7051 Letture
DNS Google, ecco come funzionano e perché sono utili

DNS Google, ecco come funzionano e perché sono utili

Non soltanto una guida all'impostazione dei DNS Google: per capire come funzionano e cosa c'è dietro.

Quando si naviga in rete e si digita nel browser un qualunque indirizzo mnemonico del tipo www.ilsoftware.it, la richiesta passa (quasi) sempre attraverso un server DNS (Domain Name System) che provvede a risolvere il dominio e a stabilire quale indirizzo IP (IPv4 e/o IPv6) corrisponde.

Ogni sistema collegato alla rete Internet è identificato con un indirizzo IP pubblico univoco (vedere Il mio IP: come trovarlo e a che cosa serve). Un indirizzo mnemonico può puntare a uno o più indirizzi IP.

I DNS Google, come tutti gli altri DNS usati a livello planetario, si occupano di effettuare la risoluzione dei nomi a dominio.

In Windows, provate ad aprire il prompt dei comandi usando la combinazione di tasti Windows+R quindi digitando cmd.
Al prompt si scriva quanto segue:
nslookup www.google.it


Il server DNS utilizzato dal sistema che si sta adoperando fornirà gli indirizzi IP pubblici associati all'indirizzo mnemonico www.google.it (il primo, in questo caso, è un indirizzo IPv6 mentre il secondo è il tradizionale IPv4):

DNS Google, ecco come funzionano e perché sono utili

Copiando l'indirizzo IPv4 nella barra degli indirizzi del browser, il server di Google gestirà la richiesta e - com'è facile verificare - effettuerà un reindirizzamento automatico verso la home page del motore di ricerca.

Ogniqualvolta si digita nella barra degli indirizzi del browser un indirizzo mnemonico, quindi, dapprima viene controllato il contenuto del file HOSTS del sistema locale (Modificare il file HOSTS di Windows e bloccare le app che "chiamano casa") poi si passa alla cache del resolver DNS del sistema operativo (può essere svuotata da prompt, in ambiente Windows, usando il comando ipconfig /flushdns; vedere Il server DNS non risponde: come risolvere).
Se la corrispondenza tra indirizzo IP non fosse già nota a livello locale, allora il sistema interroga il server DNS impostato dall'utente (nelle impostazioni dell'interfaccia di rete oppure a livello di modem router/server DHCP). Se il server DNS interpellato non conoscesse l'IP corrispondente al nome a dominio indicato allora si attiva il cosiddetto meccanismo della ricorsione: si parte dalla radice interrogando uno dei server root nel dominio di primo livello, si ottiene il server che lo gestisce, si procedere a un'interrogazione nel dominio di secondo livello fino a raggiungere il server autorevole per il nome desiderato.

Nella maggior parte dei casi, digitando nslookup seguito dal nome del dominio da controllare, si otterrà Risposta da un server non autorevole.
Si tratta di un messaggio assolutamente normale che sta ad indicare che la risoluzione del dominio è stata operata da un server DNS "comune", non da quello autoritativo.
Ogni dominio, infatti, poggia su un DNS autoritativo che "ha i poteri" per comunicare a tutti gli altri qual è l'IP corretto associato all'indirizzo mnemonico.
Chi gestisce un sito web con un proprio nome a dominio sa benissimo che quando si cambia provider (i.e. hosting) è necessario istruire il server DNS affinché associ l'IP sul quale è in ascolto il server web presso il nuovo fornitore con il proprio indirizzo mnemonico (dominio).
La modifica, una volta correttamente istruito il DNS autoritativo per il dominio, deve poi automaticamente "propagarsi" a tutti i server DNS a livello mondiale.

Utilizzando un servizio WHOIS come questo è possibile conoscere i server DNS autoritativi per qualunque dominio.
Basta digitare l'indirizzo mnemonico d'interesse quindi scorrere fino alla voce Nameservers.

DNS Google, ecco come funzionano e perché sono utili

Nel caso di google.it, ad esempio i server autoritativi sono appunto quelli indicati con la freccia di colore rosso.

Digitando infatti nslookup www.google.it ns1.google.com, il messaggio Risposta da un server non autorevole non appare più.

DNS Google, ecco come funzionano e perché sono utili

I siti web di più grandi dimensioni che vantano un traffico importante usano uno schema a bilanciamento di carico. I DNS autoritativi forniscono cioè indirizzi IP diversi che puntano a differenti macchine all'interno della stessa infrastruttura (locale o distribuita) così da smistare in modo abbastanza omogeneo le richieste di collegamento dei sistemi client non incorrendo in problemi di congestione o di sovraccarico dei server web.

DNS Google: perché ce n'è bisogno

Di norma gli utenti, soprattutto coloro che usano il modem router fornito dall'operatore di telecomunicazioni italiano, usano - senza saperlo - i server DNS dello stesso provider.
Questi infatti vengono comunicati, via DHCP, da parte del modem router, a tutti i dispositivi collegati in rete locale via cavo Ethernet o WiFi.

I DNS Google, come peraltro molti altri (si pensi ad esempio a OpenDNS (OpenDNS, come proteggersi durante la navigazione), consentono innanzi tutto di navigare online senza censure.
Alcuni siti web il cui accesso è stato bloccato a livello di DNS locale dai provider italiani sono invece regolarmente accessibili dalle macchine che si appoggiano ai DNS Google od OpenDNS.
Nel caso dei siti bloccati a livello di DNS italiano, infatti, generalmente - anziché l'IP reale - si ottiene 127.0.0.1 nella risposta fornita dal comando nslookup: Come accedere ai siti bloccati.


Impostare i DNS Google

Per impostare i DNS Google a livello di router è sufficiente collegarsi al suo pannello di amministrazione (digitando, di solito, http://192.168.1.1 o http://192.168.0.1 nella barra degli indirizzi del browser), accedere alla sezione LAN, Impostazioni LAN o Configurazione Internet a seconda dei modelli quindi digitare 8.8.8.8 e 8.8.4.4 in corrispondenza delle caselle relative ai server DNS primario e secondario da usare.

DNS Google, ecco come funzionano e perché sono utili

D'ora in avanti tutti i client collegati in rete locale che chiederanno un IP privato e i server DNS da usare, riceveranno automaticamente quelli di Google.

Se si fosse collegati con un provider Internet che ha già attivato una rete IPv6 (Fastweb IP pubblico anche su IPv6 per i nuovi clienti), è possibile usare - in aggiunta o in alternativa - gli indirizzi IPv6 dei DNS Google:

2001:4860:4860::8888
2001:4860:4860::8844


Alcuni dispositivi richiedono l'inserimento in forma esplicita di tutti gli otto ottetti che compongono un indirizzo IPv6. In questo caso, per introdurre i DNS Google va usata la forma seguente:


2001:4860:4860:0:0:0:0:8888
2001:4860:4860:0:0:0:0:8844


Per saperne di più su IPv6 è possibile fare riferimento agli articoli IPv6 Cos'è e perché è importante in ottica Internet delle Cose e La rete Internet cambia: ecco l'"identikit" di IPv6. Le basi per prepararsi in tempo.
Consultando questa pagina è invece possibile eseguire un test per capire se ci si trovasse o meno su rete IPv6 (tutti i sistemi operativi più recenti sono da tempo compatibili IPv6).
La fornitura di un indirizzo IPv6 da parte di TIM al modem router collegato è per il momento ancora sperimentale (qui maggiori informazioni nella sezione Protocollo IPv6).


Per usare i DNS Google a livello della singola macchina Windows basta premere la combinazione di tasti Windows+R e digitare ncpa.cpl.
Cliccando con il tasto destro sull'interfaccia di rete in uso, scegliendo Proprietà, quindi Protocollo Internet versione 4 e Protocollo Internet versione 6 infine cliccando ancora sul pulsante Proprietà, si possono impostare i DNS Google IPv4 (8.8.8.8 e 8.8.4.4) e IPv6 (2001:4860:4860::8888 e 2001:4860:4860::8844) nei campi Utilizza i seguenti indirizzi server DNS.

DNS Google, ecco come funzionano e perché sono utili

Quando i DNS Google furono lanciati in molti storsero il naso: la società di Mountain View ha in mano tutti gli strumenti tecnici per memorizzare l'elenco dei siti web visitati dagli utenti e, incrociando i dati con gli account Google online, costruire un profilo ben preciso di ciascun utente.
In realtà, questo tipo di incrocio dei dati non è ammissibile e Google si impegna a non conservare alcun tipo di informazione che permetta di identificare gli utenti.

Google spiega di mantenere, nell'ambito del servizio DNS, due log: uno temporaneo e uno permanente.
I DNS Google memorizzano temporaneamente l'IP della macchina dal quale si è connessi. Si tratta di un'informazione utile per smascherare e bloccare sul nascere eventuali attacchi DDoS (Distributed Denial of Service) nonché per risolvere problemi di mancata di visualizzazione di siti web rispetto a una ristretta cerchia di utenti.
Questi log temporanei vengono cancellati in un periodo compreso tra 24 e 48 ore.


Nei log permanenti, Google non registra alcuna informazione che renda univocamente identificabile ciascun utente oppure gli IP degli utenti.
Google conserva alcune informazioni geografiche per analizzare fenomeni e tendenze nel loro complesso ma i registri sono azzerati nel giro di due settimane (la società ne conserva solo un ridotto sottoinsieme, selezionato in maniera casuale).

Google assicura di non mettere in correlazione alcuna informazione tratta dai log temporanei e/o permanenti con qualunque altro dato conferito alla società nell'ambito dell'utilizzo degli altri servizi (i.e. account Google, Gmail, Foto,...).

I DNS Google sono infine performanti permettendo di ridurre al minimo le latenze tra la richiesta della risoluzione di un dominio e l'invio del suo IP al client. La copertura dei server DNS Google è quasi globale così da porre fisicamente un nameserver il più vicino possibile all'utente che ne fa richiesta.

Guardate le seguenti richieste ICMP (ping): raggiungere i server DNS Google aggiunge appena 4-5 ms alla risposta del primo hop della connessione di rete in uso (in questo caso TIM).

DNS Google, ecco come funzionano e perché sono utili

Nel caso di un DNS TIM, da rete TIM, la latenza è già più elevata:

DNS Google, ecco come funzionano e perché sono utili

I DNS Google, inoltre, sono invulnerabili ad attacchi cache poisoning (vedere Sui principali server DNS inizia il passaggio a DNSSEC) che mirano ad alterare il contenuto della cache così da fornire risposte alterate alle interrogazioni provenienti dai sistemi client e alle aggressioni di tipo Denial of Service (DoS).
I DNS Google, poi, diversamente da ciò che accade soprattutto in Italia, non reindirizzano l'utente verso pagine web arbitrarie in seguito a richieste di risoluzione di nomi a dominio inesistenti (alcuni provider Internet, quando un'interrogazione dà esito negativo, inviano il browser su una "pagina personalizzata" che mostra link e banner pubblicitari).


Interrogare i DNS Google da web o dalle app

Funzionalità poco conosciuta ai più, Google fornisce delle API che restituiscono i parametri legati alla risoluzione di un nome a dominio.
Utilizzando https://dns.google.com/resolve?name=google.it questa sintassi, si ottiene un output in formato JSON mentre usando https://dns.google.com/query?name=google.it una risposta più umanamente leggibile.

Controllare sempre i server DNS in uso

Senza neppure accedere al pannello di configurazione del router, il servizio di F-Secure (cliccare su Controlla il router) consente di "stimare" i server DNS in uso da parte della macchina o del dispositivo che si sta adoperando.
Vale comunque la pena di controllare sempre la configurazione dei server DNS lato modem router (vedere DNS router, come verificare le impostazioni) e ricordarsi di aggiornare il firmware del dispositivo.
È capitato più volte che gli aggressori abbiano sfruttato vulnerabilità del router per modificare i server DNS configurati sostituendoli con server malevoli (attivando così la risoluzione dei nomi a dominio conosciuti su server web malevoli, predisposti per indurre l'utente in errore e sottrargli le sue credenziali d'accesso).


DNS Google, ecco come funzionano e perché sono utili - IlSoftware.it