Hoe DNS werkt: de complete gids over het Domain Name System

Wat is DNS? Het telefoonboek van het internet

Stel je voor dat je elke website moest bezoeken door een reeks cijfers te onthouden. In plaats van keurigonline.nl zou je 185.199.108.153 moeten intypen. Dat is onpraktisch. DNS lost dit probleem op.

DNS werkt als een telefoonboek. Je zoekt op naam (domeinnaamKeurigOnline zegtDomeinnaamEen domeinnaam is een uniek webadres gekoppeld aan je website en e-mail, zoals voorbeeld.nl, bedrijf.com of startup.ai.) en krijgt het telefoonnummer (IP-adres) terug. Het systeem is ontworpen met drie belangrijke doelen:

De drie ontwerpdoelen van DNS

1. Schaalbaarheid — DNS moet miljarden domeinnamen ondersteunen zonder traag te worden. Dit wordt bereikt door het gedistribueerde ontwerp.
2. Betrouwbaarheid — Als één DNS-server uitvalt, moet het systeem blijven werken. Daarom zijn er meerdere nameservers per zone.
3. Decentrale beheer — Elke organisatie beheert haar eigen domeinnamen. ICANN beheert de root, maar jij beheert jouwdomein.nl.

DNS als gedistribueerde database

DNS is technisch gezien een enorme database. Maar het is geen enkele database op één server. Het is verdeeld over miljoenen servers wereldwijd.

Elke nameserver bevat slechts een deel van de totale data. De root servers kennen alleen de TLD-servers. De TLD-servers kennen alleen de autoritatieve nameservers van domeinen. En die autoritatieve servers kennen de daadwerkelijke IP-adressen.

Dit gedistribueerde ontwerp maakt DNS extreem robuust. Geen enkele server bevat alle informatie en geen enkele server is een single point of failure. De snelheid waarmee DNS queries worden beantwoord beïnvloedt direct je Time To First Byte (TTFB).

De DNS-boomstructuur: hoe domeinnamen zijn georganiseerd

DNS is georganiseerd als een omgekeerde boom. De root staat bovenaan (bij DNS denk je aan een boom die ondersteboven hangt). Elke vertakking leidt naar meer specifieke domeinnamen.

De vier niveaus van de DNS-hiërarchie

Hoe lees je een domeinnaam?

Een volledig gekwalificeerde domeinnaamKeurigOnline zegtDomeinnaamEen domeinnaam is een uniek webadres gekoppeld aan je website en e-mail, zoals voorbeeld.nl, bedrijf.com of startup.ai. (FQDN) lees je van rechts naar links. Neem www.keurigonline.nl. als voorbeeld:

• . — De root (vaak weggelaten)
• nl — De country-code TLD voor Nederland
• keurigonline — Het geregistreerde domein
• www — Een subdomain

De punt aan het einde maakt het een absolute naam. Browsers en de meeste tools voegen deze automatisch toe.

Soorten Top-Level Domains (TLD's)

Er zijn drie hoofdcategorieën TLD's:

• Generic TLD's (gTLD's) — Algemene extensies zoals .com, .org, .net, .info
• Country-code TLD's (ccTLD's) — Landcodes zoals .nl (Nederland), .de (Duitsland), .uk (Verenigd Koninkrijk)
• New gTLD's — Nieuwere extensies zoals .blog, .shop, .amsterdam

SIDN beheert de .nl-zone. VeriSign beheert .com en .net. Elke TLD heeft zijn eigen beheerder met eigen regels.

DNS zones: hoe autoriteit wordt gedelegeerd

Een DNS-zone is een administratief beheergebied binnen de DNS-hiërarchie. Zones zijn niet hetzelfde als domeinen. Een domein kan meerdere zones bevatten, of één zone kan meerdere domeinen bevatten.

Het verschil tussen zone en domein

Dit is een cruciaal onderscheid. Neem het domein example.com:

• Het domein example.com omvat alles: example.com, www.example.com, mail.example.com, blog.example.com
• De zone example.com kan alleen de hoofdrecords bevatten
• Het subdomain blog.example.com kan gedelegeerd zijn naar een aparte zone

Zone delegation maakt het mogelijk om beheer te splitsen. Een grote organisatie kan hr.bedrijf.nl delegeren naar de HR-afdeling en it.bedrijf.nl naar de IT-afdeling.

Zone files: waar DNS-records worden opgeslagen

Elke zone wordt beschreven in een zone file. Dit is een tekstbestand met alle DNS-records voor die zone. Een vereenvoudigd voorbeeld:

; Zone file voor keurigonline.nl
$ORIGIN keurigonline.nl.
$TTL 3600

@       IN  SOA   ns1.keurigonline.nl. admin.keurigonline.nl. (
                  2024120901 ; Serial
                  3600       ; Refresh
                  900        ; Retry
                  604800     ; Expire
                  86400 )    ; Minimum TTL

; Nameservers
@       IN  NS    ns1.keurigonline.nl.
@       IN  NS    ns2.keurigonline.nl.

; A-records
@       IN  A     185.199.108.153
www     IN  A     185.199.108.153

; Mail
@       IN  MX    10 mail.keurigonline.nl.
mail    IN  A     185.199.109.153

Zone delegation met NS-records

Delegatie gebeurt met NS-records (nameserver records). Als de .nl-zone wil aangeven dat keurigonline.nl door andere nameservers wordt beheerd:

; In de .nl zone file
keurigonline    IN  NS    ns1.keurigonline.nl.
keurigonline    IN  NS    ns2.keurigonline.nl.

; Glue records (nodig omdat ns1/ns2 binnen het gedelegeerde domein vallen)
ns1.keurigonline    IN  A   185.199.108.153
ns2.keurigonline    IN  A   185.199.109.153

De glue records zijn nodig om een kip-en-ei-probleem op te lossen: je kunt ns1.keurigonline.nl niet opzoeken voordat je weet waar keurigonline.nl gehost is.

De DNS root zone: waar alles begint

De root zone is de top van de DNS-hiërarchie. Het is het startpunt voor elke DNS-query die niet uit cacheKeurigOnline zegtCacheCache slaat tijdelijk gegevens op, waardoor je website sneller laadt. kan worden beantwoord. De root zone bevat alleen NS-records die verwijzen naar de TLD-nameservers.

De 13 root server identiteiten

Er zijn 13 "logische" root servers, aangeduid met letters A tot en met M:

• A-root — Beheerd door VeriSign (USA)
• B-root — USC-ISI (USA)
• C-root — Cogent Communications (USA)
• D-root — University of Maryland (USA)
• E-root — NASA (USA)
• F-root — Internet Systems Consortium (worldwide)
• G-root — US Department of Defense (USA)
• H-root — US Army Research Lab (USA)
• I-root — Netnod (Sweden)
• J-root — VeriSign (worldwide)
• K-root — RIPE NCC (Europe)
• L-root — ICANN (worldwide)
• M-root — WIDE Project (Japan)

Waarom maar 13 root servers?

Een veelgestelde vraag is waarom er precies 13 zijn. Het antwoord is technisch. De originele DNS-specificatie beperkte UDP-pakketjes tot 512 bytes. Een antwoord met 13 A-records (4 bytes per adres) plus overhead past precies binnen die limiet.

Maar in werkelijkheid zijn er veel meer dan 13 fysieke servers. Elke root serverKeurigOnline zegtRoot serverRoot servers zijn de 13 server-clusters aan de top van de DNS-hiërarchie die verwijzen naar TLD-nameservers. identity draait op honderden locaties wereldwijd via anycastKeurigOnline zegtAnycastAnycast is een netwerktechniek waarbij meerdere servers hetzelfde IP-adres delen en verkeer naar de dichtstbijzijnde server wordt gerouteerd.. Er zijn bijna 2.000 fysieke root server-instances verspreid over de wereld, beheerd door 12 onafhankelijke organisaties.

Anycast: één IP, vele servers

Anycast is een netwerktechniek waarbij meerdere servers hetzelfde IP-adres delen. Als je een query stuurt naar een root server IP, routeert het netwerk je automatisch naar de dichtstbijzijnde fysieke server.

Dit zorgt voor:

• Snelheid — Je query gaat naar de dichtstbijzijnde server
• Redundantie — Als één server faalt, nemen anderen over
• DDoS-bescherming — Aanvallen worden verspreid over vele servers

Root hints: hoe DNS de root vindt

Elke recursive resolver heeft een bestand met "root hints". Dit zijn de IP-adressen van alle root servers. Het bestand wordt periodiek bijgewerkt. Zonder root hints zou een resolver niet weten waar te beginnen.

IANA (Internet Assigned Numbers Authority) beheert de root zone. Elke wijziging aan de root zone gaat door een strikt proces met meerdere partijen.

Hoe DNS werkt: het resolution proces stap voor stap

Als je www.keurigonline.nl intypt in je browser, start een complexe keten van queries. Dit proces heet DNS resolution. Het duurt meestal 20-120 milliseconden.

Recursive vs iterative queries

Er zijn twee manieren om DNS-queries te stellen:

Recursive query: De client vraagt de resolver om het volledige antwoord te vinden. De resolver doet al het werk. Dit is hoe je computer communiceert met je ISP's DNS-server.

Iterative query: De client vraagt een server, die antwoordt met een verwijzing naar een andere server. De client moet zelf de volgende server benaderen. Dit is hoe resolvers communiceren met root, TLD en autoritatieve servers.

DNS caching en TTL

Elke stap in het proces kan het antwoord cachen. De TTL (Time To Live) bepaalt hoe lang. Een typische TTL is 3600 seconden (1 uur).

Caching is essentieel voor de schaalbaarheid van DNS. Zonder caching zou elke pageview meerdere queries naar root servers vereisen. De root servers zouden dat niet aankunnen.

Als beheerder kun je de TTL instellen per record. Lage TTL (300 seconden) is handig als je vaak wijzigt. Hoge TTL (86400 seconden) is beter voor stabiele records. Wil je meten hoe snel je website laadt? Gebruik dan een van de snelheidstesttools om je prestaties te analyseren.

Autoritatieve DNS servers: de bron van waarheid

Een autoritatieve nameserverKeurigOnline zegtAutoritatieve nameserverEen autoritatieve nameserver bevat de officiële DNS-records voor een domein en geeft definitieve antwoorden. is de officiële bron voor DNS-informatie over een zone. Als je vraagt "Wat is het IP van keurigonline.nl?", geeft de autoritatieve server het definitieve antwoord.

Primary vs secondary nameservers

Elke zone heeft minstens twee autoritatieve nameservers voor redundantie:

• Primary (master) — Bevat de originele zone data. Wijzigingen worden hier gemaakt.
• Secondary (slave) — Ontvangt kopieën van de primary via zone transfer. Kan queries beantwoorden maar geen wijzigingen maken.

Voor de buitenwereld zijn primary en secondary gelijkwaardig. Beide kunnen queries beantwoorden. Het onderscheid is alleen relevant voor het interne synchronisatieproces.

DNS record types uitgelegd

Autoritatieve servers bevatten verschillende soorten records:

Record	Betekenis	Voorbeeld
A	IPv4KeurigOnline zegtIPv4IPv4 is het 32-bit adresseringssysteem dat het grootste deel van het internet nog steeds aandrijft.-adres	185.199.108.153
AAAA	IPv6KeurigOnline zegtIPv6IPv6 is een nieuwer internetprotocol met enorm veel IP-adressen.-adres	2606:50c0:8000::153
CNAME	AliasKeurigOnline zegtAliasEen alias is een extra naam gekoppeld aan een domein of e-mailadres. naar ander domein	wwwKeurigOnline zegtWWWWWW staat voor World Wide Web en omvat alle websites op internet. → keurigonline.nl
MX	Mailserver	10 mail.keurigonline.nl
TXT	Tekstinformatie	v=spf1 include:_spf.google.com ~all
NS	Nameserver	ns1.keurigonline.nl
SOA	Start of Authority	Zone metadata (serial, refresh, etc.)

Het SOA-record: metadata van de zone

Elk zone file begint met een SOA-record (Start of Authority). Dit record bevat belangrijke metadata:

• Serial number — Versienummer dat verhoogt bij elke wijziging
• Refresh — Hoe vaak secondaries controleren op updates
• Retry — Hoe lang wachten als refresh faalt
• Expire — Wanneer secondaries stoppen als ze de primary niet bereiken
• Minimum TTL — Default TTL voor negatieve antwoorden

Het serial number is cruciaal voor zone transfer. Secondaries vergelijken hun serial met die van de primary. Als de primary hoger is, starten ze een transfer.

Zone transfer: DNS-servers synchroniseren

Zone transfer is het mechanisme waarmee DNS-records worden gekopieerd van een primary nameserver naar secondary nameservers. Dit zorgt voor redundantie en loadbalancing.

Waarom zone transfer nodig is

Stel je hebt één nameserver. Als die uitvalt, is je domein onbereikbaar. Daarom vereisen de meeste TLD's minstens twee nameserversKeurigOnline zegtNameserversNameservers koppelen je domeinnaam aan de juiste webserver.. Die servers moeten dezelfde data bevatten. Zone transfer maakt dat mogelijk.

AXFR: volledige zone transfer

AXFR (Asynchronous Full Transfer Zone) kopieert de complete zone. Dit gebeurt wanneer:

• Een nieuwe secondary voor het eerst synchroniseert
• De secondary zijn data kwijt is
• De zone te veel is gewijzigd voor een incrementele update

Een AXFR-query vraagt letterlijk: "Geef me alles." De primary stuurt elk record in de zone.

# AXFR uitvoeren met dig
dig @ns1.example.com example.com AXFR

IXFR: incrementele zone transfer

IXFR (Incremental Zone Transfer) stuurt alleen de wijzigingen sinds een bepaald serial number. Dit is veel efficiënter voor grote zones.

De secondary zegt: "Ik heb serial 2024120901, wat is er veranderd?" De primary stuurt alleen de nieuwe en verwijderde records.

# IXFR uitvoeren met dig
dig @ns1.example.com example.com IXFR=2024120901

DNS NOTIFY

Zonder NOTIFY zou een secondary pas bij de volgende refresh merken dat de zone is gewijzigd. DNS NOTIFY lost dit op: de primary stuurt direct een bericht naar alle secondaries wanneer de zone verandert.

De flow is:

1. Beheerder wijzigt DNS-record op primary
2. Primary verhoogt serial number
3. Primary stuurt NOTIFY naar alle secondaries
4. Secondaries vragen de SOA om de nieuwe serial te controleren
5. Secondaries starten IXFR of AXFR

Beveiliging van zone transfers

Zone transfers bevatten alle DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn.-data van een domein. Dat is gevoelige informatie. Daarom moet je zone transfers beveiligen:

• IP-based ACL — Sta AXFR alleen toe vanaf bekende secondary IP's
• TSIG — Cryptografische handtekening voor authentificatie
• Disable voor publiek — Zet AXFR uit voor willekeurige clients

Een misconfiguratie waardoor iedereen AXFR kan doen is een beveiligingsrisico. Aanvallers kunnen je complete DNS-infrastructuur in kaart brengen.

Praktijkvoorbeeld: DNS-migratie stap voor stap

DNS-kennis wordt vooral relevant bij een migratie naar een andere hostingpartij. Dit stappenplan is gebaseerd op RFC 1912 (Common DNS Operational and Configuration Errors) en SIDN-richtlijnen voor .nl-domeinen.

Tijdlijn DNS-migratie

Veelgemaakte fouten bij DNS-migratie

Volgens RFC 1912 (Common DNS Errors) zijn dit de meest voorkomende problemen:

• TTL niet verlaagd — Oude records blijven tot 24+ uur in caches, waardoor sommige bezoekers de oude server blijven bereiken
• MX-records vergeten — E-mail stopt met werken omdat mailservers niet zijn gemigreerd
• SPF/DKIM niet gekopieerd — E-mail wordt als spam gemarkeerd door ontbrekende authenticatie
• Te snel oude server uitschakelen — Bezoekers met gecachte records krijgen fouten
• Glue records niet bijgewerkt — Als je nameservers onder je eigen domein vallen (ns1.jouwdomein.nl), moeten glue records bij de registrar worden aangepast

Dig en nslookup: DNS queries uitvoeren

Om DNS te begrijpen en problemen op te lossen heb je tools nodig. De twee belangrijkste zijn dig en nslookup. Beide stellen DNS-queries, maar dig geeft meer detail.

Nslookup: de basis tool

nslookup is beschikbaar op Windows, macOS en Linux. Het is eenvoudig te gebruiken voor basis queries.

Basis A-record lookup

# Zoek het IP-adres van een domein
nslookup keurigonline.nl

# Output:
# Server:  dns.google
# Address: 8.8.8.8
#
# Non-authoritative answer:
# Name:    keurigonline.nl
# Address: 185.199.108.153

Specifiek record type opvragen

# MX-records opvragen
nslookup -type=mx keurigonline.nl

# TXT-records opvragen (bijv. SPF)
nslookup -type=txt keurigonline.nl

# NS-records opvragen
nslookup -type=ns keurigonline.nl

Specifieke DNS-server gebruiken

# Vraag specifiek aan Google DNS
nslookup keurigonline.nl 8.8.8.8

# Vraag direct aan de autoritatieve server
nslookup keurigonline.nl ns1.keurigonline.nl

Dig: de expert tool

dig (Domain Information Groper) geeft veel meer detail. Het is de voorkeurstool voor DNS-professionals.

Basis dig query

# Standaard A-record query
dig keurigonline.nl

# Output bevat:
# - QUESTION SECTION (wat je vroeg)
# - ANSWER SECTION (het antwoord)
# - AUTHORITY SECTION (nameservers)
# - ADDITIONAL SECTION (extra info)
# - Query time, server, timestamp

Alleen het antwoord tonen

# Compact antwoord
dig keurigonline.nl +short
# Output: 185.199.108.153

# Alleen answer section
dig keurigonline.nl +noall +answer

Het volledige resolution pad traceren

# Trace van root tot authoritative
dig keurigonline.nl +trace

# Output toont:
# 1. Query naar root server
# 2. Verwijzing naar .nl servers
# 3. Verwijzing naar autoritatieve servers
# 4. Eindantwoord

Specifieke record types

# Alle records
dig keurigonline.nl ANY

# MX-records
dig keurigonline.nl MX

# TXT-records
dig keurigonline.nl TXT

# SOA-record
dig keurigonline.nl SOA

# NS-records
dig keurigonline.nl NS

Query naar specifieke server

# Vraag aan Google DNS
dig @8.8.8.8 keurigonline.nl

# Vraag aan Cloudflare DNS
dig @1.1.1.1 keurigonline.nl

# Vraag direct aan autoritatieve server
dig @ns1.keurigonline.nl keurigonline.nl

Veelvoorkomende troubleshooting scenario's

Wanneer gebruik je welke tool?

DNS-beveiliging: DNSSEC en moderne bescherming

DNS werd ontworpen zonder beveiliging. Iedereen kan in theorie valse DNS-antwoorden sturen. DNSSECKeurigOnline zegtDNSSECDNSSEC beveiligt DNS-informatie tegen fraude. en andere technieken lossen dit op.

DNS spoofing en cache poisoning

Aanvallers kunnen proberen om valse DNS-antwoorden te injecteren. Als dat lukt, wordt verkeer naar een malafide server gestuurd. Dit heet DNS spoofing of cache poisoningKeurigOnline zegtCache poisoningCache poisoning is een aanval waarbij vervalste DNS-informatie wordt opgeslagen om verkeer om te leiden..

DNSSEC: cryptografische validatie

DNSSEC (DNS Security Extensions) voegt digitale handtekeningen toe aan DNS-records. Een resolver kan zo verifiëren dat een antwoord echt van de autoritatieve server komt en niet is gemanipuleerd.

DNSSEC werkt met een chain of trust:

1. De root zone is ondertekend met een bekende key
2. Elke TLD-zone is ondertekend en gelinkt aan de root
3. Elke domeinzone is ondertekend en gelinkt aan de TLD

Als ergens in de keten de handtekening niet klopt, wordt het antwoord geweigerd.

DoH en DoT: versleutelde DNS

Traditionele DNS-queries gaan onversleuteld over het netwerk. Iedereen die je verkeer kan zien, weet welke websites je bezoekt. Moderne alternatieven:

• DNS over HTTPS (DoH) — DNS-queries via HTTPS op poort 443
• DNS over TLSKeurigOnline zegtTLSTLS is het standaardprotocol voor versleutelde, betrouwbare communicatie tussen client en server. (DoT) — DNS-queries via TLSKeurigOnline zegtTLSTLS is het standaardprotocol voor versleutelde, betrouwbare communicatie tussen client en server. op poort 853

Beide versleutelen je queries zodat derden niet kunnen meekijken. Firefox en Chrome ondersteunen DoH standaard.

Veelgestelde vragen over DNS

Samenvatting: DNS begrijpen in de praktijk

DNS is het telefoonboek van het internet. Het vertaalt domeinnamen naar IP-adressen via een hiërarchisch, gedistribueerd systeem dat extreem robuust is.

De belangrijkste punten:

• DNS als databaseKeurigOnline zegtDatabaseEen database is een georganiseerde verzameling gegevens waar websites informatie opslaan en ophalen. — Gedistribueerd over miljoenen servers, niemand heeft alle data
• Boomstructuur — Root → TLD → domein → subdomain, van algemeen naar specifiek
• Zones en delegatie — Administratieve grenzen waarbinnen beheer is toegewezen
• Root zone — 13 logische servers, bijna 2.000 fysieke servers via anycast
• Resolution proces — 8 stappen van browser cacheKeurigOnline zegtCacheCache slaat tijdelijk gegevens op, waardoor je website sneller laadt. tot autoritatief antwoord
• Autoritatieve servers — De bron van waarheid voor een zone
• Zone transferKeurigOnline zegtZone transferEen zone transfer (AXFR/IXFR) kopieert DNS-records van een primary naar secondary nameserver voor synchronisatie. — AXFR en IXFR voor synchronisatie tussen nameservers
• Tools — dig voor experts, nslookup voor snelle lookups

Volgende stappen

Wil je meer leren over DNS-beheer? Probeer deze acties:

1. Voer dig +trace uit op je eigen domein en bekijk de volledige resolution
2. Check je DNS-records in je hostingpaneel en begrijp wat elk record doet
3. Test of DNSSEC actief is: dig +dnssec keurigonline.nl

Bij KeurigOnline beheren we de DNS voor onze klanten. Onze nameserversKeurigOnline zegtNameserversNameservers koppelen je domeinnaam aan de juiste webserver. staan op meerdere locaties met anycastKeurigOnline zegtAnycastAnycast is een netwerktechniek waarbij meerdere servers hetzelfde IP-adres delen en verkeer naar de dichtstbijzijnde server wordt gerouteerd. voor optimale snelheid en betrouwbaarheid. Wil je je website sneller maken? Bekijk dan onze gids voor een snellere WordPress site. Heb je vragen over je DNS-configuratie? Neem contact op met onze support.

Bronnen en referenties

Dit artikel is gebaseerd op officiële standaarden en technische documentatie:

• RFC 1034 (1987) — Domain Names - Concepts and Facilities : De originele DNS-specificatie
• RFC 1035 (1987) — Domain Names - Implementation and Specification : Implementatiedetails van DNS
• ICANN — What Does ICANN Do? : Rol van ICANN in DNS-beheer
• Root ServerKeurigOnline zegtRoot serverRoot servers zijn de 13 server-clusters aan de top van de DNS-hiërarchie die verwijzen naar TLD-nameservers. Technical Operations — root-servers.org : Informatie over root servers
• RFC 4033-4035 — DNSSECKeurigOnline zegtDNSSECDNSSEC beveiligt DNS-informatie tegen fraude. specificaties voor cryptografische validatie
• RFC 1912 (1996) — Common DNS Operational and Configuration Errors : Best practices en veelgemaakte fouten
• SIDNKeurigOnline zegtSIDNSIDN beheert alle .nl-domeinnamen. — Registrar worden bij SIDN : Technische vereisten voor .nl-domeinen
• Cloudflare Learning — What is DNS? : Toegankelijke DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn.-uitleg