Wat is DNS en hoe werkt het? Het Domain Name System eenvoudig uitgelegd

Het DNS, wat staat voor Domain Name System, fungeert als het telefoonboek van het internet. In plaats van telefoonnummers communiceren computers via numerieke adressen die IP-adressen worden genoemd en er uitzien als 192.168.1.1.

Zonder DNS zou je webservices (zoals websites, chatforums of zelfs je e-mailaccounts) niet kunnen bereiken. Dat komt omdat je webbrowser een andere taal (IP-adres) spreekt dan jij (platte tekst), en DNS-servers helpen jullie allebei om dit te vertalen.

Dit is hoe het allemaal werkt en waarom het belangrijk is voor je privacy.

DNS uitgelegd in simpele bewoordingen

Zoals hierboven vermeld, spreek je niet dezelfde taal als je webbrowser, die het gewone webadres dat je invoert niet kan achterhalen. In plaats daarvan heeft je webbrowser een numeriek equivalent van dat webadres nodig: het IP-adres.

Het DNS treedt dus op als tussenpersoon en vertaalt het ingevoerde webadres naar een IP-adres voor je browser. Op die manier kan je browser je verzoek begrijpen en precies die webpagina's weergeven die je wilt bezoeken.

Bekijk: Wat is DNS (video-uitleg door ExpressVPN)

Hoe werkt DNS? Stap voor stap:

DNS wordt geactiveerd wanneer je het adres van een webpagina intypt en op de knop Zoeken of Ga in je browser klikt of tikt (of op de Enter-toets op je toetsenbord). DNS-servers zijn zo doeltreffend dat ze in milliseconden werken.

Hieronder heb ik op een simpele manier uitgelegd wat er gebeurt tussen het moment dat je een webverzoek doet en het moment dat je browser het levert.

Van het typen van een URL tot het laden van een pagina

Zodra je een webadres in je internetbrowser typt en op Ga naar/Verzend/Enter drukt, stuurt je browser dat adres naar het Domain Name System. Het DNS gebruikt vier hoofdservers (hieronder uitgelegd) om het bijbehorende IP-adres van die website te zoeken (een proces dat DNS lookup wordt genoemd).

Je browser heeft dat IP-adres nodig, omdat dit unieke adres precies aangeeft waar de content die je zoekt wordt gehost op het internet. Het DNS stuurt dit IP-adres terug naar je webbrowser. De webbrowser weet nu precies waar hij naartoe moet, wat resulteert in het succesvol laden van een webpagina, of een foutmelding als die pagina om wat voor reden dan ook niet kan worden teruggestuurd.

Maar kun je niet gewoon het IP-adres in je browser zelf invoeren en de DNS omzeilen? Het is mogelijk, maar meestal niet de moeite waard. En dit is waarom:

• DNS is eenvoudiger: Het is veel eenvoudiger om websitenamen zoals www.expressvpn.com te onthouden dan numerieke IP-adressen.
• IP-adressen kunnen veranderen: Websites updaten vaak hun IP-adressen en DNS handelt dit automatisch af. Als je vertrouwt op gememoriseerde IP-adressen, kunnen deze snel verouderd raken.
• Technische beperkingen: Moderne websites maken vaak gebruik van shared hosting en HTTPS. Het rechtstreeks invoeren van een IP-adres kan leiden tot mismatches met TLS-certificaten of ervoor zorgen dat de server de juiste site niet herkent, waardoor fouten of beveiligingswaarschuwingen ontstaan.

De vier belangrijkste betrokken DNS-servers

DNS-query's van je browser worden ontvangen, verwerkt en opgelost door vier hoofdservers.

Recursieve DNS-resolver

De recursieve DNS-resolver, ook bekend als de DNS recursor of recursieve server, accepteert een DNS lookup verzoek van je browser en stuurt dit door voor verwerking.

Het is als de receptionist van de grote databank waar alle DNS-records worden bewaard. Elk verzoek moet er dus eerst doorheen voordat het naar de andere afdelingen (servers) gaat voor verwerking.

In veel gevallen kan de recursieve DNS-resolver meer doen dan alleen het verzoek accepteren. Dit gebeurt in een situatie die DNS caching wordt genoemd, wat we hieronder beter zullen uitleggen.

DNS-rootserver

Als de recursieve DNS-server de informatie in de cache niet heeft, stuurt hij een verzoek (query) door naar de DNS-rootserver.

De DNS-rootserver is als de archiefdienst, die cruciale informatie bevat over waar je naartoe moet om iets te krijgen. Er wordt een lijst met TLD-servers geretourneerd, zodat je apparaat verder kan gaan met de query door deze door te geven aan een TLD-server.

TLD-naamserver (topleveldomein)

Het topleveldomein verwijst naar het laatste deel van het adres van een website, meestal voorafgegaan door een punt. Bijvoorbeeld:

Een TLD-naamserver heeft informatie voor alle domeinnamen die een gemeenschappelijke domeinextensie delen, zoals .com of .org. TLD's zijn onderverdeeld in twee categorieën: organisatorische hiërarchie en geografische hiërarchie. Voorbeelden van organisaties zijn .com, .gov en .edu. Een TLD-naamserver voor .com bevat bijvoorbeeld informatie over alle websites die eindigen op .com. Geografische TLD's zijn gelokaliseerd in bepaalde geografische gebieden waar ze actief zijn.

Autoritatieve naamserver

De gezaghebbende naamserver is het laatste controlepunt. In tegenstelling tot de rest is het gebonden aan een specifieke domeinnaam. Daarom kan het alle relevante informatie over die domeinnaam opslaan, de informatie bijwerken wanneer dat nodig is en die gegevens (IP-adres) effectief delen met de recursieve server zonder dingen door elkaar te halen.

De recursieve server haalt hier het IP-adres vandaan en stuurt het naar je webbrowser. Vervolgens kan je webbrowser het getypte webadres omzetten naar de juiste locatie op het web.

DNS-query types: Recursief, iteratief, niet-recursief

De recursieve server doet namens de client (je webbrowser) query's naar de andere drie servers. Deze query's worden gecategoriseerd op basis van waar de gezochte DNS-informatie is opgeslagen:

• Recursieve query's: Dit is de som van alle interacties tussen de client (je browser) en de recursieve server. Elke DNS query die via de recursieve server wordt doorgegeven zal eindigen in een antwoord (de gewenste webpagina wordt weergegeven) of een fout (ongeldige certificaten, naam niet gevonden in DNS records, enz.).
  
• Iteratieve query's: Bij iteratieve DNS-query's is er interactie tussen de recursieve server en de andere hoofdservers, wat resulteert in een verwijzing (van de rootnaam- en TLD-servers) of een antwoord (van de gezaghebbende server).
• Niet-recursieve query's: Voor dit type query weet de recursieve server waar het antwoord is en hoeft hij het niet te controleren bij een van de tussenliggende servers. Dit is het geval wanneer de DNS die nodig is al in de cache staat.

DNS caching: Hoe browsers en apparaten DNS opslaan

DNS caching is een tijdelijk opslagproces dat het antwoord op een DNS-query dichter bij de aanvragende client bewaart, meestal op de recursieve server. Op die manier hoeft de client bij een volgend verzoek niet langs een reeks servers om toegang te krijgen tot dezelfde web eigenschap. Dit verbruikt minder CPU-resources.

Maar er zit een addertje onder het gras: hoewel caching de snelheid en prestaties verbetert, krijg je er niet de laatste versie van een webpagina mee te zien. Als je bijvoorbeeld een subreddit opnieuw opent terwijl die nog in de cache staat, zie je misschien geen nieuwe dingen (comments, upvotes, enz.). In dit geval moet je de pagina opnieuw laden, de cache wissen of wachten tot de gegevens in de cache zijn verlopen voordat je nieuwe updates krijgt.

Maar waar worden die DNS-gegevens dan opgeslagen?

Caching gebeurt overal in de recursieve keten: je browser slaat DNS op in de cache, net als je apparaat, je router en de DNS-server die je opvraagt (zoals in het bovenstaande diagram).

Browser DNS cache opslag

Goede internetbrowsers slaan in de cache gegevens op van websites die je onlangs hebt bezocht. Dit maakt ze zuiniger met resources, omdat ze niet meerdere keren hoeven te zoeken om die pagina nog een keer te openen.

Je hoeft je ook geen zorgen te maken over verouderde content. Cached gegevens worden slechts tijdelijk opgeslagen, omdat de browser nieuwe en bijgewerkte pagina's opvraagt nadat de cache limiet is verlopen.

Wil je je cache controleren op populaire browsers? Typ de interne adressen hieronder in de browser van je voorkeur:

Cacheopslag op apparaatniveau

De meeste moderne besturingssystemen zijn uitgerust met een ingebouwde DNS-server: de DNS stub resolver.

Op zichzelf kan deze DNS-server geen verzoeken doen aan de andere servers. Het kan echter wel het bericht verpakken dat van je webclient komt (zoals de webbrowser) en het naar de DNS recursieve server sturen. Dan, doet de DNS recursieve server alle benodigde verzoeken namens hem.

Hier wordt het interessant.

Zodra het DNS lookup proces is voltooid en de recursieve server het IP-adres voor de opgevraagde site heeft, wordt dit via de DNS stub resolver teruggestuurd naar de webclient. In dit stadium kan de stub resolver een kopie (cache) van het antwoord op het DNS lookup verzoek opslaan.

Dus als je de volgende keer dezelfde gegevens opvraagt, kan de DNS stub resolver de webclient bedienen zonder nog een bericht naar de DNS recursieve server te sturen.

Wat is een DNS-adres?

Een DNS-adres is het IP-adres van de recursieve DNS-server die je apparaat gebruikt om DNS lookups uit te voeren op de manier die we hierboven hebben beschreven.

De meeste gebruikers hoeven zich alleen zorgen te maken over hun recursieve server. Deze wordt meestal beheerd en is eigendom van hun internetprovider of werkgever, maar in het algemeen kunnen de DNS-servers die betrokken zijn bij het omzetten van een websitenaam naar een IP-adres eigendom zijn van, beheerd en gehost worden door individuen, de overheid of organisaties. Enkele van de meest voorkomende publieke recursieve DNS-servers zijn 8.8.8.8 en 1.1.1.1, respectievelijk eigendom van Google en Cloudflare.

DNS-privacy en -beveiliging: Wat je moet weten

Het is interessant om te weten wat een DNS-server is en hoe deze werkt. Het is echter veel belangrijker om te weten hoe cruciaal het is voor je internet privacy en veiligheid.

Wat DNS onthult aan internetproviders en netwerkproviders

Je DNS lookups worden standaard omgeleid via je internetprovider of netwerkbeheerder. Zodra de DNS-server het IP-adres vindt dat je nodig hebt, wordt dit ook teruggestuurd naar je browser via de servers van je internetprovider. Dit proces onthult specifieke metadata aan je internetprovider:

• Welke domeinnaam je hebt aangevraagd.
• De exacte tijd waarop je het verzoek hebt gedaan.
• Je IP-adres, dat kan worden gebruikt om je locatie of apparaat te identificeren.

Deze informatie is voldoende om af te leiden dat je van plan was om verbinding te maken met die website, ook al blijft de content van je communicatie met de website verborgen als je codering gebruikt (zoals HTTPS). Toch kan het DNS-verzoek zelf je surfgedrag onthullen aan waarnemers.

Het goede nieuws is dat wanneer je verbinding maakt met ExpressVPN onze servers al je DNS-verzoeken afhandelen, niet je internetprovider.

Omdat ExpressVPN je verkeer beveiligt, kan je internetprovider zelfs niet zien of je een DNS-verzoek doet. We loggen nooit DNS-verzoeken en wanneer we namens jou een naam opzoeken, kunnen andere DNS-servers alleen ons serveradres zien.

Omdat iedereen op dezelfde server dezelfde DNS-server deelt als jij, komen alle verzoeken van één enkele bron, waardoor je verzoeken worden vermengd met die van alle anderen. Zelfs als iemand geïnteresseerd zou zijn in DNS verkeer, zouden ze niet in staat zijn om een bepaalde gebruiker te isoleren.

Hoe DNS-lekken online anonimiteit en veiligheid in gevaar brengen

Hoewel ze niet bijzonder privé zijn, zijn publieke DNS-servers over het algemeen veilig. Toch kunnen cybercriminelen zich richten op DNS-servers om je privacy en beveiliging in gevaar te brengen en de werking van je apparaten te verstoren:

• DNS spoofing (cache poisoning): Bij deze aanval worden kwaadaardige DNS-gegevens in de cache van een resolver geïnjecteerd, waardoor deze een onjuist IP-adres retourneert. Dit kan gebruikers redirecten naar een phishing-website waar je wordt misleid om gevoelige gegevens (zoals creditcards of inloggegevens) vrij te geven of malware te downloaden.
• DNS-versterkingsaanvallen: Dit is een type DDoS-aanval waarbij dreigingsactoren valse DNS-query's naar een server sturen en het retouradres instellen als het IP-adres van het slachtoffer. De DNS-servers sturen vervolgens grote antwoorden terug naar het IP-adres van het slachtoffer. Deze reacties kunnen de computers en servers van het slachtoffer overweldigen, waardoor ze uitvallen en crashen.
• DNS-kaping: Dit is vergelijkbaar met DNS-spoofing, waarbij de dreigingsactor legitieme DNS-query's omleidt naar de verkeerde sites om het slachtoffer te misleiden. Het belangrijkste verschil is dat dit gebeurt op actieve DNS query's in plaats van DNS gegevens in de cache. Cybercriminelen moeten mogelijk inbreken in je router of malware op je apparaat installeren om deze aanval succesvol uit te voeren.
• Afluisteren: Aangezien DNS-query's vaak als platte tekst over UDP-protocollen worden verzonden, kan iedereen met de juiste technische kennis deze gegevens onderscheppen en interpreteren. Je internetgegevens kunnen onthullen welke sites je bezoekt, wat veiligheidsrisico's met zich meebrengt voor gebruikers die liever privé online blijven.

DNS over HTTPS (DoH) en DNSSEC: Wat ze beschermen

Gelukkig bestaan er maatregelen om de veiligheid van je DNS lookups te versterken en hun legitimiteit voortdurend te garanderen. Hiervan zijn DNS over HTTPS en DNSSEC opmerkelijke voorbeelden.

DNS over HTTPS (DoH)

Beschermt tegen: DNS-kaping, afluisteren en spoofing aanvallen.

Basis DNS-verkeer wordt als niet-versleutelde tekst over relevante servers verzonden. Hierdoor gaan gegevens sneller, maar wordt het DNS-verkeer ook blootgesteld aan dreigingsactoren. Zelfs als de doelwebsite HTTPS gebruikt, zouden de DNS query's naar de website nog steeds leesbaar zijn als platte tekst.

Dit is waar DNS over HTTPS (DoH) om de hoek komt kijken om dat beveiligingsgat te dichten. Nu worden de gegevens van het DNS-verkeer onderweg versleuteld, waardoor ze onleesbaar zijn voor iedereen die ze onderschept. Omdat het onleesbaar is, kunnen dreigingsactoren de gegevens niet kopiëren of vervalsen, waardoor het onmogelijk is om kwaadaardige code of redirects in het DNS-verkeer te injecteren.

DNSSEC

Beschermt tegen: DNS-redirect, kaping, spoofing en man-in-the-middle aanvallen.

DNSSEC (Domain Name System Security Extension) zorgt ervoor dat elk DNS-record een unieke handtekening nodig heeft die de legitimiteit ervan identificeert voordat het op je computer wordt uitgevoerd. Met andere woorden, DNSSEC injecteert speciale sleutels in de naamservers (meestal de gezaghebbende naamserver), die door je browser kunnen worden bevestigd voordat het geretourneerde DNS-record wordt geaccepteerd.

Na bevestiging van de legitimiteit van een sleutel kan je webbrowser je met een gerust hart naar de website sturen die je wilde bezoeken. Anders wordt die verbinding geblokkeerd omdat je webclient opmerkt dat de digitale sleutel is gewijzigd of niet meer bestaat.

Er is altijd een sleutelpaar gekoppeld aan een DNS-record: de publieke en privésleutel. De privésleutels worden nooit gedeeld en blijven uitsluitend in de DNS-zone waar de records worden bewaard. De publieke sleutels, die op hetzelfde moment gegenereerd worden als de private sleutels waarmee ze gekoppeld worden, kunnen opgevraagd worden door de DNS recursieve server om de DNS-records te valideren.

De manier waarop DNSSEC is opgezet, maakt het een belangrijke bescherming tegen aanvallen op basis van vertrouwen, zoals DNS-kaping en spoofing aanvallen. Dankzij de digitale handtekeningen accepteert de recursieve server niet zomaar een antwoord van de gezaghebbende server, maar verifieert hij dit met behulp van de bijbehorende openbare sleutel.

Veelvoorkomende DNS-problemen en oplossingen

DNS-servers zijn zo gemaakt dat ze bijna nooit vastlopen. Je kunt jarenlang leven zonder dat je eraan denkt dat ze er zijn. Zo goed werken ze op de achtergrond zonder dat er invoer van de gebruiker nodig is.

Desondanks hebben ze wel een paar veelvoorkomende problemen:

• DNS-resolutiefout: Dit gebeurt wanneer de DNS-server je verzoek niet kan oplossen. Om dit op te lossen, controleer je eerst je netwerkconnectiviteit. Als dat niet het probleem is, moet u wachten tot de websitebeheerder of domeinregistrar het probleem bij hen heeft opgel
• Problemen met DNS-cache: Je DNS-server kan een oudere versie van een webpagina blijven weergeven terwijl er al een nieuwe is. Je kunt dit oplossen door de cache te wissen uit de instellingen van de browser, de browser opnieuw te starten of je apparaat opnieuw op te starten.
• DNS NXDOMAIN fout: De fout NXDOMAIN informeert je dat de website die je probeert te bezoeken niet bestaat. We hebben bijvoorbeeld "ExpressVPN" verkeerd gespeld als "ExpressVeePN" om deze fout te veroorzaken. De recursieve server probeerde de DNS-records voor zo'n domein te vinden, maar kon dit niet omdat het nog niet is geconfigureerd. Afhankelijk van je OS en Chrome-versie kan deze foutmelding verschijnen als DNS_PROBE_FINISHED_NXDOMAIN or ERR_NAME_NOT_RESOLVED. Beide geven dezelfde DNS lookup fout aan.

Als de DNS-problemen aanhouden nadat je opnieuw verbinding hebt gemaakt met internet en je apparaat opnieuw hebt opgestart, start dan je router opnieuw op. Als dat niet werkt, kun je het beste contact opnemen met je internetprovider, omdat het een configuratieprobleem kan zijn.

Wat betekent "DNS server reageert niet"?

Je krijgt een "DNS server reageert niet" foutmelding wanneer de webpagina die je probeert te openen down is, misschien voor onderhoud of vanwege aanvallen, zoals (Distributed) Denial of Service (DDoS).

Je kunt deze fout ook krijgen wanneer:

• Je niet verbonden bent met het internet.
• Je recursieve server niet werkt.
• De cache van de browser moet worden ververst.

Als je geen van de netwerkinstellingen van je browser of apparaat hebt gewijzigd en je bent verbonden met een werkende internetverbinding, dan zou een eenvoudige herstart de klus moeten klaren.

Je DNS-instellingen wijzigen vanaf elk apparaat

Je kunt je DNS-instellingen op iOS- en Android-smartphones en computers (Mac en Windows) om meerdere redenen wijzigen:

• Om een back-up toe te voegen voor het geval de primaire DNS-server faalt.
• Content filteren en ouderlijk toezicht op je netwerk afdwingen.
• Om over te schakelen naar een intern of eigen DNS-netwerk.
• De privacy en veiligheid op internet verbeteren.

Als je het doet voor je internet privacy en veiligheid, dan raden we je aan om je niet bezig te houden met zeer technische stappen. Maak in plaats daarvan verbinding met een VPN-server van een provider met eigen DNS-servers zoals ExpressVPN.

Je DNS-instellingen wijzigen in Windows

Opmerking: In ons voorbeeld hebben we Windows 11 gebruikt. Andere versies kunnen iets andere stappen hebben.

1. Maak verbinding met het netwerk waarvoor je de DNS-instellingen wilt wijzigen. Je kunt verbinding maken via Ethernet of wifi.
2. Ga naar het configuratiescherm van Windows.
   
3. Klik op Netwerk en internet.
   
4. Klik op Netwerkcentrum.
   
5. Klik op Adapterinstellingen wijzigen.
   
6. Klik met de rechtermuisknop op de verbinding en klik vervolgens op Eigenschappen.
   
7. Je wordt mogelijk gevraagd om een beheerderswachtwoord in te voeren. Typ het in.
8. Selecteer Netwerken op het tabblad. Kies onder  Deze verbinding heeft de volgende onderdelen nodigtussen Internet Protocol Version 4 (TCP/IPv4) and Internet Protocol Version 6 (TCP/IPv6). Klik ten slotte op Eigenschappen.
   
9. Klik op De volgende DNS-serveradressen gebruiken.
   
10. Voer je Voorkeurs-DNS-server en Alternatieve DNS-server in.
11. Klik op OK.

Vergeet niet om te testen of de verbinding onmiddellijk werkt. Op die manier kun je het probleem oplossen en verbonden blijven met het internet.

Je DNS-instellingen wijzigen op Mac

Opmerking: In ons voorbeeld hebben we macOS 26.1 gebruikt. Andere versies kunnen iets andere stappen hebben.

1. Ga naar Systeeminstellingen van je Mac.
2. Klik op Netwerk.
3. Klik op de verbinding waarvoor je de DNS-instellingen wilt wijzigen. Dit kan een wifi of Ethernet netwerk zijn.
   
4. Klik op Details... van het verbonden netwerk.
   
5. Klik op DNS.
   
6. Kopieer het bestaande DNS-serveradres en bewaar het op een veilige plaats. Dit is cruciaal voor probleemoplossing.
7. Klik op het + pictogram om de bestaande DNS-instellingen te vervangen.
   
8. Een nieuw IPv4- of IPv6-adres toevoegen.
9. Klik op OK.

Je kunt checken of je nieuwe instellingen werken door je browser af te sluiten, opnieuw te starten en een webpagina te openen. Op die manier weet je zeker dat de browser niet alleen een pagina uit de cache weergeeft, maar een nieuwe pagina die door de nieuwe DNS-server is opgelost.

Je DNS-instellingen wijzigen op iOS (iPhone en iPad)

Opmerking: In ons voorbeeld hebben we iOS 26.0.1 gebruikt. Andere versies kunnen iets andere stappen hebben.

1. Maak verbinding met het wifinetwerk waarvoor je de DNS-instellingen wilt wijzigen en ga naar de Instellingen van je iOS-apparaat. Tik op wifi.
   
2. Tik op het info pictogram naast de naam van de verbonden wifi.
   
3. Blader en tik op Configureer DNS.
   
4. Wijzig de instellingen van Automatisch naar Handmatig.
   
5. Klik op Voeg server toe en voer het gewenste IPv4- of IPv6-adres in.
   

Je DNS-instellingen wijzigen op Android

Opmerking: In ons voorbeeld hebben we de Xiaomi 15 Ultra met Android 15 gebruikt. Andere apparaten of softwareversies kunnen iets andere stappen hebben.

1. Ga naar de instellingen van je Android-toestel en tik op Meer connectiviteitsopties.
   
2. Tik op Privé DNS.
   
3. Ga Hostnaam van privé-DNS-provider en voer de hostnaam van de DNS-provider in.
   
4. Tik op Opslaan.

Moet je een openbare of privé DNS gebruiken?

Openbare DNS-servers worden vaak onderhouden door internetproviders en bedrijven (zoals Google en Cloudflare). Privé DNS daarentegen wordt vaak intern onderhouden, beheerd en gebruikt door bedrijven. Personen die grote computernetwerken beheren, kunnen ook een privé DNS-server opzetten om de veiligheid en privacy van internetgegevens te waarborgen.

De meeste internetgebruikers vertrouwen op openbare DNS. Echter, zoals vermeld gaat dit gepaard met verschillende privacyrisico's. Voor extra privacy moet je een betrouwbare no logging VPN met een versleutelde DNS-service kiezen.