Server DNS: come scegliere i più performanti e proteggersi dai malware

Il DNS, acronimo di Domain Name System, come noto, è un servizio utilizzato per la risoluzione degli indirizzi "mnemonici" in IP.

Il DNS, acronimo di Domain Name System, come noto, è un servizio utilizzato per la risoluzione degli indirizzi “mnemonici” in IP. In altre parole, si tratta dei server che trasformano un indirizzo come www.google.it in un IP del tipo 74.125.232.112.
Ogniqualvolta si digita nel browser un indirizzo contenente un nome a dominio (es. www.ilsoftware.it), viene interrogato un server DNS (spesso, quello gestito dal provider Internet utilizzato per connettersi alla Rete) che controllerà, in primis, la presenza di una voce nella sua cache. Nel caso in cui la corrispondenza nome-IP venga individuata, il DNS restituisce subito l’IP corretto (nel nostro caso, 217.18.101.171).
Se, di contro, il nome a dominio non è presente nella cache del server DNS, questi provvede a contattare uno dei root DNS server. A questo punto, ottenuta la risposta, il DNS arricchirà la propria cache in modo tale che eventuali successive richieste non debbano essere più inoltrate al server root.

NameBench è un software gratuito che consente di misurare le performance garantite da uno specifico server DNS nella risoluzione dei nomi a dominio. Per esprimere un giudizio, NameBench può utilizzare diverse sorgenti di dato. Verificare quanto rapidamente risponde un server DNS ad una singola interrogazione non è sufficiente: NameBench, quindi, provvede ad inviare molteplici query attingendo, ad esempio, alla cronologia del browser web predefinito. Il software, cioé, provvede ad inviare ai server DNS delle richieste per la risoluzione di nomi a dominio già precedentemente visitati con il browser.
In alternativa, è possibile effettuare delle query richiedendo la risoluzione dei primi 2.000 nomi a dominio presenti nel catalogo di Alexa (i siti web globalmente più visitati a livello mondiale).

Per avviare NameBench, è sufficiente fare doppio clic sul suo file eseguibile: nel caso di Windows, si chiama namebench-1.3.1-Windows.exe.
Il programma estrarrà i file necessari per il suo funzionamento nella cartella temporanea di Windows (raggiungibile digitando %temp% in Start, Esegui…, nel caso di Windows XP oppure in Start, casella Cerca programmi e file nel caso di Windows Vista e Windows 7).
Il contenuto della cartella temporanea %temp% può essere periodicamente rimosso utilizzando un software gratuito come CCleaner.

Spuntando la casella Include global DNS providers, NameBench controllerà il comportamento dei più famosi ed apprezzati server DNS aggiungendo anche (casella Include best available regional DNS services) i migliori server gestiti dai provider nazionali.

Per avviare il test, è sufficiente cliccare sul pulsante Run. Durante l’operazione di benchmarking ossia di verifica delle prestazioni garantite da ciascun server DNS è bene accertarsi di non effettuare alcuna operazione in Rete. Continuando a “navigare” sul web, scaricando applicazioni od avviando software che pongono in essere delle comunicazioni con server remoti, è infatti possibile che l’analisi condotta da NameBench venga influenzata negativamente, condizionando così il responso finale.

NameBench aiuta quindi a trovare il DNS più veloce riportando le migliori performance che si otterrebbero utilizzando tale server in sostituzione di quello al momento impiegato.
Un report finale, chiarisce quale server sarebbe più opportuno, sempre secondo il test condotto da NameBench:

La dizione “NXDOMAIN hijacking” esplicita le situazioni in cui un server DNS “falsifica” la risposta inviata ai client nel momento in cui questi richiedano la risoluzione di un nome a dominio inesistente.

Un altro ottimo software che dà modo di verificare la velocità dei vari server DNS nella risoluzione dei nomi è DNS Performance Test.
Il programma invia 10.000 richieste casuali di risoluzione di nomi a dominio in modo da determinare i server DNS più solerti. La lista dei nomi a dominio utilizzati nei test viene generata al momento dell’esecuzione del programma: l’utente non la possibilità di variarla. L’unica operazione permessa, è l’avvio del benchmark cliccando sul pulsante Start.

L’operazione di test può essere interrotta, in qualunque momento, cliccando sul pulsante Stop. Accedendo alla scheda Stats, si possono ottenere dei dati statistici circa le prestazioni garantite dal server DNS al momento utilizzato. Per stabilire le performance garantite dai vari server DNS, suggeriamo di modificarli dall’interfaccia di Windows (variando il server primario associato all’interfaccia di rete) oppure dal prompt dei comandi (vedere più avanti).

Particolarmente interessante, dopo aver eseguito qualche centinaio di interrogazioni, è il dato Average query time. Esso consente di stabilire il tempo medio di risposta del server DNS correntemente in uso: un’informazione interessante per comparare le prestazioni di vari server.

Difesa da malware e phishing. Sostituzione dei server DNS.

Chi fosse intenzionato a modificare il DNS utilizzato, potrebbe essere spinto da farlo anche perché alcuni server forniscono delle funzionalità aggiuntive molto apprezzabili. Alcuni DNS, ad esempio, dispongono di speciali “liste nere”, continuamente aggiornate, che consentono di bloccare tentativi di visita verso siti web che pongono in essere truffe online (phishing), distribuiscono malware oppure veicolano contenuti di dubbio gusto.
Nel caso in cui un client che fa uso di uno dei DNS citati dovesse tentare di visitare un sito web “maligno”, il server visualizzerà una pagina web “di cortesia” evitando di rispondere con l’IP corrispondente al sito dannoso.
Elenchiamo, di seguito, una serie di server DNS che si occupano di impedire la visita di siti web maligni, noti per l’effettuazione di attacchi phishing o, semplicemente, pagine potenzialmente pericolose:

Norton DNS:
198.153.192.1
198.153.194.1

OpenDNS
208.67.222.222 208.67.220.220
208.67.222.123 208.67.220.123
(bloccano anche i siti web a contenuto pornografico e “sconveniente”)
Per verificare le differenti risposte tra i server DNS di OpenDNS provate a digitare, dal prompt dei comandi di Windows, quanto segue:
nslookup www.nomedelsitoweb.xx 208.67.222.222
nslookup www.nomedelsitoweb.xx 208.67.222.123

Inserendo al posto di www.nomedelsitoweb.xx, ad esempio, il nome a dominio di un sito web a carattere pornografico: noterete le evidenti differenze nelle risposte. Nel primo caso, cioé, sarà restituito l’IP corretto, nel secondo un indirizzo che provocherà, da browser web, la visualizzazione del messaggio “This domain is blocked“.

ClearCloud
74.118.212.1
74.118.212.2

Comodo DNS
156.154.70.22
156.154.71.22

Google DNS
8.8.8.8
8.8.4.4

Quelli di Google sono sicuramente tra i DNS più veloci in assoluto. Sono spesso più rapidi nella risoluzione dei nomi a dominio anche rispetto ai DNS del proprio provider Internet. L’unico dubbio potrebbe essere collegato a questioni di privacy, soprattutto se si usano impiegare frequentemente i servizi online del colosso di Mountain View. A fine 2009, Matteo Flora, in occasione del lancio del servizio “Google DNS”, aveva spiegato come una società quale Google, almeno sulla carta, possa essere in grado di stilare una carta d’identità “a tuttotondo” dei suoi utenti, con un livello di profilazione senza pari (va comunque precisato che tale attività è esclusa dalle stesse policies dell’azienda). Flora ha ricordato come sebbene non venga effettuata un’attività di profiling in senso stretto, le informazioni come quelle raccolte sulle macchine che utilizzano i DNS di Google possano essere sfruttate per stabilire, ad esempio, quali software vengono utilizzati da un utente. Se questi è collegato da un IP che risulta loggato su Google Gmail o su altri servizi della “nube” della società di Mountain View, è teoricamente possibile abbinare tali dati ad un account specifico.

DNS Advantage
156.154.70.1
156.154.71.1

Utilizza la piattaforma UltraDNS Directory Services composta da una quindicina di nodi DNS situati nei cinque continenti.

Come cambiare i DNS utilizzati in Windows

Modificare i DNS impiegati in Windows è molto semplice. Innanzi tutto, per ottenere un’indicazione circa la configurazione delle varie interfacce di rete configurate sul personal computer, suggeriamo di cliccare su Start quindi digitare cmd nella casella Cerca programmi e file oppure in Start, Esegui, nel caso di Windows XP.
Alla comparsa del prompt, è possibile digitare ipconfig /all. In questo modo, nel caso in cui sia stato manualmente impostato l’utilizzo di un server DNS, l’indirizzo corrispondente apparirà in corrispondenza della voce Server DNS.

Per variare il server DNS utilizzato, è sufficiente accedere al Pannello di controllo di Windows, cliccare su Centro connessioni di rete e condivisione, in Windows Vista così come in Windows 7, cliccare su Modifica impostazioni scheda (colonna di sinistra), fare clic con il tasto destro del mouse sull’interfaccia d’interesse (ad esempio, l’interfaccia di rete della scheda ethernet oppure associata alla connessione wireless) infine cliccare su Proprietà.

Scorrendo l’elenco, evidenziando la voce Protocollo Internet versione 4 (TCP/IPv4) quindi cliccando su Proprietà, si potrà variare l’indirizzo del server DNS (riquadro Utilizza i seguenti indirizzi server DNS).

In Windows XP, analoga operazione è effettuabile dal Pannello di controllo cliccando sull’icona Connessioni di rete quindi facendo clic col tasto destro del mouse sull’interfaccia d’interesse.

In alternativa, per effettuare la modifica dal prompt dei comandi, si possono utilizzare due istruzioni. Digitando netsh interface ip show config, è possibile, innanzi tutto, ottenere la lista delle interfacce di rete presenti sul sistema in uso.
Supponendo che si voglia modificare il DNS utilizzato dall’interfaccia denominata “Connessione alla rete locale (LAN)“, si dovrà digitare quanto segue:

netsh interface ip set dns "Connessione alla rete locale (LAN)" static 8.8.8.8

dove l’IP 8.8.8.8 va sostituito con l’indirizzo del server DNS che si intende utilizzare.
Invocando nuovamente il comando netsh interface ip show config o verificando le proprietà della connessione dall’interfaccia grafica, si potrà controllare l’avvenuta modifica.
Affinché l’interfaccia di rete ottenga automaticamente l’IP del server DNS, ad esempio, dal router, è sufficiente utilizzare il comando seguente: netsh interface ip set dns "Connessione alla rete locale (LAN)" dhcp.

Ti consigliamo anche

Link copiato negli appunti