Cos’è il DNS? Riepilogo del sistema dei nomi di dominio

Il sistema dei nomi di dominio (dall’inglese “Domain Name System”) è parte fondamentale della navigazione quotidiana in rete, senza che ve ne rendiate conto. Con l’aiuto del DNS, i nomi di dominio che gli/le utenti digitano nel browser vengono tradotti in indirizzi IP di server con cui il computer può lavorare.

L’abbreviazione DNS sta per “Domain Name System”. Grazie al DNS, i nomi di dominio leggibili dagli esseri umani vengono convertiti in indirizzi IP di server. Quando digitate un dominio noto, come ad esempio www.ionos.it, nel browser, questo ricerca il nome di dominio nei diversi server DNS. La ricerca inizia abitualmente dal server DNS del router. Da qui, la ricerca prosegue in altri server DNS per trovare il nome di dominio desiderato, finché non viene trovato.

A quel punto il browser trova l’indirizzo IP corrispondente attraverso il quale può finalmente stabilire una connessione al sito web desiderato. Il Domain Name System è quindi necessario per comunicare in rete senza conoscere i rispettivi indirizzi IP.

Il sistema dei nomi di dominio viene spesso definito “l’elenco telefonico di Internet”. Non è un caso, ma è anzi direttamente collegato al modo in cui funziona il DNS, ossia la ricerca di indirizzi IP corrispondenti per determinati nomi di dominio. Questo processo è chiamato risoluzione dei nomi DNS e può essere spiegato passo per passo in questo modo:

1. Inserite l’indirizzo web desiderato nella maschera di ricerca del vostro browser.
2. La ricerca viene inoltrata a un risolutore DNS, che di regola viene gestito dal vostro provider di servizi Internet.
3. Il risolutore DNS inoltra la ricerca a un server DNS e viene indirizzato a un altro server DNS.
4. Il risolutore DNS viene indirizzato ad altri server DNS finché non trova il nome dell’indirizzo web.
5. Il server finale cerca nei suoi record l’indirizzo IP corrispondente e lo restituisce al risolutore DNS.
6. Il risolutore DNS fornisce l’indirizzo IP al browser, il quale richiama il sito web corrispondente.

Diversi componenti, come il risolutore DNS e i vari name server, svolgono un ruolo nella risoluzione dei nomi. In parole povere, il risolutore DNS è il programma che controlla il processo di risoluzione dei nomi e ottiene le informazioni necessarie dal Domain Name System. Lo strumento a riga di comando nslookup può tornarvi utile per verificare se la risoluzione dei nomi funziona correttamente.

Si può fare una distinzione tra i diversi name server che svolgono un ruolo nella risoluzione dei nomi:

• DNS root server: i root server sono name server autorevoli che normalmente restituiscono un elenco di altri name server autorevoli per un determinato dominio di primo livello.
• Name server TLD: il server TLD risponde a seconda del particolare dominio di primo livello. Se si cerca www.ionos.it, risponde un name server TLD per l’estensione di dominio .it.
• Name server autorevole: i name server autorevoli sono responsabili di una zona DNS, cioè di un singolo dominio o sottodominio. Le informazioni fornite dai name server autorevoli sono vincolanti. Si distingue tra DNS primario e DNS secondario.
• Name server non autorevoli: i name server non autorevoli ottengono le loro informazioni da altri name server autorevoli.

Nonostante il DNS svolga un ruolo fondamentale nel traffico di rete quotidiano, il sistema ha anche dei punti deboli. Uno dei problemi più grossi del DNS sono le sue falle di sicurezza. Poiché i server DNS memorizzano gli indirizzi IP appartenenti a un dominio in modo non criptato e li trasmettono a chiunque li richieda, sono un bersaglio ideale per la criminalità informatica.

Anche i DNS leak sono un problema che si presenta a quelle/quegli utenti che vorrebbero mantenere privata la propria navigazione su Internet. Invece di essere inviata tramite VPN, in caso di perdita (o leak, dall’inglese) una query DNS viene inviata senza protezione a un name server.

Il DNS può causare problemi anche per un Internet libero e non censurato. Di recente, ad esempio, il Ministero della trasformazione digitale russo ha ordinato che tutti i servizi Internet disponibili sul territorio nazionale vengano instradati attraverso i server DNS russi, bloccando i siti web stranieri. Così facendo, i governi autoritari possono monitorare tutto il traffico di rete. È anche ipotizzabile una censura attraverso il DNS, ad esempio se un determinato dominio di primo livello venisse bloccato. I provider di Internet possono anche bloccare l’accesso a determinati siti web per attuare i requisiti di censura del governo.

Esiste una serie di estensioni DNS che forniscono funzioni aggiuntive al sistema dei nomi di dominio:

• DynDNS o DDNS: DynDNS o DNS dinamico ha lo scopo di garantire che i domini del Domain Name System vengano aggiornati regolarmente e automaticamente. Non appena un computer cambia il suo indirizzo IP, questa modifica deve essere registrata nel record DNS corrispondente.
• Extended DNS: varie estensioni del protocollo DNS sono state combinate per formare l’Extended DNS (o DNS esteso, in italiano). L’estensione è essenziale in particolar modo per il trasporto di pacchetti UDP.
• DNSSEC: il protocollo DNSSEC offre un’estensione in termini di sicurezza. Il protocollo DNSSEC ha lo scopo di impedire alle/agli hacker di interferire con la risoluzione dei nomi DNS. L’estensione utilizza a tal fine la crittografia asimmetrica.

Per la sicurezza di rete, un DNS obsoleto o mal gestito può costituire un problema. Una strategia di attacco popolare è il DNS hijacking: in questo caso, il name server è controllato dalle/dagli hacker e l’utente viene reindirizzata o reindirizzato a una pagina che inizialmente non voleva visitare. In combinazione con le tecniche di pharming o phishing, gli aggressori cercano di carpire i vostri dati personali. È anche possibile che le pagine a cui venite indirizzati infettino il vostro computer con dei malware.

Anche il DNS spoofing è un pericolo che si presenta con una query DNS. In questo caso, non viene controllato l’intero name server, ma viene manipolata solo la risoluzione dei nomi. Ciò significa che non ottenete l’indirizzo IP corretto, ma il record DNS è stato modificato per restituirvi un indirizzo IP controllato dagli aggressori. La pagina a cui si arriva sembra a prima vista legittima. L’unica cosa che vi manca è un certificato di sicurezza.

Durante la risoluzione dei nomi, diversi tipi di query DNS assicurano che recuperiate le informazioni corrette:

• Query ricorsiva: il computer richiede un indirizzo IP o la conferma che il name server non conosce questo indirizzo IP.
• Query iterativa: le query iterative sono le più frequenti. In questo caso, il computer richiede la migliore risposta possibile al server DNS. Se il server non conosce l’indirizzo corrispondente, inoltra la richiesta ai name server autorevoli.

I record DNS sono componenti importanti di un server DNS. Indicano a quale indirizzo di destinazione appartiene un determinato nome di dominio. Si distingue tra diversi tipi di record DNS:

• Record A: i record A sono i record DNS più comuni. Assegnano un indirizzo IPv4 a un dominio e sono utilizzati per indirizzare un dominio a un server web.
• Record CNAME: questo tipo di record viene utilizzato per assegnare un sottodominio a un dominio sovraordinato.
• Record TXT: con l’aiuto dei record TXT, è possibile assegnare qualsiasi testo a un dominio.
• Record MX: i record MX sono utilizzati per assegnare qualsiasi dominio a un servizio di posta elettronica.