Cos’è il DNS? Riepilogo del sistema dei nomi di dominio

Il sistema dei nomi di dominio (dall’inglese “Domain Name System”) è parte fon­da­men­ta­le della na­vi­ga­zio­ne quo­ti­dia­na in rete, senza che ve ne rendiate conto. Con l’aiuto del DNS, i nomi di dominio che gli/le utenti digitano nel browser vengono tradotti in indirizzi IP di server con cui il computer può lavorare.

L’ab­bre­via­zio­ne DNS sta per “Domain Name System”. Grazie al DNS, i nomi di dominio leggibili dagli esseri umani vengono con­ver­ti­ti in indirizzi IP di server. Quando digitate un dominio noto, come ad esempio www.ionos.it, nel browser, questo ricerca il nome di dominio nei diversi server DNS. La ricerca inizia abi­tual­men­te dal server DNS del router. Da qui, la ricerca prosegue in altri server DNS per trovare il nome di dominio de­si­de­ra­to, finché non viene trovato.

A quel punto il browser trova l’indirizzo IP cor­ri­spon­den­te at­tra­ver­so il quale può fi­nal­men­te stabilire una con­nes­sio­ne al sito web de­si­de­ra­to. Il Domain Name System è quindi ne­ces­sa­rio per co­mu­ni­ca­re in rete senza conoscere i ri­spet­ti­vi indirizzi IP.

Il sistema dei nomi di dominio viene spesso definito “l’elenco te­le­fo­ni­co di Internet”. Non è un caso, ma è anzi di­ret­ta­men­te collegato al modo in cui funziona il DNS, ossia la ricerca di indirizzi IP cor­ri­spon­den­ti per de­ter­mi­na­ti nomi di dominio. Questo processo è chiamato ri­so­lu­zio­ne dei nomi DNS e può essere spiegato passo per passo in questo modo:

1. Inserite l’indirizzo web de­si­de­ra­to nella maschera di ricerca del vostro browser.
2. La ricerca viene inoltrata a un ri­so­lu­to­re DNS, che di regola viene gestito dal vostro provider di servizi Internet.
3. Il ri­so­lu­to­re DNS inoltra la ricerca a un server DNS e viene in­di­riz­za­to a un altro server DNS.
4. Il ri­so­lu­to­re DNS viene in­di­riz­za­to ad altri server DNS finché non trova il nome dell’indirizzo web.
5. Il server finale cerca nei suoi record l’indirizzo IP cor­ri­spon­den­te e lo re­sti­tui­sce al ri­so­lu­to­re DNS.
6. Il ri­so­lu­to­re DNS fornisce l’indirizzo IP al browser, il quale richiama il sito web cor­ri­spon­den­te.

Diversi com­po­nen­ti, come il ri­so­lu­to­re DNS e i vari name server, svolgono un ruolo nella ri­so­lu­zio­ne dei nomi. In parole povere, il ri­so­lu­to­re DNS è il programma che controlla il processo di ri­so­lu­zio­ne dei nomi e ottiene le in­for­ma­zio­ni ne­ces­sa­rie dal Domain Name System. Lo strumento a riga di comando nslookup può tornarvi utile per ve­ri­fi­ca­re se la ri­so­lu­zio­ne dei nomi funziona cor­ret­ta­men­te.

Si può fare una di­stin­zio­ne tra i diversi name server che svolgono un ruolo nella ri­so­lu­zio­ne dei nomi:

• DNS root server: i root server sono name server au­to­re­vo­li che nor­mal­men­te re­sti­tui­sco­no un elenco di altri name server au­to­re­vo­li per un de­ter­mi­na­to dominio di primo livello.
• Name server TLD: il server TLD risponde a seconda del par­ti­co­la­re dominio di primo livello. Se si cerca www.ionos.it, risponde un name server TLD per l’esten­sio­ne di dominio .it.
• Name server au­to­re­vo­le: i name server au­to­re­vo­li sono re­spon­sa­bi­li di una zona DNS, cioè di un singolo dominio o sot­to­do­mi­nio. Le in­for­ma­zio­ni fornite dai name server au­to­re­vo­li sono vin­co­lan­ti. Si distingue tra DNS primario e DNS se­con­da­rio.
• Name server non au­to­re­vo­li: i name server non au­to­re­vo­li ottengono le loro in­for­ma­zio­ni da altri name server au­to­re­vo­li.

No­no­stan­te il DNS svolga un ruolo fon­da­men­ta­le nel traffico di rete quo­ti­dia­no, il sistema ha anche dei punti deboli. Uno dei problemi più grossi del DNS sono le sue falle di sicurezza. Poiché i server DNS me­mo­riz­za­no gli indirizzi IP ap­par­te­nen­ti a un dominio in modo non criptato e li tra­smet­to­no a chiunque li richieda, sono un bersaglio ideale per la cri­mi­na­li­tà in­for­ma­ti­ca.

Anche i DNS leak sono un problema che si presenta a quelle/quegli utenti che vor­reb­be­ro mantenere privata la propria na­vi­ga­zio­ne su Internet. Invece di essere inviata tramite VPN, in caso di perdita (o leak, dall’inglese) una query DNS viene inviata senza pro­te­zio­ne a un name server.

Il DNS può causare problemi anche per un Internet libero e non censurato. Di recente, ad esempio, il Ministero della tra­sfor­ma­zio­ne digitale russo ha ordinato che tutti i servizi Internet di­spo­ni­bi­li sul ter­ri­to­rio nazionale vengano in­stra­da­ti at­tra­ver­so i server DNS russi, bloccando i siti web stranieri. Così facendo, i governi au­to­ri­ta­ri possono mo­ni­to­ra­re tutto il traffico di rete. È anche ipo­tiz­za­bi­le una censura at­tra­ver­so il DNS, ad esempio se un de­ter­mi­na­to dominio di primo livello venisse bloccato. I provider di Internet possono anche bloccare l’accesso a de­ter­mi­na­ti siti web per attuare i requisiti di censura del governo.

Esiste una serie di esten­sio­ni DNS che for­ni­sco­no funzioni ag­giun­ti­ve al sistema dei nomi di dominio:

• DynDNS o DDNS: DynDNS o DNS dinamico ha lo scopo di garantire che i domini del Domain Name System vengano ag­gior­na­ti re­go­lar­men­te e au­to­ma­ti­ca­men­te. Non appena un computer cambia il suo indirizzo IP, questa modifica deve essere re­gi­stra­ta nel record DNS cor­ri­spon­den­te.
• Extended DNS: varie esten­sio­ni del pro­to­col­lo DNS sono state combinate per formare l’Extended DNS (o DNS esteso, in italiano). L’esten­sio­ne è es­sen­zia­le in par­ti­co­lar modo per il trasporto di pacchetti UDP.
• DNSSEC: il pro­to­col­lo DNSSEC offre un’esten­sio­ne in termini di sicurezza. Il pro­to­col­lo DNSSEC ha lo scopo di impedire alle/agli hacker di in­ter­fe­ri­re con la ri­so­lu­zio­ne dei nomi DNS. L’esten­sio­ne utilizza a tal fine la crit­to­gra­fia asim­me­tri­ca.

Per la sicurezza di rete, un DNS obsoleto o mal gestito può co­sti­tui­re un problema. Una strategia di attacco popolare è il DNS hijacking: in questo caso, il name server è con­trol­la­to dalle/dagli hacker e l’utente viene rein­di­riz­za­ta o rein­di­riz­za­to a una pagina che ini­zial­men­te non voleva visitare. In com­bi­na­zio­ne con le tecniche di pharming o phishing, gli ag­gres­so­ri cercano di carpire i vostri dati personali. È anche possibile che le pagine a cui venite in­di­riz­za­ti infettino il vostro computer con dei malware.

Anche il DNS spoofing è un pericolo che si presenta con una query DNS. In questo caso, non viene con­trol­la­to l’intero name server, ma viene ma­ni­po­la­ta solo la ri­so­lu­zio­ne dei nomi. Ciò significa che non ottenete l’indirizzo IP corretto, ma il record DNS è stato mo­di­fi­ca­to per re­sti­tuir­vi un indirizzo IP con­trol­la­to dagli ag­gres­so­ri. La pagina a cui si arriva sembra a prima vista legittima. L’unica cosa che vi manca è un cer­ti­fi­ca­to di sicurezza.

Durante la ri­so­lu­zio­ne dei nomi, diversi tipi di query DNS as­si­cu­ra­no che re­cu­pe­ria­te le in­for­ma­zio­ni corrette:

• Query ricorsiva: il computer richiede un indirizzo IP o la conferma che il name server non conosce questo indirizzo IP.
• Query iterativa: le query iterative sono le più frequenti. In questo caso, il computer richiede la migliore risposta possibile al server DNS. Se il server non conosce l’indirizzo cor­ri­spon­den­te, inoltra la richiesta ai name server au­to­re­vo­li.

I record DNS sono com­po­nen­ti im­por­tan­ti di un server DNS. Indicano a quale indirizzo di de­sti­na­zio­ne ap­par­tie­ne un de­ter­mi­na­to nome di dominio. Si distingue tra diversi tipi di record DNS:

• Record A: i record A sono i record DNS più comuni. Assegnano un indirizzo IPv4 a un dominio e sono uti­liz­za­ti per in­di­riz­za­re un dominio a un server web.
• Record CNAME: questo tipo di record viene uti­liz­za­to per assegnare un sot­to­do­mi­nio a un dominio so­vraor­di­na­to.
• Record TXT: con l’aiuto dei record TXT, è possibile assegnare qualsiasi testo a un dominio.
• Record MX: i record MX sono uti­liz­za­ti per assegnare qualsiasi dominio a un servizio di posta elet­tro­ni­ca.