Data di pubblicazione: 30 gennaio 2024
Autori: Camilo Quiroz Vazquez, Michael Goodwin
I server DNS traducono i nomi di dominio dei siti Web che gli utenti cercano nei browser Web nei corrispondenti indirizzi IP numerici. Questo processo è noto come risoluzione DNS.
IlDNS (Domain Name System) consente agli utenti di accedere ai siti Web utilizzando nomi di dominio e URL anziché complessi indirizzi IP (Internet Protocol) numerici. Il DNS è reso possibile da quattro tipi di server DNS integrati: server DNS ricorsivi, root name server, server di nomi di dominio di primo livello e server di nomi autorevoli.
Un utente avvia una query DNS immettendo il nome di un host, ad esempio www.example.com, nella barra degli indirizzi di un browser di ricerca. Quando ciò accade, una serie di funzioni chiamate ricerca DNS inizia ad abbinare al nome di dominio il suo indirizzo IP designato. Un indirizzo IP è un numero di identificazione numerico utilizzato per identificare ogni dispositivo e rete che si connette a Internet. Gli indirizzi IP sono indirizzi IPv4, come 93.184.216.34, o indirizzi IPv6 come 2001:db8:3333:4444:5555:6666:7777:8888.
Sebbene numeri complessi come questi aiutino a mantenere i domini organizzati, non ci si può aspettare che gli utenti tengano traccia di questi numeri o che li utilizzino per effettuare facilmente ricerche su Internet. Il DNS consente di personalizzare i nomi di dominio per scopi funzionali come il branding e un'esperienza utente semplificata. I server DNS sono stati progettati per rendere questo processo semplice per gli utenti e per gestire un elevato volume di traffico, modificando i nomi di dominio e gli indirizzi IP. Il processo di risoluzione DNS dipende da variabili quali il bilanciamento del carico, laposizione del server e dell'utente e la potenza della connessione Internet.
Scopri in che modo i dati DNS e RUM (Real User Monitoring) offrono maggiori funzionalità a un costo inferiore.
Registrati per ricevere l'ebook sui miti dell'osservabilità
Esistono quattro tipi di server DNS coinvolti nel processo di traduzione delle ricerche degli utenti in indirizzi IP. I server funzionano in modo interdipendente, ognuno assumendo una funzione diversa, con lo scopo di mantenere il processo veloce esicuro.
Una query DNS passa attraverso questi quattro server nell'ordine in cui sono elencati:
Noto anche come DNS recursor o resolver DNS ricorsivo, è la prima fermata per una query ricorsiva: il processo di un server DNS che comunica con altri server DNS per individuare e restituire un indirizzo IP. Questo server riceve una query DNS e può collegare un utente al sito desiderato utilizzando i dati memorizzati nella cache oppure, se i dati del sito non sono memorizzati nella cache, inviare una richiesta di follow-up ai server di nomi DNS.
Una volta ricevute le informazioni dal server dei nomi, il resolver ricorsivo collega l'utente al sito corretto. In ogni ricerca, i server creano cache DNS che salvano dati. Ciò accelera il processo di ricerca e restituzione e offre agli utenti un accesso più rapido alla pagina Web corretta. La maggior parte dei recursori DNS è fornita da provider di servizi Internet (ISP).
Quando un server DNS ricorsivo non dispone di dati memorizzati nella cache, invia una query DNS al server dei nomi radice DNS. Il server dei nomi radice accetta la query e la inoltra a un server dei nomi di dominio di primo livello (TLD). Il server TLD a cui viene inoltrata la query dipende dall'estensione del sito desiderata: .com, .org o .net, ad esempio. Esistono 13 root server DNS principali gestiti dalla ICANN (Internet Corporation for Assigned Names and Numbers).
I server dei nomi TLD contengono dati relativi ai nomi di dominio con la stessa estensione. Ciò significa che esistono server TLD designati per i siti Web con estensioni .com, .org e .net. Una volta che la query raggiunge il server dei nomi TLD corretto, viene quindi indirizzata al server dei nomi autorevole.
In genere il passaggio finale del processo di recupero di un indirizzo IP, i server DNS autorevoli memorizzano le informazioni relative a nomi di dominio specifici nei record di risorse DNS. Questi record DNS contengono informazioni su un dominio specifico e sul suo indirizzo IP corrispondente. Quando viene trovato l'indirizzo IP corretto, questo viene inviato di nuovo al resolver ricorsivo. Se non è presente, l'utente riceverà un messaggio di errore.
Sebbene ciascuna delle loro funzioni sia complessa, i servizi DNS correttamente funzionanti dovrebbero essere impercettibili per gli utenti e il processo di recupero dovrebbe richiedere pochi secondi. Avere a disposizione quattro tipi di server aiuta il processo di bilanciamento del carico o di distribuzione del traffico di rete su più server in modo che nessun server venga sovraccaricato.
Il DNS spesso è considerato "la rubrica telefonica di Internet," perché contiene un registro dei nomi di dominio e degli indirizzi IP associati. I server DNS sono i motori che gestiscono il recupero degli indirizzi IP per i client DNS. I client DNS sono integrati nei router e nei sistemi operativi di smartphone o dispositivi desktop e hanno funzione di canale tra dispositivi e server locali. La maggior parte dei router dispone di server DNS primari e secondari configurati tramite il proprio provider Internet per proteggersi dai guasti.
Quando un utente cerca un dominio, la richiesta DNS avvia una query DNS che viene indirizzata ai server DNS. Da qui, ci sono due possibilità. Il primo è il ritorno di una query dalla cache DNS. La cache DNS è lo storage temporaneo di record DNS provenienti da ricerche precedenti su server DNS o altri dispositivi.Una cache DNS consente a una query di saltare una lunga ricerca DNS e di fornire una risposta più rapida restituendo un record DNS già memorizzato in una cache DNS temporanea. In base alle impostazioni DNS, i server Web memorizzano nella cache queste informazioni per un determinato periodo di tempo, noto come time-to-live (TTL).
Se non sono presenti informazioni memorizzate nella cache, la query DNS passa attraverso quattro tipi di server (processo indicato nella sezione precedente) per trovare e restituire l'indirizzo IP corretto.
Il DNS può essere pubblico o privato. I server DNS pubblici sono disponibili per chiunque utilizzi Internet e sono generalmente configurati dai provider di servizi Internet. I servizi DNS pubblici consentono di gestire i server dei nomi autorevoli supportando l'indirizzamento del traffico e il bilanciamento del carico, migliorando così le prestazioni della rete.
Il DNS privato è impostato dietro un firewall e conserva i record sui siti Web interni. Questi sono spesso collegati attraverso una rete privata virtuale (VPN) che memorizza solo indirizzi IP interni. Solo i membri autorizzati di un'organizzazione possono accedere a un DNS privato, il che consente di limitare l'esposizione a minacce esterne ma comporta che la gestione sia ad opera dell'organizzazione o di un provider DNS privato.
I server DNS possono essere soggetti ad attacchi che negano l'accesso ai domini, sovraccaricano i server di traffico o si appropriano dell'infrastruttura DNS. I fornitori di DNS, come IBM® NS1 Connect, offrono servizi DNS gestiti per proteggersi da questi tipi di attacchi.
I tipi comuni di attacchi DNS includono:
Flood attack
Gli attacchi DDoS (Distributed Denial-of-Service) sovraccaricano i server di nomi autorevoli con un flusso di traffico. I server autorevoli non sono in grado di soddisfare query DNS legittime in quanto sovraccaricati di traffico dannoso.
Random subdomain attack
Si tratta di un attacco denial-of-service noto anche come attacco NXDomain. Con questo attacco vengono inviate richieste ai server dei nomi autorevoli per sottodomini inesistenti rendendoli incapaci di rispondere a domande reali.
DNS Amplification Attack (DNS flood)
Strumenti di amplificazione degli attacchi DdoS (Distributed Denial-of-Service), i DNS flood possono causare interruzioni aumentando artificialmente il workload che i server DNS devono eseguire per completare una query.
Cache poisoning (Avvelenamento della cache)
In questo attacco i dati DNS contraffatti si infiltrano nella cache di un resolver DNS creando un indirizzo IP non corretto per un dominio che porta gli utenti a un sito Web non previsto. Questi siti Web possono esporre gli utenti a malware o tentativi di phishing.
Attacchi al protocollo DNS
Un attacco che prende di mira i server DNS inducendoli a elaborare pacchetti non validi. Ciò li rende incapaci di elaborare query legittime.
Attacco di dirottamento BGP
Questo attacco reindirizza gli utenti attraverso il Boarder Gateway Protocol (BGP) da domini legittimi verso protocolli che spesso sono configurati per scopi nocivi.
Tunneling DNS
In questo attacco, l'infrastruttura DNS diventa un percorso per far passare malware o dati rubati oltre un firewall.
Dirottamento DNS (furto di credenziali)
Si tratta di un attacco che altera o distrugge i dati della zona DNS acquisendo l'accesso non autorizzato alla gestione dei server DNS.
Furto di dominio
In un furto di dominio, gli aggressori si appropriano di un nome di dominio attraverso un accesso non autorizzato alla società di registrazione del dominio.
IBM NS1 Connect fornisce connessioni veloci e sicure agli utenti in qualsiasi parte del mondo con DNS premium e una gestione del traffico avanzata e personalizzabile. L'architettura API-first sempre attiva consente ai team IT di monitorare in modo più efficiente le reti, implementare modifiche ed eseguire la manutenzione ordinaria.
Il servizio IBM NS1 Connect Managed DNS offre connessioni DNS resilienti, veloci e autorevoli per prevenire interruzioni di rete e mantenere sempre online la tua attività.
Identifica rapidamente le configurazioni errate e i problemi di sicurezza con report personalizzati e in tempo reale basati sui dati di osservabilità DNS.
Il DNS consente agli utenti di collegarsi a siti Web utilizzando URL anziché indirizzi numerici del protocollo Internet.
Scopri come funzionano le reti informatiche, qual è l'architettura utilizzata per progettare le reti e come proteggerle.
Gli attacchi informatici sono tentativi di sottrarre, esporre, alterare, disabilitare o distruggere le risorse di altri tramite l'accesso non autorizzato ai sistemi di elaborazione.