Salva questa pagina: ti sarà utile

Invia questa pagina ad un amico

Cos'è il DNS

Di tutti i servizi Internet, il Domain Name System (DNS) è uno tra i meno compresi ma allo stesso tempo uno tra i più importanti. Definito negli RFC 1034 e 1035, il DNS ha l'importante compito di convertire i nomi delle macchine collegate in rete in indirizzi IP e viceversa.

Ogni computer di Internet possiede un indirizzo numerico chiamato indirizzo IP, che identifica in modo unico solo quella macchina. I computer hanno bisogno di questi indirizzi per poter comunicare. Quando digitiamo nel browser l'URL www.pubblinet.com , il DNS dell'Internet Provider, o del server tramite cui accediamo ad Internet, traduce il nome mnemonico del sito nell'indirizzo IP 64.26.63.33 

Quando Internet muoveva ancora i primi passi, il collegamento tra due macchine veniva effettuato solamente mediante gli indirizzi IP. Dato che gli indirizzi non sono certo facili da ricordare, si è deciso molto presto di adottare l'uso di nomi simbolici al posto di indirizzi numerici. Questo nuovo modo di identificare le macchine necessitava tuttavia di un qualche sistema in grado di tradurre gli indirizzi in nomi e viceversa. Inizialmente la gestione delle corrispondenze tra indirizzi IP e nomi mnemonici di tutte le macchine collegate, era affidata allo Stanford Research Institute Network Information Center (SRI-NIC) che si preoccupava di mantenere tutte le corrispondenze in un singolo file, chiamato HOSTS.TXT. Tutte le macchine periodicamente accedevano a questo file per ottenere una copia aggiornata.  Con la crescita esponenziale del numero di macchine collegate ad Internet, questo semplice sistema di traduzione è stato presto abbandonato in favore di un sistema più flessibile, il Domain Name System, o più semplicemente DNS, di cui ci occuperemo nel resto di questo articolo.

E' importante notare che l'uso del file HOSTS non è scomparso del tutto. Trova ancora applicazione all'interno di reti di piccole dimensioni, dove l'uso un singolo file per mantenere le corrispondenze risulta spesso molto più pratico che installare un server DNS interno. Nelle comunicazioni tra rete locale e rete Internet rimane comunque indispensabile affidarsi ad un DNS.

Il sistema DNS è stato concepito nel 1982 quando nessuno si sarebbe aspettato uno sviluppo di Internet pari a quello degli ultimi anni. Nonostante la sua età, ha dimostrato di essere un sistema in grado di scalare molto bene all'aumentare delle macchine collegate. Il DNS è un grande database distribuito. Questo significa che non esiste un unico computer che conosce l'indirizzo IP di tutte le macchine collegate in Internet (come avveniva usando il file HOSTS). Le informazioni sono invece distribuite su migliaia di macchine, i server DNS. Ognuno di questi server è responsabile di una certa porzione del nome, detta dominio. I server sono organizzati secondo una struttura gerarchica ad albero che presenta forti somiglianze con la struttura del file system UNIX. Il suo nome è albero dei domini. 
 
                     (radice)

               .

               |

   ---------------------------------------------------------------------------------- ...

   |         |        |        |        |        |        |        |        |        |

   com      edu      gov      mil      org      net      int       it       de       uk

   |      |        |        | |  |     |              |
microsoft  -----  whitehouse pentagon linux    -----         -----------             ac

          |     |         |     |     |           |            |

      mit  yale     internic  ripe   wind  networkingitalia   essex

           |

          net

           |

       networking

Si tratta di un albero inverso al cui capo troviamo il dominio radice (di solito denotato con un punto '.') e dove ogni nodo dell'albero corrisponde ad un dominio, o equivalentemente, al server DNS che lo gestisce. Le foglie dell'albero sono i nomi delle macchine.
Per fare un esempio prendiamo il sito www.networkingitalia.it. Il nome www.networkingitalia.it è il dominio di livello più basso, al di sopra di esso troviamo networkingitalia.it. Questo a sua volta è un sottodominio di .it. "www" è per convenzione il nome della macchina che risponde alle richieste di pagine html. 

Si definisce Fully Qualified Domain Name (FQDN) un nome di dominio che include tutti i domini di livello superiore al suo. Un FQDN è anche detto nome di dominio completo.
Se si pensa al DNS come ad un albero, il FQDN di un certo nodo è costituito dal nome del nodo seguito da quello di tutti gli altri nodi tra esso e la radice dell'albero. In sostanza si tratta di risalire l'albero fino alla radice leggendo via via tutti i nodi che si incontrano. Quindi il FQDN di una certa macchina comprende il nome di quella macchina, seguito da tutti i domini di cui l'host è parte fino al dominio di radice, compreso. 

Come è noto, quando un utente digita un nome di dominio, i nomi dei singoli nodi vengono separati dal punto '.'. Questi nomi vanno dal più specifico (più lontano dalla radice) verso il meno specifico (più vicino alla radice). Dato che un nome di dominio completo finisce con l'etichetta radice, e che questa è sempre rappresentata da una stringa nulla, un nome completo finisce sempre con un punto. Se non viene specificato il punto, quello che abbiamo è un nome incompleto. Di solito i nomi incompleti vengono completati automaticamente dal software, provando con il dominio locale e con alcuni domini predefiniti, tra cui il '.' della radice. Quindi se viene omesso il punto finale quando si digita un nome di dominio, questo viene facilmente riconosciuto come un nome da risolvere rispetto al dominio radice. Allo stesso modo la macchina host1.networking.net.wind.it. può comunicare con la macchina host2.networking.net.wind.it. usando solo la stringa 'host2'. 

Il dominio radice, o dominio di root, che troviamo a capo dell'albero contiene un elenco di tutti i server DNS dei domini di primo livello. Sparsi per Internet esistono una decina di DNS radice, ma sono usati solo per creare ridondanza e contengono tutti le stesse informazioni. 

I domini di primo livello, detti anche TLD (Top Level Domain) possono essere:
com Organizzazioni commerciali
edu Istituzioni inerenti l'educazione
gov Istituzioni governative
int Organizzazioni internazionali
mil Istituzioni militari
net Organizzazioni inerenti le reti
org Organizzazioni non-profit 

Oltre a questi sette, detti anche i domini generici (gTLD), esistono domini di primo livello di sole due lettere (stabilite dall'ISO) per i domini geografici, come ad esempio .it per l'Italia, .fr per la Francia, .de per la Germania, .uk per il Regno Unito e così via. Sono detti ccTLD (Country Code TLD). 

Al di sotto dei domini di alcuni paesi esiste una gerarchia che rispecchia quella dei domini di primo livello. Ad esempio i nomi delle organizzazioni commerciali di Regno Unito (.UK) e Giappone (.jp) finiscono rispettivamente in .co.uk e .co.jp, mentre l'equivalente dei .edu sono .ac.uk e .ac.jp (dove ac è l'abbreviazione di academic). 

Anche per gli Stati Uniti è stato previsto il codice .us
Viene usato in combinazione del codice di ogni stato (ad esempio .ny.us indica lo stato di New York). 

Un DNS che copre un dominio di primo livello conosce gli indirizzi di tutti i DNS di secondo livello sottostanti ad esso. Quindi un DNS .it conosce tutti i domini del tipo qualche-cosa.it
Un DNS di secondo livello di una certa organizzazione conosce a sua volta tutte le macchine il cui nome Internet finisca con nome-organizzazione.it. Tra queste, come già accennato, molto spesso troviamo la macchina speciale "www", che identifica il server Web della società. Il suo compito consiste nel rispondere alle richieste di pagine Html. Ogni dominio viene amministrato da un'organizzazione. Ad esempio il dominio .it è amministrato dalla Registration Authority Italiana. Molto spesso queste organizzazioni delegano l'amministrazione dei loro sottodomini a terzi. Quindi ad esempio il dominio wind.it viene gestito da Wind per delega dalla Registration Authority, il dominio net.wind.it è gestito da Net per delega da Wind. 

Tutte le informazioni relative alla zona coperta da un server DNS vengono memorizzate in un file sotto forma di Resource Record (RR).

Il formato generico di un RR dispone dei seguenti campi:

Nome: Il nome di dominio a cui questo RR si riferisce.

TTL: Time-To-Live, indica in secondi quanto a lungo questo RR rimarrà nella cache dei server DNS prima di essere scartato. Un'intero a 32 bit unsigned.

Classe: Identifica la famiglia di protocollo. Il valore usato è sempre IN che indica il sistema Internet. In realtà esistono altri due valori: HS per i server Hesiod e CH per i Chaosnet ma non hanno a che fare con le reti TCP/IP di Internet.

Tipo: Il tipo di RR. I tipi principali sono: 

A: E' il tipo più usato. Indica che il RR contiene l'indirizzo IP per il dominio specificato. Usato nella normale risoluzione del nome.

CNAME: Record Canonical Name, usato per indicare un nome di alias per il dominio.

MX: Mail eXchanger, indica un host che gestisce la posta per il dominio. Lo descriveremo meglio dopo.

NS: Un server DNS per il dominio specificato.

PTR: Usato per associare un indirizzo IP al nome del dominio specificato. Usato nella risoluzione inversa.

SOA: Start of Authority, un RR che indica il server DNS dove risiedono i dati autoritativi per questo dominio ed alcuni dati amministrativi.

Rdata: Contiene le informazioni per il tipo specificato. A seconda del tipo abbiamo i seguenti casi.

A: Un indirizzo IP a 32 bit

CNAME: Un nome di dominio

MX: Un valore di preferenza a 16 bit seguito da un nome di dominio.

NS: Il nome di un host

PTR: Un nome di dominio

SOA: Comprende diversi campi

Associato ad un nome di dominio possiamo trovare più RR, ciascuno contenente informazioni di vario tipo, ma relative sempre allo stesso nome. L'ordine in cui vengono memorizzati non è importante. 

Vediamo ora il meccanismo DNS al lavoro.
Quando un utente desidera collegarsi con il sito www.networkingitalia.it vengono eseguiti i seguenti passi.

Sul computer dell'utente viene consultato il file HOSTS alla ricerca del server WWW di Networkingitalia.

Non trovandolo, viene effettuata una richiesta al proprio server DNS. Questo può essere il DNS del provider Internet, oppure, se il computer è installato in una rete collegata direttamente ad Internet, è probabile che il server DNS sia interno.

Dato che il server contattato si limita a coprire solo la sua zona (nel caso del DNS del provider si tratterà della zona al di sotto di nomeprovider.it, nel caso di un DNS interno la zona coperta sarà del tipo nome-organizzazione.it) la richiesta viene inoltrata ad un DNS radice.

Il DNS radice non conosce l'IP per www.networkingitalia.it ma conosce i Resource Record di tipo NS dei server DNS .it e li restituirà al primo DNS.

A questo punto il nostro DNS inoltra la stessa richiesta verso l'indirizzo di un DNS .it

Il DNS .it non conosce l'IP per www.networkingitalia.it ma conosce i RR NS relativi ai DNS che gestiscono il dominio networkingitalia.it e li restituirà al primo DNS.

Il nostro DNS ora contatta uno di questi DNS, il quale finalmente conosce l'IP per www.networkingitalia.it e lo restituisce sotto forma di RR di tipo A.

Il DNS restituisce al computer dell'utente l'indirizzo IP per www.networkingitalia.it. 

Come si vede, la ricerca di un indirizzo IP molto spesso non è un operazione diretta. Questo perchè come già detto, il database DNS non è localizzato in una sola macchina. 

Questa procedura è detta risoluzione del nome. Si tratta di una procedura client server. Il client (detto anche resolver) è in esecuzione sulle macchine collegate in rete e si occupa di effettuare al DNS le richieste di traduzione da indirizzi in nomi e viceversa. Il server è il server DNS e si occupa di rispondere alle richieste del resolver seguendo i passi appena visti. Data la brevità e la semplicità delle richieste e delle relative risposte, il protocollo usato è per lo più l'UDP, che ricordo, fornisce una comunicazione meno affidabile ma più veloce. Più raramente si usa il TCP. La porta usata dal servizio DNS è la numero 53. 

Il modo di procedere nella risoluzione del nome è detto ricorsivo se viene chiesto al DNS di fare tutto il lavoro ed alla fine di restituire la risposta. E' non ricorsivo se invece della risposta può venire restituito un riferimento ad un altro DNS.
Un server DNS è in grado di gestire i riferimenti, quindi può usare entrambi i metodi per risolvere la richiesta. Il resolver usa invece il metodo ricorsivo perchè non è in grado di seguire i riferimenti, quindi lascia tutto nelle mani del suo DNS. I server radice sono non ricorsivi: se non hanno la risposta, forniscono gli indirizzi di chi la possiede. I server DNS dei provider sono ricorsivi nei confronti dei computer dei propri utenti perchè cercano la risposta e quando la trovano la restituiscono al client. 

Così come per i DNS radice per ogni zona ci possono essere diversi DNS. Il numero massimo si aggira intorno ai 10-12 DNS. Questo numero è limitato da quanti DNS è possibile elencare in un pacchetto UDP di risposta e varia a seconda di quanto bene si riesce a comprimere l'elenco nel messaggio. 

I server DNS sono in grado di effettuare caching, cioè possono ricordare le interrogazioni effettuate più di recente e le relative risposte. In questo modo la risoluzione di un nome molto richiesto può essere soddisfatta immediatamente, senza dover inoltrare la query ad un DNS radice. Nel nostro esempio il DNS dell'utente ha interpellato il DNS radice per conoscere uno dei DNS .it
In realtà è molto probabile che questa informazione si trovi già nella cache del server DNS.
Come abbiamo visto ogni RR contiene un campo TTL (Time To Live) che indica in secondi quanto a lungo i server DNS terranno l'RR in cache. Di solito il valore è di 86400 secondi (24 ore). 

I pacchetti di richiesta e di risposta del DNS contengono i seguenti campi: 

Header: Indica se il messaggio è una richiesta o una risposta, contiene alcuni flag, i codici di errore ed altre informazioni relative al pacchetto.

Question: contiene la domanda per il DNS.

Answer: contiene un elenco di RR che rispondono alla domanda.

Authority: contiene un elenco di RR NS di server DNS che portano più vicino alla risposta.

Additional: contiene un elenco di RR con informazioni utili per rispondere alla domanda, anche se non si tratta della risposta.

Nell'header troviamo tra le altre cose il flag AA (Authoritative Answer). Quando è attivo, nei messaggi di risposta, indica che il DNS che ha generato la risposta (direttamente o indirettamente) è il server autoritativo per quella zona. Se la risposta viene memorizzata nella cache del nostro DNS, effettuando la stessa richiesta, otterremo la stessa risposta ma con il flag AA non attivo, ad indicare che la risposta non è autoritativa. 

Una particolarità dei messaggi di risposta è che il campo Authority, contenente i RR che portano verso i server autoritativi, viene riempito anche se il messaggio è la risposta. Se chiediamo un record A contenuto nella cache, la risposta come è stato detto è non autoritativa. Tuttavia il campo Authority contiene ancora gli indirizzi autoritativi, cioè permette di sapere quali sono i server DNS a cui rivolgersi per avere la risposta autoritativa. 

Per il corretto funzionamento di tutto questo meccanismo ogni server DNS deve avere due tipi di informazione. Il primo tipo riguarda i domini direttamente coperti dal DNS. Il secondo tipo è l'indirizzo del DNS radice a cui rivolgersi nel caso una richiesta non possa essere risolta internamente. Si può trovare la lista ufficiale dei DNS radice al seguente indirizzo:
ftp://ftp.rs.internic.net/domain/named.root
Inoltre ogni macchina in rete deve essere configurata in modo da conoscere l'indirizzo IP del DNS che dovrà usare (a meno che questa informazione non venga fornita automaticamente). 

Un'altra peculiarità del DNS è la capacità di fornire servizi di load balancing e fault tolerance. Per far questo vengono associati gli indirizzi IP di diverse macchine ad un solo nome. Il computer dell'utente sceglierà a caso uno di questi indirizzi. Server DNS più sofisticati sono in grado di restituire un solo indirizzo IP basandosi sul carico delle macchine e sulla loro disponibilità. 

Per ottenere il nome di una macchina sapendo l'indirizzo IP le cose diventano più complesse. Sapere i nomi a partire da indirizzi IP torna utile per varie ragioni. Ad esempio, per produrre un output leggibile nei file di log, altre volte viene usato per controlli di autenticazione. 

Per ricavare un indirizzo IP dato il nome, si può seguire la struttura gerarchica dell'albero dei domini nel modo visto in precedenza. Per effettuare l'operazione inversa non è più possibile seguire questa gerarchia. Per rendere possibile questo servizio è stato riservato il dominio speciale "in-addr.arpa", chiamato anche dominio inverso. Termina in "arpa" perchè Internet era originariamente denominata ARPAnet. Dato che i nomi dei domini sono organizzati in modo tale da avere la parte più significativa a destra, mentre gli indirizzi IP, nel formato decimale, hanno i byte più significativi a sinistra, è necessario creare il nome di dominio inverso mettendo i numeri dell'indirizzo IP in ordine inverso e aggiungendo in-addr.arpa alla fine. In questo modo viene rispettata la natura gerarchica del DNS. Un esempio di dominio in-addr.arpa può essere 34.16.1.151.in-addr.arpa Quando viene effettuata una richiesta di traduzione da IP a nome, viene effettuata una normale ricerca del nome di dominio. Ad esempio se in Unix si digita il comando "nslookup 151.1.16.34" viene eseguita una ricerca per il nome di dominio "34.16.1.151.in-addr.arpa". Per poter funzionare sono presenti nei DNS i RR di tipo PTR il cui funzionamento ricalca a grandi linee quello dei record A.

Il server DNS ha un'altra importante funzione oltre a quelle viste finora. Gioca infatti un ruolo molto importante nella gestione della posta elettronica. Normalmente quando si pensa alla posta elettronica si pensa che il mail server del computer mittente debba solo conoscere il mail server del dominio del destinatario per arrivare a destinazione. Se questo fosse vero il mail server del mittente si limiterebbe ad interrogare il proprio DNS per scoprire l'indirizzo IP del mail server del destinatario. In realtà il DNS non si limita a fornire un servizio di traduzione da indirizzi IP a nomi e viceversa. E' infatti in grado di fornire alcune utili informazioni di routing per la posta al mail server mittente.
Per ogni dominio che è in grado di ricevere posta, il DNS è in grado di fornire una lista di computer a cui si può inviare il messaggio. In questo modo, se il mail server principale del destinatario non è operativo, è possibile inviare il messaggio verso un computer di backup in grado di gestire la posta altrettanto bene. Queste informazioni sono contenute nei record MX (Mail eXchanger). Il mail server deve sempre chiedere al proprio DNS quali host possono gestire la posta per un certo dominio. Inserendo informazioni appropriate nei record MX di un DNS si può informare il mail server associato a quel DNS che, per un certo dominio, esistono varie macchine che possono ricevere la posta. Ogni record MX restituito al mail server contiene tra le altre cose un valore di preferenza. Il valore di preferenza indica al mail server un ordine di scelta tra gli host MX a cui è possibile consegnare il messaggio per il dominio specificato. 

Quando si allaccia il proprio computer o la propria rete ad Internet è essenziale disporre di un servizio DNS in modo da trovare e farsi trovare sulla rete. Per far questo ci sono sostanzialmente due strade. La prima è di affidarsi ai server DNS di un provider Internet. La seconda è di installare un server DNS all'interno della propria rete.

Nel primo caso bisogna contattare un Internet Service Provider informandolo riguardo i record che si vogliono inserire per permettere l'accesso dall'esterno. L'Isp informerà la Registration Authority del fatto che esso fornisce servizi DNS per il o i computer che si vogliono allacciare ad Internet. Fatto questo si procede con il configurare le proprie macchine in modo che usino i DNS dell'Isp.

Se invece si vuole dotare la propria rete di un server DNS interno bisogna prima di tutto dotarsi di due server DNS, uno primario ed uno secondario, altrimenti l'InterNIC o la RA Italiana non acconsentiranno all'inserimento del nome di dominio nel database dei propri DNS. Fatto questo si procede alla registrazione di un dominio presso la Registration Authority. A questo punto si possono configurare i propri DNS per strutturare al meglio la propria rete.
Un secondo server DNS è sempre richiesto per ragioni di fault tolerance. Le informazioni contenute nel DNS secondario sono una copia del primario. Periodicamente (di solito ogni 6 ore, ma è possibile specificare qualsiasi intervallo) il DNS secondario interroga il primario per controllare se la tabella dei domini indirizzati è cambiata. In caso affermativo questa viene copiata nel secondario.

La Registration Authority varia a seconda del dominio di primo livello sotto cui si vuole inserire la propria organizzazione. Come abbiamo detto, per il dominio .it esiste la Registration Authority Italiana (http://www.nic.it/RA). Nel caso si usi uno dei domini generici .com, .edu, .gov, .org, .net bisogna rivolgersi all'InterNIC (http://www.internic.net). L'autorità centrale al di sopra di queste organizzazioni e responsabile del coordinamento e della gestione del sistema DNS è l'Internet Assigned Numbers Authority (IANA).
Si può trovare una lista dei domini di primo livello e delle relative organizzazioni che li gestiscono al sito http://www.norid.no/domreg.html 

Avere il proprio server DNS comporta diversi vantaggi, tra cui una più veloce risoluzione dei nomi dato che il server DNS dell'Isp è di solito piuttosto caricato di traffico. Inoltre, nel caso ci siano frequenti cambiamenti nei nomi delle macchine della propria rete, si può effettuare l'aggiornamento dei propri DNS in modo diretto, mentre con un Isp bisogna aspettare un certo intervallo di tempo, di solito stabilito dall'Isp stesso. 

Se ciò che vogliamo è solo risolvere i nomi più velocemente senza registrare alcun dominio e senza rivolgersi all'Isp o all'Authority, è sufficiente impostare un server DNS con semplici funzioni di caching. Questo sistema velocizza le richieste di risoluzione, specialmente se il DNS del proprio Isp è sovraccaricato. Inoltre questo sistema funziona senza problemi anche con gli indirizzi IP dinamici. Un DNS caching è un server non autoritativo. Ottiene tutte le sue informazioni dai server DNS primario e secondario, non ha autorità su nessuna zona e richiede almeno un RR NS da cui poter ricavare inizialmente informazioni. 

A questo punto è opportuno fare una precisazione. Ciò di cui abbiamo parlato è la registrazione di un nome di dominio. Non stiamo parlando dell'attribuzione di indirizzi IP per le proprie macchine. Per fare questo ci sono altre organizzazioni, come la RIPE per Europa, Medio Oriente e parte dell'Africa, l'ARIN per Nord e Sud America, Caraibi e Africa Sub-Sahariana, e l'APNIC per l'Asia del Pacifico. Diversamente dal caso dei nomi, per avere un indirizzo IP fisso rivolgersi al proprio Isp è spesso l'unica strada dato che gli indirizzi non vengono rilasciati direttamente agli utenti finali ma solo agli Isp e ad altre organizzazioni che fanno uso di un grande numero di indirizzi. 

E' bene notare che i server DNS non producono nessun tipo di broadcast per rendersi visibili nella rete. E' necessario effettuare la registrazione presso l'autorità sotto la quale vogliamo comparire. Se si installasse un server DNS senza registrare il dominio che si intende coprire, questo non avrebbe effetto sulla rete perchè il server DNS di livello superiore non lo indirizza (o ne indirizza un altro se il dominio è già stato registrato da un'altra organizzazione). 

Per ottenere informazioni su un dominio e sul suo gestore esiste un sistema, il WHOIS (definito nell'RFC 954), che permette di collegarsi ed effettuare richieste ad un server NIC. 

Esistono diversi database Whois in Internet. Whois fornisce solo le informazioni registrate presso quel server NIC. in particolare citiamo whois.internic.net e whois.nic.it, entrambi accessibili sulla porta 43.
Per accedervi è sufficiente lanciare il comando:
telnet whois.nic.it 43
Fatto questo basta digitare il dominio cercato e premere invio.
Un'alternativa molto più completa ed user-friendly è senz'altro il programma CyberKit, reperibile all'indirizzo http://www.cyberkit.net 

 Torna all'indice

Un ADSL veloce