DNS Resolver

Cos'è un Risolvente DNS?

Un risolutore DNS (chiamato anche un risolutore ricorsivo o un server DNS ricorsivo) è un server che riceve query DNS dai dispositivi client ed esegue il lavoro di tracciamento dell'indirizzo IP per un nome di dominio. I solventi agiscono come intermediari tra i client e la gerarchia DNS, trattando la ricorsione attraverso root, TLD e autorevoli nameserver.

Come funzionano i Risolventi DNS

Il processo di risoluzione

Quando digiti "example.com" nel tuo browser:

1. Client → Resolver: "What's the IP for example.com?"

2. Resolver checks cache
   → Cache hit: Return cached result
   → Cache miss: Begin recursion

3. Resolver → Root Server: "Where's .com?"
   Root → Resolver: "Ask these .com nameservers"

4. Resolver → .com TLD: "Where's example.com?"
   .com → Resolver: "Ask these nameservers"

5. Resolver → Authoritative NS: "What's example.com's IP?"
   Auth NS → Resolver: "203.0.113.50"

6. Resolver → Client: "203.0.113.50"
   (Also caches result based on TTL)

Recursive vs Iterative Query

Client: "Give me the final answer for example.com"
Resolver: "Here's the IP: 203.0.113.50"
        (Resolver does all the work)

Resolver: "What's example.com?"
Root: "I don't know, ask .com servers"
Resolver: "What's example.com?"
.com: "I don't know, ask ns1.example.com"
Resolver: "What's example.com?"
ns1: "203.0.113.50"

Tipi di Risolventi

Risolvere Stub

Costruito in sistemi operativi e applicazioni:

• inoltra le domande ai server DNS configurati
• logica minimale
• Non esibisce ricorsi

Risolvente ricorsivo

Server completi che eseguono una risoluzione DNS completa:

• Risultati delle cache
• Segui i rinvii
• Attuazione delle caratteristiche di sicurezza

Resolver di inoltro

inoltra le domande a un altro risolutore invece di eseguire la ricorsione:

• Comune nelle reti aziendali
• Applicazione delle politiche centrali
• Riduzione delle domande esterne

Client → Corporate Resolver (forwarding) → ISP Resolver (recursive) → Internet

Risoluti pubblici popolari

Cambiare il Resolver

Control Panel → Network → Adapter Settings
→ Properties → IPv4 → Use these DNS servers:
   Preferred: 1.1.1.1
   Alternate: 8.8.8.8

• Cosa?

System Preferences → Network → Advanced → DNS
→ Add: 1.1.1.1, 8.8.8.8

nameserver 1.1.1.1
nameserver 8.8.8.8

Caratteristiche del solvente

Caching

Risolvere la cache risposte DNS basate su TTL:

First query: example.com
→ Full recursion (50ms)
→ Cached for 300s (TTL)

Subsequent queries: example.com
→ Cache hit (1ms)
→ Served until TTL expires

Caching negativo

Risolve anche le risposte negative cache (NXDOMAIN):

Query: nonexistent.example.com
Response: NXDOMAIN
Cached: Based on SOA minimum TTL

Questo impedisce ripetute domande per domini non esistenti.

Minimizzazione delle query

I moderni risolutori minimizzano la divulgazione delle informazioni:

Traduzione:

Query to .com: "What's www.blog.example.com?"
→ Exposes full subdomain structure

Query to .com: "What's example.com?"
Query to example.com NS: "What's blog.example.com?"
Query to blog.example.com NS: "What's www.blog.example.com?"
→ Reveals only necessary information at each level

Convalida DNSSEC

I risolutori di sicurezza convalidano le firme DNSSEC:

Query: example.com (DNSSEC-signed)
→ Resolver validates signatures
→ Returns AD (Authentic Data) flag if valid
→ Returns SERVFAIL if signatures invalid

Caratteristiche di sicurezza del solvente

DNS su HTTPS (DoH)

Crittografa le query DNS su HTTPS:

Traditional DNS:
Client → Resolver (UDP port 53, plaintext)

DNS over HTTPS:
Client → Resolver (TCP port 443, encrypted)

DNS su TLS (DoT)

Crittografa le query DNS su TLS:

Client → Resolver (TCP port 853, encrypted)

Filtro di malware/fissaggio

Alcuni risolutori bloccano noti domini maligni:

If source IP sends > threshold queries/second:
→ Temporarily rate limit or block

ipconfig /all | findstr "DNS Servers"

cat /etc/resolv.conf

dig example.com
# Look at "SERVER:" in output

1.1.1.1 anycast IP
→ Routed to nearest Cloudflare datacenter
→ New York query → New York datacenter
→ London query → London datacenter
→ Result: Global low-latency resolution

# Tests multiple resolvers with your actual query patterns
namebench

# Test Cloudflare
time dig @1.1.1.1 example.com

# Test Google
time dig @8.8.8.8 example.com

# Test ISP (current)
time dig example.com

# Install Unbound (Linux)
sudo apt install unbound

# Basic config (/etc/unbound/unbound.conf)
server:
  interface: 127.0.0.1
  do-ip4: yes
  do-udp: yes
  do-tcp: yes

  # Enable DNSSEC
  auto-trust-anchor-file: "/var/lib/unbound/root.key"

  # Privacy (query minimization)
  qname-minimisation: yes

# Start service
sudo systemctl start unbound
sudo systemctl enable unbound

# Install Pi-hole
curl -sSL https://install.pi-hole.net | bash

# Configure devices to use Pi-hole as resolver
# Set router DHCP to provide Pi-hole IP as DNS

1. Utilizzare risolutori pubblici rispettabili: Cloudflare, Google o Quad9 per affidabilità

3. Consider risolutore caratteristiche**: Scegliere in base alle esigenze di privacy, velocità o sicurezza

4. *Monitor risolutore prestazioni * Test di latenza periodicamente

5. Ho dei risolutori di backup. Configurare DNS secondario per ridondanza

6. Utilizzare i risolutori DNSSEC-validating: Proteggere dall'avvelenamento della cache

7. # Sostenere le politiche del tuo risolutore # Alcuni contenuti filtranti, alcune query di log

8. Test dopo i cambiamenti Verificare che la risoluzione DNS funzioni correttamente

9. Scelta del risolutore del documento Nota perché hai scelto un determinato risolutore

10. Update risolv.conf accuratamente La configurazione non corretta rompe completamente DNS

Resolver vs Nameserver Authoritative

I risolutori DNS sono i cava di lavoro del sistema DNS: la scelta di un risolutore rapido, sicuro e che rispetta la privacy influisce significativamente sulla tua esperienza di navigazione e sulla sicurezza online.