45505 Letture
DNS Google, ecco come funzionano e perché sono utili

DNS Google, ecco come funzionano e perché sono utili

Non soltanto una guida all'impostazione dei DNS Google: un approfondimento per capire come funzionano e cosa c'è dietro.

Quando si naviga in rete e si digita nel browser un qualunque indirizzo mnemonico del tipo www.ilsoftware.it, la richiesta passa (quasi) sempre attraverso un server DNS (Domain Name System) che provvede a risolvere il dominio e a stabilire quale indirizzo IP (IPv4 e/o IPv6) corrisponde. Anche qualunque altra applicazione installata sul sistema - quindi non necessariamente il browser web - che utilizzi non l'indirizzo IP ma un indirizzo mnemonico per collegarsi a un server remoto, farà transitare la richiesta di risoluzione del nome a dominio attraverso un DNS.

Ogni sistema collegato alla rete Internet è identificato con un indirizzo IP pubblico univoco (vedere Il mio IP: come trovarlo e a che cosa serve); un indirizzo mnemonico può puntare a uno o più indirizzi IP.
I DNS Google, come tutti gli altri DNS usati a livello planetario, si occupano di effettuare la risoluzione dei nomi a dominio.

In Windows, provate ad aprire il prompt dei comandi usando la combinazione di tasti Windows+R quindi digitando cmd. Al prompt digitate quindi quanto segue:
nslookup www.google.it


Il server DNS utilizzato dal sistema che si sta adoperando fornirà gli indirizzi IP pubblici associati all'indirizzo mnemonico www.google.it (il primo, in questo caso, è un indirizzo IPv6 mentre il secondo è il tradizionale IPv4):

DNS Google, ecco come funzionano e perché sono utili

Copiando l'indirizzo IPv4 nella barra degli indirizzi del browser, il server di Google gestirà la richiesta e - com'è facile verificare - effettuerà un reindirizzamento automatico verso la home page del motore di ricerca.

Come avviene la risoluzione dei nomi a dominio grazie ai DNS

Ogni volta che si digita nella barra degli indirizzi del browser un indirizzo mnemonico, quindi, dapprima viene controllato il contenuto del file HOSTS del sistema locale (Modificare il file HOSTS di Windows e bloccare le app che "chiamano casa") poi si passa alla cache del resolver DNS del sistema operativo (può essere svuotata da prompt, in ambiente Windows, usando il comando ipconfig /flushdns; vedere Il server DNS non risponde: come risolvere).
Se la corrispondenza tra indirizzo IP non fosse già nota a livello locale, allora il sistema interroga il server DNS impostato dall'utente (nelle impostazioni dell'interfaccia di rete oppure a livello di modem router/server DHCP). Se il server DNS interpellato non conoscesse l'IP corrispondente al nome a dominio indicato allora si attiva il cosiddetto meccanismo della ricorsione: si parte dalla radice interrogando uno dei server root nel dominio di primo livello, si ottiene il server che lo gestisce, si procedere a un'interrogazione nel dominio di secondo livello fino a raggiungere il server autorevole per il nome desiderato.

Cosa significa "Risposta da un server non autorevole" e cosa sono i server DNS autoritativi

Nella maggior parte dei casi, digitando nslookup seguito dal nome del dominio da controllare, si otterrà Risposta da un server non autorevole.
Si tratta di un messaggio assolutamente normale che sta ad indicare che la risoluzione del dominio è stata operata da un server DNS "comune", non da quello autoritativo.

Ogni dominio Internet poggia su un DNS autoritativo che "ha i poteri" per comunicare a tutti gli altri qual è l'IP corretto associato all'indirizzo mnemonico corrispondente al nome a dominio stesso.
Chi gestisce un sito web con un proprio nome a dominio sa benissimo che quando si cambia provider (i.e. fornitore del servizio di hosting) è necessario istruire il server DNS affinché associ l'IP sul quale è in ascolto il server web presso il nuovo fornitore con il proprio indirizzo mnemonico (dominio).
La modifica, una volta correttamente impostato il DNS autoritativo per il dominio, deve poi automaticamente "propagarsi" a tutti i server DNS a livello mondiale.

Utilizzando un servizio WHOIS come questo è possibile conoscere i server DNS autoritativi per qualunque dominio.
Basta digitare l'indirizzo mnemonico d'interesse quindi scorrere fino alla voce Nameservers.

DNS Google, ecco come funzionano e perché sono utili

Nel caso di google.it, ad esempio i server autoritativi sono appunto quelli indicati con la freccia di colore rosso.


Digitando infatti nslookup www.google.it ns1.google.com, il messaggio Risposta da un server non autorevole non appare più.

DNS Google, ecco come funzionano e perché sono utili

I siti web di più grandi dimensioni che vantano un traffico importante usano uno schema a bilanciamento di carico. I DNS autoritativi forniscono cioè indirizzi IP diversi che puntano a differenti macchine all'interno della stessa infrastruttura (locale o distribuita) così da smistare in modo abbastanza omogeneo le richieste di collegamento dei sistemi client non rischiando così di incorrere in problemi di congestione o di sovraccarico dei server web.

Nell'articolo Server DNS: come funziona e a cosa serve Nslookup abbiamo approfondito le modalità di utilizzo dello strumento Nslookup, abbondantemente citato in precedenza.

DNS Google: perché ce n'è bisogno e cosa sono i DNS alternativi

Di norma gli utenti, soprattutto coloro che usano il modem router fornito dall'operatore di telecomunicazioni italiano, usano - senza saperlo - i server DNS dello stesso provider.
Questi vengono infatti comunicati da parte del modem router a tutti i dispositivi collegati in rete locale via cavo Ethernet o WiFi utilizzando un protocollo che si chiama DHCP.


I DNS Google, come peraltro molti altri (si pensi ad esempio a quelli di OpenDNS: OpenDNS, come proteggersi durante la navigazione) possono essere considerati come DNS alternativi e sono tra i server DNS più veloci.


Usare un server DNS alternativo (quelli della società di Mountain View sono noti anche come Google Public DNS perché possono essere pubblicamente utilizzati, ovvero adoperati da qualunque utente sulla faccia della terra, con qualunque dispositivo e con qualsiasi connessione) porta con sé diversi vantaggi.

Cambiare DNS e scegliere ad esempio quelli di Google permette innanzi tutto di navigare online senza censure.
Alcuni siti web il cui accesso è stato bloccato a livello di DNS locale dai provider italiani sono invece regolarmente accessibili dalle macchine che si appoggiano ai DNS Google, OpenDNS, Cloudflare o altri ancora.
Nel caso dei siti bloccati a livello di DNS italiano, infatti, anziché l'IP reale si ottiene 127.0.0.1 nella risposta fornita dal comando nslookup: Come accedere ai siti bloccati. Così, né il browser né altre applicazioni possono raggiungere i server cui corrisponde l'indirizzo mnemonico specificato.

La struttura di rete sulla quale si basano i server DNS di Google o i DNS di Cloudflare (vedere Server DNS 1.1.1.1: Cloudflare lancia il nuovo servizio che punta sulla privacy) consente una più rapida risoluzione dei nomi a dominio mentre nel caso di OpenDNS è addirittura possibile, come accennato in precedenza, attivare dei filtri così la bloccare o permettere la visita di certi siti web.

I DNS Google permettono contenere al minimo le latenze tra la richiesta della risoluzione di un dominio e l'invio del suo IP al client. La copertura dei server DNS Google è quasi globale così da porre fisicamente un nameserver il più vicino possibile all'utente che ne fa richiesta.


Guardate le seguenti richieste ICMP (ping): raggiungere i server DNS Google aggiunge appena 4-5 ms alla risposta del primo hop della connessione di rete in uso (in questo caso TIM).

DNS Google, ecco come funzionano e perché sono utili

Nel caso di un DNS TIM, da rete TIM, la latenza è già più elevata:

DNS Google, ecco come funzionano e perché sono utili

I DNS Google, inoltre, sono invulnerabili ad attacchi cache poisoning (vedere Sui principali server DNS inizia il passaggio a DNSSEC) che mirano ad alterare il contenuto della cache così da fornire risposte alterate alle interrogazioni provenienti dai sistemi client e alle aggressioni di tipo Denial of Service (DoS).

Di recente i DNS Google hanno inoltre abbracciato i protocolli DNS-over-HTTPS e DNS-over-TLS (rispettivamente DoH e DoT) che permettono, su richiesta dell'utente o comunque del client in uso, di crittografare tutti i pacchetti legati alla risoluzione dei nomi a dominio.
Come abbiamo spiegato nell'articolo DNS Google aggiornati per supportare DNS-over-TLS e cifrare i dati, visitando ad esempio un sito HTTPS il traffico dati fluisce da e verso il server remoto in forma crittografata senza che nessuno possa leggerlo e monitorarlo (non possono possibili attacchi MITM, man-in-the-middle).
Purtuttavia, le normali richieste DNS sono gestite in chiaro quindi sia il provider Internet che gli utenti che sono connessi alla stessa rete locale che altri soggetti lungo il percorso, possono facilmente rilevare - in tempo reale - i siti web visitati dagli utenti.
L'utilizzo del protocollo DNS-over-TLS consente di superare questo problema cifrando opportunamente il traffico da e verso i server DNS.


Sui dispositivi mobili per ora solo Android 9 Pie permette di inviare richieste usando la cifratura dei pacchetti DNS: basta accedere alle impostazioni di rete del sistema operativo, scegliere Avanzate, DNS privato quindi impostare dns.google come provider del servizio.

DNS Google, ecco come funzionano e perché sono utili

Come Google osserva in questa pagina di supporto, l'impostazione del DNS privato e quindi l'utilizzo del protocollo DNS-over-TLS vengono ignorate nel caso in cui si adoperasse un servizio VPN.

Gli utenti Linux possono usare il resolver Stubby mentre chi usa Windows può orientarsi su Simple DNSCrypt. Purtroppo neppure Windows 10 supporta infatti, al momento e in modo predefinito, il protocollo DNS-over-TLS.

Nell'articolo Controllare se il browser supporta Secure DNS, DNSSEC, TLS 1.3 ed Encrypted SNI abbiamo invece visto come crittografare le richieste DNS in maniera tale che neppure gli operatori di telecomunicazioni possano leggerle.

Infine, diversamente da ciò che accade soprattutto in Italia, i DNS Google - come quelli degli altri provider citati in quest'articolo - non reindirizzano l'utente verso pagine web arbitrarie in seguito a richieste di risoluzione di nomi a dominio inesistenti (alcuni provider Internet, quando un'interrogazione dà esito negativo, inviano il browser su una "pagina personalizzata" che mostra link e banner pubblicitari).


Come impostare i DNS Google sul router: indirizzi IPv4 e IPv6

Per impostare i DNS Google a livello di router è sufficiente collegarsi al suo pannello di amministrazione (digitando, di solito, http://192.168.1.1 o http://192.168.0.1 nella barra degli indirizzi del browser), accedere alla sezione LAN, Impostazioni LAN o Configurazione Internet a seconda dei modelli quindi digitare 8.8.8.8 e 8.8.4.4 in corrispondenza delle caselle relative ai server DNS primario e secondario da usare.

DNS Google, ecco come funzionano e perché sono utili

D'ora in avanti tutti i client collegati in rete locale che chiederanno un IP privato e i server DNS da usare, riceveranno automaticamente quelli di Google.

Se si fosse collegati con un provider Internet che ha già attivato una rete IPv6 (Fastweb IP pubblico anche su IPv6 per i nuovi clienti), è possibile usare - in aggiunta o in alternativa - gli indirizzi IPv6 dei DNS Google:

2001:4860:4860::8888
2001:4860:4860::8844


Alcuni dispositivi richiedono l'inserimento in forma esplicita di tutti gli otto ottetti che compongono un indirizzo IPv6. In questo caso, per introdurre i DNS Google va usata la forma seguente:

2001:4860:4860:0:0:0:0:8888
2001:4860:4860:0:0:0:0:8844


Per saperne di più su IPv6 è possibile fare riferimento agli articoli IPv6 Cos'è e perché è importante in ottica Internet delle Cose e La rete Internet cambia: ecco l'"identikit" di IPv6. Le basi per prepararsi in tempo.
Consultando questa pagina è invece possibile eseguire un test per capire se ci si trovasse o meno su rete IPv6 (tutti i sistemi operativi più recenti sono da tempo compatibili IPv6).
La fornitura di un indirizzo IPv6 da parte di TIM al modem router collegato è per il momento ancora sperimentale (viene definita "soluzione pilota": qui maggiori informazioni nella sezione Protocollo IPv6).


Usare i DNS di Google in Windows e negli altri sistemi operativi

Per usare i DNS Google a livello della singola macchina Windows basta premere la combinazione di tasti Windows+R e digitare ncpa.cpl o comunque fare riferimento al Centro connessione di rete e condivisione.
Cliccando con il tasto destro sull'interfaccia di rete in uso, scegliendo Proprietà, quindi Protocollo Internet versione 4 e Protocollo Internet versione 6 infine cliccando ancora sul pulsante Proprietà, si possono impostare i DNS Google IPv4 (8.8.8.8 e 8.8.4.4) e IPv6 (2001:4860:4860::8888 e 2001:4860:4860::8844) nei campi Utilizza i seguenti indirizzi server DNS.

DNS Google, ecco come funzionano e perché sono utili

A partire da Windows 10 Aggiornamento di maggio 2019 (versione 1903), è possibile cambiare i DNS in uso sulla macchina ancora più rapidamente digitando Stato della rete nella casella di ricerca del sistema operativo quindi cliccando su Modifica proprietà di connessione.

Per ottenere istruzioni su come cambiare DNS e usare i DNS Google con gli altri sistemi operativi (Linux, macOS, Android,...) consigliamo di fare riferimento al nostro articolo Cambiare DNS in Windows, Linux, macOS e Android.

Utilizzo dei DNS Google e privacy

Quando i DNS Google furono lanciati in molti storsero il naso: la società di Mountain View ha in mano tutti gli strumenti tecnici per memorizzare l'elenco dei siti web visitati dagli utenti e, incrociando i dati con gli account Google online, costruire un profilo ben preciso di ciascun utente.
In realtà, questo tipo di incrocio dei dati non è ammissibile e Google si impegna a non conservare alcun tipo di informazione che permetta di identificare gli utenti.


Google spiega di mantenere, nell'ambito del servizio DNS, due log: uno temporaneo e uno permanente.
I DNS Google memorizzano temporaneamente l'IP della macchina dal quale si è connessi. Si tratta di un'informazione utile per smascherare e bloccare sul nascere eventuali attacchi DDoS (Distributed Denial of Service) nonché per risolvere problemi di mancata di visualizzazione di siti web rispetto a una ristretta cerchia di utenti.
Questi log temporanei vengono cancellati in un periodo compreso tra 24 e 48 ore.

Nei log permanenti, Google non registra alcuna informazione che renda univocamente identificabile ciascun utente oppure gli IP degli utenti.
Google conserva alcune informazioni geografiche per analizzare fenomeni e tendenze nel loro complesso ma i registri sono azzerati nel giro di due settimane (la società ne conserva solo un ridotto sottoinsieme, selezionato in maniera casuale).

Google assicura di non mettere in correlazione alcuna informazione tratta dai log temporanei e/o permanenti con qualunque altro dato conferito alla società nell'ambito dell'utilizzo degli altri servizi (i.e. account Google, Gmail, Foto,...).

Interrogare i DNS Google da web o dalle app

Funzionalità poco conosciuta ai più, Google fornisce un pannello di controllo e delle API che restituiscono i parametri legati alla risoluzione di un nome a dominio.

Collegandosi con la pagina dns.google, si può digitare un qualunque nome a dominio e ottenere, per risposta, gli IP utilizzati dal corrispondente sito web.
Il risultato è lo stesso ottenibile con il comando nslookup: Server DNS: come funziona e a cosa serve Nslookup.
Digitando un indirizzo IP pubblico, è possibile anche effettuare un reverse DNS.


Utilizzando la sintassi https://dns.google.com/resolve?name=google.it si ottiene un output in formato JSON mentre usando https://dns.google.com/query?name=google.it una risposta più umanamente leggibile.

Controllare sempre i server DNS in uso

Senza neppure accedere al pannello di configurazione del router, il servizio F-Secure Router Checker (cliccare su Controlla il router) consente di "stimare" i server DNS in uso da parte della macchina o del dispositivo che si stanno adoperando. Alla fine del test è possibile cliccare su Visualizza i risultati in dettaglio.

DNS Google, ecco come funzionano e perché sono utili

Vale comunque la pena di controllare sempre la configurazione dei server DNS lato modem router (vedere DNS router, come verificare le impostazioni) e ricordarsi di aggiornare il firmware del dispositivo.

È capitato più volte che gli aggressori abbiano sfruttato vulnerabilità del router per modificare i server DNS configurati sostituendoli con server malevoli (attivando così la risoluzione dei nomi a dominio conosciuti su server web malevoli, predisposti per indurre l'utente in errore e sottrargli le sue credenziali d'accesso).

DNS Google, ecco come funzionano e perché sono utili - IlSoftware.it