Dieses Tool führt eine DNS-Abfrage über den öffentlichen DoH-Resolver von Cloudflare über HTTPS durch und zeigt Ihnen die A- und AAAA-Einträge, die für jeden von Ihnen eingegebenen Hostnamen zurückgegeben werden. Es zeigt weder die DNS-Serverliste Ihres Routers noch die konfigurierten Resolver Ihres Betriebssystems an, da Webbrowser diese aus Sicherheitsgründen nicht auslesen dürfen. Ich habe diesen Hinweis in großer Schrift hinzugefügt, da dies die häufigste Fehlerquelle beim Verständnis dieser Seite ist. Im Folgenden erkläre ich, wie DNS funktioniert, wie Sie Ihren tatsächlichen Resolver über das Terminal finden und warum Ihr Browser den vom Router zugewiesenen DNS-Server möglicherweise bereits ignoriert.
Was ist DNS eigentlich?
Das DNS (Domain Name System) ist das Telefonbuch des Internets, das menschenlesbare Hostnamen wie example.com in IP-Adressen übersetzt, mit denen sich Software verbinden kann. Es wurde 1987 in den RFCs RFC 1034 und RFC 1035 definiert, und das Kernprotokoll ist im Wesentlichen unverändert geblieben, obwohl das Ökosystem darum herum enorm gewachsen ist.
Die Abfragekette besteht aus drei Akteuren. Ein autoritativer Nameserver enthält die tatsächlichen Zonendaten einer Domain, die von der Person festgelegt werden, die die Domain kontrolliert. Ein rekursiver Resolver (auch Full-Service-Resolver genannt) übernimmt die Arbeit, in Ihrem Namen autoritative Server abzufragen, speichert die Antworten im Cache und gibt die Ergebnisse an den Client zurück. Ein Stub-Resolver ist der winzige DNS-Client in Ihrem Betriebssystem; er leitet Anfragen an einen rekursiven Resolver weiter und tut sonst nichts. Wenn Sie eine URL eingeben, fragt Ihr Stub-Resolver Ihren konfigurierten rekursiven Resolver ab, der entweder die Antwort im Cache hat oder den DNS-Baum ausgehend von den Root-Servern durchläuft, bis er den autoritativen Server für diese Domain findet.
Die häufigsten Eintragstypen (Records), auf die Sie stoßen werden:
- A ordnet einen Namen einer IPv4-Adresse zu. Die meisten Websites veröffentlichen mindestens einen.
- AAAA ordnet einen Namen einer IPv6-Adresse zu. Wird bei Dual-Stack-Websites zusammen mit A-Einträgen veröffentlicht.
- CNAME ist ein Alias, der von einem Namen auf einen anderen verweist. Er kann nicht gleichzeitig mit anderen Einträgen an der Zonen-Spitze (der nackten Domain wie
example.com) existieren, weshalb CDNs proprietäre ALIAS- oder ANAME-Erweiterungen für Root-Domains verwenden. - MX gibt die für eine Domain zuständigen Mailserver an, mit Prioritätswerten zur Steuerung der Failover-Reihenfolge.
- TXT enthält beliebigen Text, meistens SPF-Einträge zur E-Mail-Authentifizierung, öffentliche DKIM-Schlüssel und Eigentumsnachweise für Dienste wie die Google Search Console.
Jeder Eintrag hat eine TTL (Time To Live, Gültigkeitsdauer) in Sekunden. Rekursive Resolver speichern die Antwort für diese Dauer im Cache, bevor sie eine neue Kopie abrufen. Eine TTL von 300 bedeutet, dass Resolver alle 5 Minuten aktualisiert werden; eine TTL von 86400 bedeutet einmal am Tag. Aus diesem Grund dauert die „DNS-Propagierung“ nach einer Änderung eine gewisse Zeit: Jeder Resolver im Internet, der den alten Eintrag zwischengespeichert hat, muss warten, bis seine TTL abläuft, bevor er den neuen sieht. Es ist gängige Praxis, die TTL vor einer geplanten Migration auf 300 zu senken und danach wieder zu erhöhen.
Wie diese Seite Ihren DNS-Resolver erkennt
Dieses Tool erkennt Ihren konfigurierten Resolver nicht direkt. Stattdessen sendet es eine DNS-Anfrage von Ihrem Browser an die DoH-API von Cloudflare unter cloudflare-dns.com/dns-query im Format application/dns-json und zeigt die A- und AAAA-Einträge an, die Cloudflare für den von Ihnen eingegebenen Hostnamen zurückgibt. Das Ergebnis zeigt Ihnen, was der Resolver 1.1.1.1 von Cloudflare sieht, was in der Regel die autoritative Antwort ohne lokale Filterung ist.
Die vier großen öffentlichen Resolver haben jeweils unterschiedliche Netzwerk-Eigenschaften und Richtlinien. Ich verwende hier Cloudflare, da es in unabhängigen Latenz-Benchmarks konsistent zu den schnellsten gehört und eine klare Datenschutzrichtlinie bietet. Die anderen:
- Google 8.8.8.8 / 8.8.4.4 ist der volumenmäßig größte öffentliche Resolver. Google protokolliert Anfragen und anonymisiert sie nach 24 bis 48 Stunden. Standardmäßig keine Malware-Filterung.
- Quad9 9.9.9.9 / 149.112.112.112 blockiert Domains, die mit Malware und Phishing in Verbindung gebracht werden, mithilfe von Bedrohungsinformationen von über 20 Partnern. Es protokolliert keine personenbezogenen Daten und wird von einer Schweizer Non-Profit-Organisation betrieben.
- OpenDNS 208.67.222.222 / 208.67.220.220 (jetzt Cisco) bietet konfigurierbare Filterkategorien. Es protokolliert Anfragen; Family- und Enterprise-Tarife fügen Weiterleitungen zu Blockierungsseiten hinzu.
Wenn sich das Ergebnis dieses Tools von dem unterscheidet, was dig oder nslookup auf Ihrem Rechner zurückgeben, liegt die häufigste Ursache darin, dass Ihr Betriebssystem-Resolver eine ältere Antwort zwischenspeichert oder ein Split-Horizon-Ergebnis (eine private IP für interne Hostnamen) zurückgibt.
DNS über die Befehlszeile finden
Um zu sehen, welchen Resolver Ihr Betriebssystem tatsächlich verwendet (und nicht, was eine Webseite vermutet), benötigen Sie ein Terminal. Diese Befehle funktionieren auf allen drei großen Plattformen, ohne dass zusätzliche Software installiert werden muss.
Windows (PowerShell)
# DNS-Server pro Netzwerkadapter anzeigen
Get-DnsClientServerAddress
# Einen bestimmten Resolver zum Testen abfragen
nslookup example.com 1.1.1.1
# Lokalen DNS-Cache leeren
ipconfig /flushdnsGet-DnsClientServerAddress listet die DNS-Server auf, die jeder Netzwerkschnittstelle zugewiesen sind, einschließlich der primären und sekundären Server. Wenn Ihr VPN aktiv ist, sehen Sie oft den Unternehmens-DNS-Server auf dem VPN-Adapter und Ihren ISP oder Router auf dem WLAN-Adapter. Welcher von Windows zuerst verwendet wird, hängt von der Schnittstellenmetrik ab.
macOS (Terminal)
# Alle Resolver-Konfigurationen anzeigen (inklusive mDNS und VPN)
scutil --dns
# Abfragen und Antwort + Zeitmessung anzeigen
dig example.com +stats
# Einen bestimmten Resolver abfragen
dig @9.9.9.9 example.com
# DNS-Cache leeren
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponderscutil --dns zeigt die vollständige Resolver-Liste, die macOS verwendet, einschließlich domain-spezifischer Überschreibungen, die durch VPN-Profile festgelegt wurden. Dies offenbart oft mehrere Resolver-Einträge, die die normale dig-Ausgabe verbirgt. Das Flag +stats bei dig gibt die Abfragezeit in Millisekunden aus, was für Benchmarks nützlich ist.
Linux
# systemd-resolved Systeme (Ubuntu 18.04+, Fedora, Arch)
resolvectl status
# Fallback für Systeme ohne systemd oder Minimalsysteme
cat /etc/resolv.conf
# Abfrage mit Zeitmessung
dig example.com +stats
# Cache bei systemd-resolved leeren
sudo resolvectl flush-cachesAuf Systemen mit systemd-resolved verweist /etc/resolv.conf oft auf den lokalen Stub unter 127.0.0.53 statt auf den echten Upstream-Resolver. resolvectl status zeigt die tatsächlichen Upstream-Server pro Schnittstelle. Auf älteren Systemen oder in Containern ist /etc/resolv.conf die maßgebliche Quelle.
Wenn Ihr Browser Ihren Betriebssystem-Resolver ignoriert
Seit etwa 2019 umgehen sowohl Firefox als auch Chrome den konfigurierten DNS-Resolver Ihres Betriebssystems und senden Anfragen direkt an einen DoH-Server ihrer Wahl. Dies ist kein Fehler, sondern ein absichtliches Datenschutz-Feature. Es kann jedoch in bestimmten Umgebungen Probleme verursachen.
Firefox hat die aggressivsten Standardeinstellungen. In den USA aktiviert er standardmäßig DoH über Cloudflare, es sei denn, er erkennt ein Unternehmensnetzwerk oder Jugendschutzeinstellungen. Die Einstellung befindet sich in about:config unter network.trr.mode:
0— aus (Betriebssystem-Resolver verwenden)2— DoH mit Betriebssystem-Fallback (Firefox-Standard in vielen Regionen)3— Nur DoH, kein Betriebssystem-Fallback5— DoH vollständig deaktiviert
Ich bin während der Einrichtung interner Tools direkt darauf gestoßen. Das Sicherheitsteam hatte einen Split-Horizon-Unternehmens-DNS-Server über den VPN-Adapter konfiguriert, damit interne Hostnamen wie jenkins.internal korrekt aufgelöst werden. In Chrome und Safari funktionierte alles einwandfrei. Firefox verwendete jedoch DoH über Cloudflare, sodass jenkins.internal in Firefox NXDOMAIN zurückgab, während es in jeder anderen Anwendung auf demselben Rechner aufgelöst wurde. Die Lösung bestand darin, network.trr.mode = 5 in about:config für die betroffenen Benutzer festzulegen, aber die meisten Menschen hätten dies nie ohne das Wissen diagnostiziert, dass DoH aktiv war.
Chrome aktiviert DoH automatisch, wenn Ihr konfigurierter DNS-Server dies unterstützt, eine Funktion namens „Automatisches HTTPS für DNS“. Es führt ein Upgrade auf DoH unter Verwendung derselben Server-IP durch. Wenn Ihr Router auf 8.8.8.8 verweist, verwendet Chrome transparent den DoH-Endpunkt von Google. Dies ist in RFC 8484 definiert.
iOS Private Relay (iCloud+) und Android Private DNS verwenden DNS over TLS (DoT, RFC 7858), um Abfragen auf Betriebssystemebene unterhalb des Browsers zu verschlüsseln. Wenn eines von beiden aktiv ist, sendet jede App auf dem Gerät verschlüsselte DNS-Anfragen an Apple oder den von Ihnen gewählten Resolver, unabhängig davon, was der Router angekündigt hat.
Warum die Wahl des Resolvers tatsächlich wichtig ist
Die Wahl des DNS-Resolvers hat konkrete Auswirkungen auf Datenschutz, Geschwindigkeit, Filterung und Sicherheit.
- Datenschutz. Eine DNS-Abfrage auf Port 53 ist Klartext. Ihr ISP, jeder im selben Netzwerk und jeder Router auf dem Pfad kann jeden von Ihnen aufgerufenen Hostnamen lesen. Der Wechsel zu einem DoH- oder DoT-Resolver verschlüsselt diese Anfragen. Ihr Resolver sieht sie jedoch weiterhin, sodass Sie die Sichtbarkeit für den ISP gegen die Sichtbarkeit für den Resolver-Anbieter eintauschen.
- Geschwindigkeit. Die DNS-Latenz addiert sich zu jeder neuen Verbindung, die Ihr Browser herstellt. Ein Resolver, der 50 ms langsamer als der Durchschnitt ist, beeinträchtigt die Ladezeiten von Seiten mit vielen Hostnamen spürbar. Das Anycast-Netzwerk von Cloudflare bringt 1.1.1.1 für die meisten Benutzer in den einstelligen Millisekundenbereich; ISP-Resolver sind zwar geografisch nah, aber aufgrund unzureichender Infrastruktur oft langsamer.
- Zensur. Einige ISPs blockieren Domains, indem sie falsche DNS-Antworten für markierte Hostnamen zurückgeben. Der Wechsel zu einem öffentlichen Resolver, der diese Filter nicht anwendet, umgeht Blockaden auf DNS-Ebene. Beachten Sie, dass ISPs und Regierungen andere Blockierungsmechanismen haben (BGP-Blackholing, SNI-Filterung), die durch DNS-Änderungen nicht beeinflusst werden.
- VPN DNS-Leaks. Wenn ein VPN den Datenverkehr durch einen Tunnel leitet, aber DNS-Anfragen an den Resolver Ihres ISPs sendet, spricht man von einem DNS-Leak. Ihr ISP sieht weiterhin jeden Hostnamen, den Sie aufrufen, obwohl Ihre IP woanders zu sein scheint. Das VPN-Leak-Tool prüft genau dies.
- Filterung. Quad9 blockiert Malware- und Phishing-Domains. OpenDNS bietet eine konfigurierbare Kategoriefilterung. Beides sind legitime Verwendungszwecke: Quad9 für Sicherheit ohne Konfiguration, OpenDNS für die Filterung im Haushalt oder in der Schule.
Häufige DNS-Probleme und wie man sie diagnostiziert
Website lädt auf dem Handy, aber nicht auf dem Laptop
Fast immer ein veralteter Eintrag im Cache. Ihr Laptop hat den Hostnamen vor einer DNS-Änderung aufgelöst und die alte IP für die gesamte TTL-Dauer zwischengespeichert. Mobile Daten verwenden in der Regel einen anderen Resolver mit einem separaten Cache, sodass sie den neuen Eintrag sofort sehen. Lösung: DNS-Cache leeren (Befehle oben) und neu laden.
DNS löst in dig auf, aber nicht im Browser
Ihr Browser verwendet DoH über einen anderen Resolver als Ihr Betriebssystem. Wenn Sie sich in einem Unternehmensnetzwerk mit Split-Horizon-DNS befinden (interne Hostnamen, die nur auf dem Unternehmens-Resolver aufgelöst werden), gibt der DoH-Resolver des Browsers NXDOMAIN für diese Namen zurück, während dig, das den Betriebssystem-Resolver verwendet, erfolgreich ist. Deaktivieren Sie DoH im Browser für die betroffene Umgebung.
Seiten laden trotz schneller Verbindung langsam
Eine hohe Latenz des Resolvers kann die Ursache sein. Führen Sie dig example.com +stats aus und sehen Sie sich die Zeile „Query time“ unten an. Alles über 100 ms ist erheblich langsamer als ein gut positionierter öffentlicher Resolver. Ändern Sie das DNS Ihres Betriebssystems oder Routers auf 1.1.1.1 oder 8.8.8.8 und vergleichen Sie. Bei einer neuen Browsersitzung, bei der noch nichts zwischengespeichert ist, erhöht die Latenz des Resolvers direkt die Time-to-First-Byte für jede neue Domain.
Interne Hostnamen schlagen nur in Firefox fehl
Firefox DoH ist aktiv und überschreibt den Unternehmens- oder VPN-Resolver. Öffnen Sie about:config, suchen Sie nach network.trr.mode und stellen Sie den Wert auf 5 ein, um DoH zu deaktivieren. Alternativ kann Ihr IT-Team das Signal der „Canary Domain“ aktivieren (indem ein bestimmter Eintrag für use-application-dns.net zurückgegeben wird), um Firefox anzuweisen, DoH in verwalteten Netzwerken automatisch zu deaktivieren.
Öffentliche DNS-Resolver im Vergleich
Die Wahl eines Resolvers ist ein Kompromiss zwischen Datenschutzrichtlinien, Filterverhalten, Geschwindigkeit und dem Vertrauen in den Betreiber.
| Resolver | IP | Datenschutz | Malware-Filterung | Durchschn. Latenz |
|---|---|---|---|---|
| Cloudflare | 1.1.1.1 / 1.0.0.1 | Keine Protokollierung von Anfragen; Löschung innerhalb von 25 Std. | Nein (1.1.1.2 filtert) | ~11 ms globaler Durchschnitt |
8.8.8.8 / 8.8.4.4 | Protokolliert; Anonymisierung nach 24–48 Std. | Nein | ~20 ms globaler Durchschnitt | |
| Quad9 | 9.9.9.9 / 149.112.112.112 | Keine personenbezogenen Daten protokolliert; Schweizer Non-Profit | Ja (Bedrohungsdaten) | ~15 ms globaler Durchschnitt |
| OpenDNS | 208.67.222.222 / 208.67.220.220 | Protokolliert (Cisco); konfigurierbare Filterung | Ja (Kategorien) | ~20 ms globaler Durchschnitt |
| Typischer ISP | variiert | Protokolliert; Aufbewahrung variiert je nach Anbieter | Nein | ~5–30 ms (geografisch nah) |
Latenzwerte sind ungefähre globale Durchschnitte von DNSPerf. Ihre tatsächliche Latenz hängt stark von Ihrer Region und dem Peering Ihres ISPs ab.
Häufig gestellte Fragen
Was ist mein DNS-Server?
Es gibt meist drei Ebenen bei dieser Antwort. Ihr Router hat einen DNS-Server konfiguriert (oft den Resolver Ihres ISPs). Er gibt diesen Server über DHCP an Ihre Geräte weiter. Ihr Betriebssystem speichert ihn als konfigurierten Resolver, und Ihr Stub-Resolver leitet Anfragen dorthin weiter. Ihr Browser kann all dies dann mit DoH an einen öffentlichen Resolver umgehen. Um zu sehen, was Ihr Betriebssystem tatsächlich verwendet, führen Sie Get-DnsClientServerAddress unter Windows, scutil --dns unter macOS oder resolvectl status unter Linux aus.
Warum unterscheidet sich mein DNS von dem, was mein Router anzeigt?
Ihr Router sendet einen DNS-Server über DHCP aus, aber Ihr Gerät kann diesen überschreiben. Ein VPN-Client erzwingt beim Aufbau des Tunnels häufig einen anderen DNS-Server. Ein Browser mit aktiviertem DoH ignoriert den Betriebssystem-Resolver für seine eigenen Anfragen vollständig. Corporate MDM-Profile auf verwalteten Geräten legen oft einen bestimmten Resolver fest, der die Router-Einstellung überschreibt. Jede dieser Ebenen kann dazu führen, dass ein anderer Resolver verwendet wird, als Ihr Router angekündigt hat.
Ist es sicherer, mein DNS auf 1.1.1.1 zu ändern?
Für den Schutz der Privatsphäre gegenüber Ihrem ISP: Ja. Der Resolver von Cloudflare verkauft keine Abfrageprotokolle und löscht sie innerhalb von 25 Stunden. Der Resolver Ihres ISPs läuft im Klartext auf Port 53 und ist für jeden in Ihrem Netzwerk sichtbar. Der Wechsel zu 1.1.1.1 über DoH bedeutet, dass Ihr ISP Ihre DNS-Anfragen nicht lesen kann. Zum Schutz vor Malware filtert 1.1.1.1 standardmäßig nicht; verwenden Sie stattdessen 1.1.1.2. Das Ändern des DNS verbirgt weder Ihre IP-Adresse noch verschlüsselt es Ihre Verbindungen über die eigentliche DNS-Abfrage hinaus.
Kann mein ISP sehen, welche Websites ich besuche, wenn ich 1.1.1.1 verwende?
Nicht über das DNS, wenn Sie DoH oder DoT verwenden. Aber das DNS ist nur ein Signal. Ihr ISP kann weiterhin die Ziel-IP-Adressen Ihrer Verbindungen und das Feld Server Name Indication (SNI) im TLS-Handshake sehen, das den Hostnamen offenbart, mit dem Sie sich auf HTTPS-Seiten verbinden. Encrypted Client Hello (ECH) verschlüsselt das SNI, ist aber noch nicht überall im Einsatz. Die Verwendung von 1.1.1.1 mit DoH schließt das DNS-Fenster, nicht aber das IP- oder SNI-Fenster.
Woher weiß ich, ob mein DNS leckt?
Ein DNS-Leak bedeutet, dass Ihr Gerät DNS-Anfragen außerhalb des VPN-Tunnels an den Resolver Ihres ISPs sendet, obwohl das VPN verbunden ist. Ihre VPN-Exit-IP ist zwar über das IP-Tool sichtbar, aber Ihre DNS-Anfragen sind für Ihren ISP weiterhin einsehbar. Das VPN-Leak-Tool prüft dies, indem es Ihre öffentliche IP, Ihre WebRTC-IP und den auf Ihre DNS-Anfragen antwortenden Resolver vergleicht. Wenn alle drei auf den VPN-Anbieter verweisen, sind Sie geschützt.
Verwandte Tools
DNS übersetzt Namen in IPs, aber die IP selbst verrät Ihnen, in welchem Netzwerk Sie sich befinden. Siehe Was ist meine IP für die Adresse, von der Ihre Verbindungen ausgehen. Die Organisation hinter dieser IP finden Sie unter Wer ist mein ISP. Wenn Sie vermuten, dass Ihr VPN DNS außerhalb des Tunnels leitet, testet das VPN-Leak-Tool Ihre öffentliche IP, WebRTC-IP und Ihren DNS-Resolver in einer einzigen Ansicht. Für Verbindungsgeschwindigkeit und Latenz siehe Internet-Geschwindigkeitstest.