nu kan ansluta till 185.159.159.140.

I verkligheten är situationen lite mer komplicerad. Till exempel är många domäner associerade med flera IP-adresser (inklusive både IPv4- och IPv6-adresser), och det krävs ytterligare steg om du besöker en underdomän (som blog.protonvpn.com).
Information cachelagras (lagras lokalt) också regelbundet i alla skeden av processen – av din webbläsare, av DNS-resolvern och av de olika namnservrarna. Om den information som krävs hittas i en cache skickas ingen begäran, vilket leder till att vissa steg hoppas över.
Men i huvudsak är det så här DNS fungerar vid ett ganska vanligt besök på en webbplats.
DNS, censur och statlig övervakning
Som standard skickar din webbläsare dina DNS-frågor till en DNS-resolver som drivs av din internetleverantör (isp). Din internetleverantör kan använda olika metoder för att se vad du gör på internet, men det absolut enklaste (och billigaste) sättet är att helt enkelt övervaka dina DNS-frågor.
De flesta statliga program för massövervakning bygger på att kräva att internetleverantörer sparar loggar över sina kunders webbhistorik. Och eftersom det är enkelt och billigt uppfyller de flesta internetleverantörer dessa lagliga skyldigheter genom att endast spara DNS-loggar.
På samma sätt, när regeringar vill censurera internetinnehåll av sociala, religiösa, politiska eller ”moraliska” skäl, ber de inhemska internetleverantörer att genomföra dessa blockeringar. Och det enklaste sättet att göra detta är att blockera DNS-frågor till specifika webbplatser och appar.
Tredjeparts-DNS-tjänster
Ett sätt att undvika åtminstone en del av denna censur och övervakning är att använda en DNS-resolver från tredje part, som Cloudflare 1.1.1.1 eller OpenNIC.
Vissa av dessa tjänster kan ha bra integritetspolicyer, men om inte anslutningarna till DNS-resolverns servrar är krypterade med DNS över TLS (DoT) eller DNS över HTTPS (DoH), kan din internetleverantör se förfrågningarna i oformaterad text om den väljer att titta.
Att kryptera DNS-frågor gör det svårare (och därmed dyrare) för en internetleverantör att övervaka din webbhistorik, men den kan fortfarande ganska enkelt spåra vilka webbplatser och appar du ansluter till om den vill.
DNS och VPN-tjänster
När du använder ett VPN (som Proton VPN) är din anslutning till VPN-servern krypterad. Med viss ansträngning kan din internetleverantör se att du har anslutit till en IP-adress som tillhör VPN-servern, men det är allt.
DNS-frågor skickas genom VPN-tunneln och matchas av VPN-leverantören, som kan köra sin egen DNS-resolver eller använda en VPN-resolver från tredje part. Detta har inga konsekvenser för integriteten eftersom DNS-frågorna ser ut att komma från VPN-servern, inte VPN-användaren.
Det är värt att notera att det inte finns något behov av krypterad DNS när du använder ett VPN, as alla DNS-frågor ändå skickas genom den krypterade VPN-tunneln.
Det rekommenderas inte heller att använda en DNS-resolver från tredje part tillsammans med ett VPN. Om du konfigurerar ditt system på detta sätt kan det leda till att dina DNS-frågor skickas utanför VPN-tunneln till DNS-resolvern från tredje part.
NetShield Ad-blocker
Proton VPN erbjuder NetShield Ad-blocker i alla våra appar. Detta är en DNS-filtreringsfunktion som blockerar DNS-frågor till domäner som är kända för att tillhöra reklamföretag, onlinespårare och skadlig kod. Den (och andra liknande DNS-filtreringstjänster) fungerar på DNS-resolvernivå genom att helt enkelt låta bli att matcha DNS-frågor till blocklistade domäner.
Lär dig mer om NetShield Ad-blocker
Tekniskt sett utgör detta en DNS-läcka (se nedan). Det behöver inte vara ett stort problem om DNS-frågan är krypterad och du litar på DNS-matcharen, men det introducerar en onödig tredje part (och därmed en potentiell svag punkt) i ekvationen.
DNS-läckor
När du använder ett VPN bör alla DNS-frågor skickas genom VPN-tunneln för att matchas av VPN-leverantören. Om DNS-frågan av någon anledning skickas utanför VPN-tunneln till en tredjeparts-DNS-matchare har en DNS-läcka uppstått. Misslyckande med att dirigera IPv6-DNS-begäranden på rätt sätt genom VPN-tunneln är en vanlig orsak till DNS-läckor.
Eftersom denna tredje part sannolikt är din internetleverantör utgör DNS-läckor ett allvarligt hot mot din integritet. Det behöver knappast sägas att alla Proton VPN-appar har ett starkt inbyggt skydd mot DNS-läckor.
Vanliga DNS-posttyper
Här är några av de viktigaste DNS-posttyperna som kan slås upp:
- A-post (adress): Kopplar ett domännamn till en IPv4-adress. Exempel: example.com → 192.0.2.1
- AAAA-post (Quad A): Kopplar ett domännamn till en IPv6-adress. Exempel: example.com → 2001:0db8:85a3:0000:0000:8a2e:0370:7334
- CNAME-post (Canonical Name): Kopplar ett domännamn till ett annat domännamn, vilket i praktiken ger ett namn ett alias. Exempel: www.example.com → example.com
- MX-post (Mail Exchange): Anger de e-postservrar som ansvarar för att ta emot e-post för en domän. Exempel: example.com → mail.example.com (prioritet 10 — prioritetsnumret anger preferens, där begäranden med lägre prioritet föredras).
- PTR-post (Pointer): Kopplar en IP-adress till ett domännamn, och används främst för omvända DNS-uppslagningar. Exempel: 192.0.2.1 → example.com
- NS-post (Name Server): Anger de auktoritativa namnservrarna för en domän. Exempel: example.com → ns1.example.com, ns2.example.com
- SOA-post (Start of Authority): Ger viktig information om domänen, inklusive den primära namnservern, e-post till domänens administratör, domänens serienummer (som hjälper till att hantera och synkronisera DNS-data över flera DNS-servrar) samt timrar för uppdatering, återförsök och förfall (Exempel: example.com → ns1.example.com, admin.example.com, 2024041501)
- TXT-post (Text): Innehåller godtyckliga textdata, som ofta används för e-postvalidering (som SPF eller DKIM) och andra verifieringsändamål. Exempel: example.com → “v=spf1 include:example.com ~all”
- SRV-post (Service): Anger platsen för servrar för specifika tjänster, såsom internettelefoniprotokollet SIP(nytt fönster), meddelandeprotokollet XMPP(nytt fönster) osv. Exempel: _sip._tcp.example.com → 0 5 5060 sipserver.example.com
- CAA-post (Certification Authority Authorization): Anger vilka certifikatutfärdare (CA) som har tillåtelse att utfärda certifikat för en domän. Exempel: example.com → 0 issue “letsencrypt.org”
- NAPTR-post (Naming Authority Pointer): Används för URL-matchning och för att definiera omskrivningsregler för olika tjänster som VoIP. Exempel: example.com → 100 50 “s” “SIP+D2U” “” _sip._udp.example.com
- DNSKEY: Innehåller den offentliga signeringsnyckeln som används i DNSSEC (en uppsättning specifikationer utformade för att lägga till ett extra säkerhetslager till DNS).
- . Exempel: example.com → 256 3 13 …
- DS-post (Delegation Signer): Innehåller hashvärdet för en DNSKEY-post för att säkra delegationer i DNSSEC. Exempel: example.com → 12345 13 2 …
- SPF-post (Sender Policy Framework): Används för att definiera vilka IP-adresser som är auktoriserade att skicka e-post å en domäns vägnar. Exempel: example.com → “v=spf1 ip4:192.0.2.0/24 -all”
Kommandon för DNS-uppslagning
DNS-kommandon används för att fråga, testa och felsöka DNS-servrar och DNS-poster. Dessa kommandon är nödvändiga för nätverksadministratörer för att säkerställa att DNS-tjänster fungerar korrekt, eftersom DNS är avgörande för matchningen av domännamn till IP-adresser.
Nedan visas några vanliga DNS-kommandon. Du kan köra dessa kommandon i ett terminalfönster (Linux), Terminal (macOS), Kommandotolken (cmd) eller PowerShell (Windows), eller till och med i en terminalemulatorapp på din mobila enhet. Alla dessa kommandon kanske inte är tillgängliga direkt som standard på din plattform, men i nästan alla fall är de enkla att installera.
nslookup
Kommandot nslookup är ett verktyg för att fråga DNS för att hämta domännamn eller IP-adresskopplingar. Du kan också ange en specifik DNS-server som ska användas och utföra en omvänd DNS-uppslagning.

dig
Kommandot dig (Domain Information Groper) är ett mer kraftfullt och flexibelt verktyg för DNS- och IP-uppslagning än nslookup. Nätverksadministratörer föredrar det ofta på grund av dess detaljerade utdata och avancerade alternativ.

Med dig kan du också fråga efter en specifik DNS-posttyp, fråga en specifik DNS-server och utföra en omvänd DNS-uppslagning.
host
Kommandot host är ett annat verktyg för att utföra DNS-uppslagningar. Det är enklare än dig men ger tillräcklig information för grundläggande uppgifter, inklusive att fråga en specifik DNS-server och utföra omvända DNS-uppslagningar.

ping
Kommandot ping används främst för att kontrollera en värds nåbarhet på ett IP-nätverk, men det utför även DNS-matchning som en del av sin funktion.

traceroute / tracert
Kommandona traceroute (på Linux och macOS) och tracert (på Windows) används för att spåra ett pakets väg från dess källa till dess destination. Det matchar domännamnet till en IP-adress och visar varje hopp på vägen till destinationen.

ipconfig / ifconfig
Kommandona ifconfig (på Linux och macOS) och ipconfig (på Windows) kan användas för att visa nätverkskonfigurationen, inklusive de DNS-servrar som systemet använder. När det används ensamt visas endast aktiva gränssnitt. För att se alla gränssnitt i Windows använder du ipconfig /all.

Verktyg för DNS-uppslagning
Förutom kommandoradsverktyg som de som diskuterats ovan finns det många DNS-uppslagsverktyg online som erbjuder ett grafiskt användargränssnitt (GUI) för att fråga DNS. Ett bra exempel är vår kostnadsfria och säkra IP-skanner, som gör att du kan utföra vanliga DNS-uppslagningar, MX-uppslagningar, NS-uppslagningar, CNAME-uppslagningar och TXT-uppslagningar.

Det kan också utföra omvända DNS-uppslagningar (IP-uppslagning).

Slutgiltiga tankar
I grund och botten är DNS bara en komplicerad, automatiserad telefonbok. Den gör internet användbart för människor, men den kan (och blir) missbrukad av regeringar för att spionera på sina medborgare och censurera det de ser. Det bästa sättet att kringgå dessa missbruk av DNS är att använda en VPN-tjänst som Proton VPN.
En VPN-tjänst matchar dina DNS-frågor på ett säkert sätt istället för din internetleverantör, och de flesta välrenommerade VPN-tjänster gör det till sin uppgift att skydda din integritet.
Naturligtvis erbjuder ett VPN också många andra fördelar, som att dölja din verkliga IP-adress för webbplatser du besöker, ge ett förbättrat skydd mot att internetleverantörer kan övervaka eller censurera din internetaktivitet, göra det möjligt att streama ditt favoritinnehåll när du reser och mycket mer.







