Che cos’è un root server? De­fi­ni­zio­ne e fun­zio­na­men­to

Un root name server (anche chiamato DNS root server o ab­bre­via­to in root server) è un server, che svolge una funzione di primaria im­por­tan­za nella con­ver­sio­ne del nome di dominio in un indirizzo IP: risponde alle richieste del client (requests) nella zona di root del Domain Name System (la zona di root indica il livello più alto nel namespace del DNS). I root name server non eseguono au­to­no­ma­men­te la ri­so­lu­zio­ne del nome, ma si limitano a dare solo in­for­ma­zio­ni al client ri­chie­den­te indicando da quale altro name server (server DNS) ricevono altri dati sull’indirizzo IP richiesto.

Ciò avviene tramite il file di zona di root, che fa parte di ogni DNS root server. Il file è di circa 2 MB e comprende, malgrado le sue di­men­sio­ni ridotte, i nomi e gli indirizzi IP com­ples­si­vi di ogni name server di tutti i domini di primo livello (TLD). Questi dati svolgono una funzione im­por­tan­te, visto che vi accede un root server, quando richiede al client quel name server in cui sono presenti altre in­for­ma­zio­ni ne­ces­sa­rie in merito alla sua richiesta.

Ma anche se inoltrano solo richieste, i root name server per la ri­so­lu­zio­ne del nome di dominio sono in­di­spen­sa­bi­li perché senza di loro il DNS così com’è ora non fun­zio­ne­reb­be. Un root server lavora al livello della radice (in inglese root) del Domain Name System ed è un com­po­nen­te im­por­tan­te per la tra­smis­sio­ne degli indirizzi Internet.

Ma come riesce pre­ci­sa­men­te un root name server ad iden­ti­fi­ca­re l’indirizzo IP di un sito? Per capire il fun­zio­na­men­to del root server aiuta prendere in con­si­de­ra­zio­ne il processo generale della ri­so­lu­zio­ne del nome di dominio nel DNS. Ogni servizio Internet ha, oltre ad un indirizzo per­so­na­liz­za­to (il nome di dominio), un indirizzo IP numerico e univoco, che è collegato con il nome di dominio: ad esempio al sito italiano di IONOS viene assegnato l’indirizzo IPv4 “217.160.86.23”. Se inserite nel vostro browser “www.ionos.it”, il nome al­fa­nu­me­ri­co del sito deve essere prima di tutto con­ver­ti­to in questo indirizzo IP, di modo che il vostro browser possa far vi­sua­liz­za­re la pagina.

Il processo di ri­so­lu­zio­ne del nome di dominio nel DNS

Il compito prin­ci­pa­le del Domain Name System è la con­ver­sio­ne dei nomi di dominio in indirizzi IP (chiamata anche “forward lookup”). Il pro­ce­di­men­to della ri­so­lu­zio­ne del nome di dominio su Internet è or­ga­niz­za­to ge­rar­chi­ca­men­te. Ma prima che il DNS venga in­ca­ri­ca­to della ri­so­lu­zio­ne, il sistema in uso cerca in genere au­to­no­ma­men­te di trovare l’indirizzo IP ne­ces­sa­rio nella propria memoria dati. Il numero e l’ordine delle diverse stazioni at­tra­ver­sa­te da una richiesta dipende da diversi fattori, ad esempio dal sistema operativo in uso o se viene uti­liz­za­to come pro­to­col­lo UDP o NetBIOS over TCP/IP. La ri­so­lu­zio­ne del nome di dominio in sé tramite i diversi server nel DNS avviene di norma sempre allo stesso modo. Vi esem­pli­fi­chia­mo di seguito le fasi più im­por­tan­ti compiute durante la ricerca dell’indirizzo IP giusto di un sito e vi spie­ghia­mo il ruolo svolto in questo processo dal DNS root server.

1. Dopo aver iniziato la richiesta di una pagina web (ad esempio “www.ionos.it“) nel vostro client, per primo viene in­ca­ri­ca­to della ri­so­lu­zio­ne del nome di dominio il ri­so­lu­to­re DNS locale del vostro computer, un ri­so­lu­to­re è un modulo che serve da in­ter­fac­cia tra  l’ap­pli­ca­zio­ne e il server DNS che, per prima cosa, controlla nel file hosts se è già presente una voce per il nome di dominio. Tramite questo file di testo la ri­so­lu­zio­ne del nome di dominio può avvenire di­ret­ta­men­te dal proprio computer, almeno se prima è stato assegnato ma­nual­men­te un indirizzo IP ad un nome host. La maggior parte degli utenti non ge­sti­sco­no e non uti­liz­za­no questo file, perché risale al periodo prima del Domain Name System, che lo ha so­sti­tui­to, e perciò non risulta neanche utile nella ri­so­lu­zio­ne del nome di dominio.
2. Se non è presente alcuna voce per il sito richiesto nel file hosts, il ri­so­lu­to­re DNS dell’ap­pli­ca­zio­ne o del sistema operativo verifica ora la presenza del nome di dominio nella cache (memoria di transito) del vostro client. Qualora abbiate già visitato la pagina o un’altra dello stesso sito (ad esempio “ionos.it/di­gi­tal­gui­de”) e le in­for­ma­zio­ni siano già state me­mo­riz­za­te nella cache, l’indirizzo IP viene ricavato da questo.
3. Se il ri­so­lu­to­re locale non è riuscito a trovare niente nella cache per poter risolvere il nome di dominio, entra in azione il name server di rete, che è ge­ne­ral­men­te il router di rete con il quale vi con­net­te­te ad Internet. Il name server del router dopo aver con­trol­la­to nella sua cache (se presente) e non avendo trovato niente neanche lì, richiede al name server del provider l’indirizzo IP del sito.
4. Ve­ri­fi­can­do il suo database, il server DNS del vostro provider cerca di scoprire l’indirizzo IP del nome di dominio; anche i diversi ri­so­lu­to­ri dei name server vengono uti­liz­za­ti per rac­co­glie­re le in­for­ma­zio­ni.
5. Se anche questo passaggio non dovesse portare ad alcun risultato, il server DNS del provider si rivolge al root name server e gli richiede altre in­for­ma­zio­ni sul TLD della pagina ricercata (la parte finale di un nome di dominio rap­pre­sen­ta il TLD, ad esempio .com o .it). Sui DNS root server è me­mo­riz­za­to nel file di zona di root quali sono i name server del Top Level Domain che for­ni­sco­no ulteriori in­for­ma­zio­ni su uno specifico TLD. L’in­for­ma­zio­ne giusta per la richiesta viene inoltrata ai name server del provider. Nel caso del nome di dominio “www.ionos.it” il root server rimanda al name server del TLD del Nic.it, re­spon­sa­bi­le per tutti i nomi di dominio .it.
6. Suc­ces­si­va­men­te il server del provider richiede il name server del TLD e anche qui non riceve una risposta de­fi­ni­ti­va, ma viene di nuovo rei­nol­tra­to: i name server del TLD ricoprono esclu­si­va­men­te una funzione di inoltro e informano i name server ri­chie­den­ti su quale server DNS au­to­ri­ta­ti­vo è me­mo­riz­za­to il nome di dominio ricercato.
7. Ora il name server del provider si rivolge ai name server au­to­ri­ta­ti­vi re­spon­sa­bi­li per il nome di dominio e ottiene infine l’indirizzo IP richiesto.
8. Per finire, il name server del provider trasmette l’indirizzo IP al server DNS del vostro router, che lo inoltra al vostro ri­so­lu­to­re locale. Da là l’indirizzo IP viene tra­sfe­ri­to al vostro browser, che così può ri­chie­de­re la pagina, caricarla e vi­sua­liz­zar­la.

Durante il processo della ri­so­lu­zio­ne del nome di dominio sono impiegati molti diversi name server. No­no­stan­te ciò, i root name server ricoprono un ruolo par­ti­co­la­re in questo pro­ce­di­men­to: rap­pre­sen­ta­no l’istanza più alta nella ri­so­lu­zio­ne del nome di dominio e, qualora un nome di dominio non possa essere con­ver­ti­to in un indirizzo IP at­tra­ver­so il ri­so­lu­to­re locale o il server DNS del provider, diventano i punti di inizio per la ricerca dell’indirizzo IP. Anche nel caso in cui la ri­so­lu­zio­ne del nome di dominio vada a buon fine in un passaggio pre­ce­den­te, le in­for­ma­zio­ni ne­ces­sa­rie an­te­ce­den­ti vengono raccolte da un DNS root server e salvate. In altre parole è im­por­tan­te che il server possa offrire co­stan­te­men­te il suo servizio.

Pa­no­ra­mi­ca dei root name server

Esistono com­ples­si­va­men­te 13 root name server prin­ci­pa­li, che sono indicati ri­spet­ti­va­men­te con le lettere dall’A alla M. Tutti di­spon­go­no di un indirizzo IPv4 e la maggior parte hanno anche un indirizzo IPv6. L’am­mi­ni­stra­zio­ne dei root server rientra tra i compiti dell’ICANN (Internet Cor­po­ra­tion for Assigned Names and Numbers), ma l’ese­cu­zio­ne è a cura di diverse isti­tu­zio­ni che ga­ran­ti­sco­no uno scambio dei dati nella zona di root sempre corretto, rag­giun­gi­bi­le e sicuro. Questa pa­no­ra­mi­ca mostra insieme ai gestori dei singoli root name server anche il loro indirizzo IP.

Ognuno di questi root name server dispone di una copia identica del file della zona di root, che deve essere ag­gior­na­ta di tanto in tanto, ad esempio se si cambia il registry per un TLD re­spon­sa­bi­le di un nome del dominio. La modifica al file di zona di root è un processo re­la­ti­va­men­te complesso: non appena viene ag­gior­na­ta una voce, questa viene ve­ri­fi­ca­ta da IANA (Internet Assigned Numbers Authority, un reparto dell’ICANN). Se tutto è corretto, il ministero del commercio USA deve approvare la richiesta, visto che l’ICANN è legato a questo ente da un contratto. Solo dopo questo passaggio la modifica viene im­ple­men­ta­ta nella zona di root dall’azienda VeriSign (la stessa che gestisce due root server).

Gior­nal­men­te i root server devono gestire una grande quantità di richieste. La maggior parte dei 13 root name server non risponde però da solo alle richieste del client, ma lo fa in col­la­bo­ra­zio­ne con altri server: qui la tecnica Anycast regola la di­stri­bu­zio­ne delle richieste in entrata. Quindi sono in realtà più di 13 server che si occupano delle richieste nella zona di root: com­ples­si­va­men­te centinaia di server sparsi in tutto il mondo svolgono questo compito, di cui la maggior parte si trovano in USA e in Europa.

La di­stri­bu­zio­ne dei server ha tra l’altro lo scopo di bi­lan­cia­re il carico e aumentare la stabilità dei root server: prima dell’uso di Anycast c’erano solo 13 root name server prin­ci­pa­li, che si oc­cu­pa­va­no della risposta alle richieste. Visto che 10 di questi si trovano negli USA, solo tramite la tecnica Anycast è stato possibile as­si­cu­ra­re un’ela­bo­ra­zio­ne re­la­ti­va­men­te de­cen­tra­ta delle richieste nella zona di root. Inoltre, la di­stri­bu­zio­ne globale dei server favorisce anche dei tempi di accesso inferiori nell’ela­bo­ra­zio­ne delle richieste, perché risponde sempre il server che svolge il percorso più breve.

Un’altra misura di sicurezza è la li­mi­ta­zio­ne delle capacità dei root name server uti­liz­za­ti nor­mal­men­te: i server uti­liz­za­no solo un terzo delle risorse com­ples­si­ve messe a di­spo­si­zio­ne dai computer. Così si ga­ran­ti­sce che la ri­so­lu­zio­ne dei nomi di dominio funzioni comunque, anche qualora più DNS root server non siano rag­giun­gi­bi­li nello stesso momento. Infatti i rimanenti server attivi si occupano in questo caso delle richieste, che sono previste per i server non più rag­giun­gi­bi­li.

Di con­se­guen­za i diversi attacchi DDoS tentati in passato verso i DNS root server non sono andati a buon fine, visto le misure di sicurezza elevate in­tra­pre­se. I gestori dei 13 root server sanno fin troppo bene quanto siano im­por­tan­ti i loro server per Internet, infatti senza di loro sarebbe a rischio il fun­zio­na­men­to di tutti i servizi in rete, che po­treb­be­ro non essere più rag­giun­gi­bi­li.