Che cos'è un server DNS?

Il Domain Name System (DNS) consente agli utenti di accedere ai siti web utilizzando nomi di dominio e URL anziché complessi indirizzi IP (Internet Protocol) numerici. Il DNS è reso possibile da quattro tipi di server DNS integrati: recursive DNS server, root name server, top level domain name server e authoritative name server.

Un utente avvia una query DNS immettendo il nome di un host, ad esempio www.example.com, nella barra degli indirizzi di un browser di ricerca. Quando ciò accade, una serie di funzioni chiamate DNS lookup inizia ad abbinare al nome di dominio il suo indirizzo IP designato. Un indirizzo IP è un numero di identificazione numerico utilizzato per identificare ogni dispositivo e rete che si connette a Internet. Gli indirizzi IP sono indirizzi IPv4, come 93.184.216.34, o indirizzi IPv6 come 2001:db8:3333:4444:5555:6666:7777:8888.

Sebbene numeri complessi come questi aiutino a mantenere i domini organizzati, non ci si può aspettare che gli utenti tengano traccia di questi numeri o che li utilizzino per effettuare facilmente ricerche su Internet. Il DNS consente di personalizzare i nomi di dominio per scopi funzionali come il branding e un'esperienza utente semplificata. I server DNS sono stati progettati per rendere questo processo semplice per gli utenti e per gestire un elevato volume di traffico, modificando i nomi di dominio e gli indirizzi IP. Il processo di risoluzione DNS dipende da variabili quali bilanciamento del carico, posizione del server e dell'utente e potenza della connessione Internet.

Esistono quattro tipi di server DNS coinvolti nel processo di traduzione delle ricerche degli utenti in indirizzi IP. I server funzionano in modo interdipendente, ognuno assumendo una funzione diversa, con lo scopo di mantenere il processo veloce e sicuro.

Una query DNS passa attraverso questi quattro server nell'ordine in cui sono elencati:

Noto anche come DNS recursor o recursive DNS resolver, è la prima fermata per una query ricorsiva, ovvero il processo di un server DNS che comunica con altri server DNS per individuare e restituire un indirizzo IP. Questo server riceve una query DNS e può collegare un utente al sito desiderato utilizzando i dati memorizzati nella cache oppure, se i dati del sito non sono memorizzati nella cache, inviare una richiesta di follow-up ai DNS name server.

Una volta ricevute le informazioni dal name server, il resolver ricorsivo collega l'utente al sito corretto. In ogni ricerca, i server creano cache DNS che salvano i dati. Ciò accelera il processo di ricerca e restituzione e offre agli utenti un accesso più rapido alla pagina web corretta. La maggior parte dei DNS recursor è fornita da provider di servizi Internet (ISP).

Quando un server DNS ricorsivo non dispone di dati memorizzati nella cache, invia una query DNS al server dei nomi radice DNS. Il server dei nomi radice accetta la query e la inoltra a un server dei nomi di dominio di primo livello (TLD). Il server TLD a cui viene inoltrata la query dipende dall'estensione del sito desiderata: .com, .org o .net, ad esempio. Esistono 13 root server DNS principali gestiti dalla ICANN (Internet Corporation for Assigned Names and Numbers).

I TLD name server contengono dati relativi ai nomi di dominio con la stessa estensione. Ciò significa che esistono server TLD designati per i siti web con estensioni .com, .org e .net. Una volta che la query raggiunge il corretto TLD name server, viene indirizzata all'authoritative name server.

Gli authoritative DNS server, che sono in genere il passaggio finale del processo di recupero di un indirizzo IP, memorizzano le informazioni relative a nomi di dominio specifici nei record di risorse DNS. Questi record DNS contengono informazioni su un dominio specifico e sul suo indirizzo IP corrispondente. Quando viene trovato l'indirizzo IP corretto, questo viene inviato di nuovo al resolver ricorsivo. Se non viene trovato, l'utente riceverà un messaggio di errore.

Sebbene ciascuna delle loro funzioni sia complessa, i servizi DNS correttamente funzionanti dovrebbero essere impercettibili per gli utenti e il processo di recupero dovrebbe richiedere pochi secondi. Avere a disposizione quattro tipi di server aiuta il processo di bilanciamento del carico o di distribuzione del traffico di rete su più server in modo che nessun server venga sovraccaricato.

Il DNS spesso è considerato "la rubrica telefonica di Internet," perché contiene un registro dei nomi di dominio e degli indirizzi IP associati. I server DNS sono i motori che gestiscono il recupero degli indirizzi IP per i client DNS. I client DNS sono integrati nei router e nei sistemi operativi di smartphone o dispositivi desktop e hanno funzione di canale tra dispositivi e server locali. La maggior parte dei router dispone di server DNS primari e secondari configurati tramite il proprio provider Internet per proteggersi dai guasti.

Quando un utente cerca un dominio, la richiesta DNS avvia una query DNS che viene indirizzata ai server DNS. Da qui, ci sono due possibilità. Il primo è il ritorno di una query dalla cache DNS. La cache DNS è lo storage temporaneo di record DNS provenienti da ricerche precedenti su server DNS o altri dispositivi.Una cache DNS consente a una query di saltare una lunga ricerca DNS e di fornire una risposta più rapida restituendo un record DNS già memorizzato in una cache DNS temporanea. In base alle impostazioni DNS, i server Web memorizzano nella cache queste informazioni per un determinato periodo di tempo, noto come time-to-live (TTL).

Se non ci sono informazioni in cache, la query DNS passa attraverso quattro tipi di server (processo indicato nella sezione precedente) per trovare e restituire l'indirizzo IP corretto.

Il DNS può essere pubblico o privato. I server DNS pubblici sono disponibili per chiunque utilizzi Internet e sono generalmente configurati dai provider di servizi Internet. I servizi DNS pubblici consentono di gestire i server dei nomi autorevoli supportando l'indirizzamento del traffico e il bilanciamento del carico, migliorando così le prestazioni della rete.

Il DNS privato è impostato dietro un firewall e conserva i record sui siti Web interni. Questi sono spesso collegati attraverso una rete privata virtuale (VPN) che memorizza solo indirizzi IP interni. Solo i membri autorizzati di un'organizzazione possono accedere a un DNS privato, il che consente di limitare l'esposizione a minacce esterne ma comporta che la gestione sia ad opera dell'organizzazione o di un provider DNS privato.

I server DNS possono essere soggetti ad attacchi che negano l'accesso ai domini, sovraccaricano i server di traffico o si appropriano dell'infrastruttura DNS. I provider di DNS, come IBM NS1 Connect, offrono servizi DNS gestiti per proteggere da questo tipo di attacchi.

I tipi comuni di attacchi DNS includono:

Gli attacchi DDoS (Distributed Denial-of-Service) sovraccaricano gli authoritative name server con un flusso di traffico. Gli authoritative server non sono in grado di soddisfare query DNS legittime in quanto inondati di traffico dannoso.

Si tratta di un attacco denial-of-service noto anche come attacco NXDomain. Con questo attacco vengono inviate richieste ai server dei nomi autorevoli per sottodomini inesistenti rendendoli incapaci di rispondere a domande reali.

Strumenti di amplificazione degli attacchi DDoS (Distributed Denial-of-Service), i DNS flood possono causare interruzioni aumentando artificialmente il workload che i server DNS devono eseguire per completare una query.

In questo attacco i dati DNS contraffatti si infiltrano nella cache di un resolver DNS creando un indirizzo IP non corretto per un dominio che porta gli utenti a un sito Web non previsto. Questi siti Web possono esporre gli utenti a malware o tentativi di phishing.

Un attacco che prende di mira i server DNS inducendoli a elaborare pacchetti non validi. Ciò li rende incapaci di elaborare query legittime.

Questo attacco reindirizza gli utenti attraverso il protocollo Boarder Gateway Protocol (BGP) da domini legittimi a domini spesso configurati per scopi dannosi.

In questo attacco, l'infrastruttura DNS diventa un percorso per far passare malware o dati rubati oltre un firewall.

Si tratta di un attacco che altera o distrugge i dati della zona DNS  acquisendo l'accesso non autorizzato alla gestione dei server DNS.

In un furto di dominio, gli aggressori acquisiscono la proprietà di un nome di dominio attraverso un accesso non autorizzato al registrar del dominio.