Problemi DNS comuni e come risolverli

A volte, un sito Web o un'applicazione non funzionano correttamente a causa di problemi DNS, tra cui record DNS configurati in modo errato, latenza o attacchi dannosi.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Spiegare cosa fa il DNS
  • Capire come risolvere i problemi comuni del DNS
  • Scoprire l'origine degli errori 'DNS_PROBE_FINISHED_NXDOMAIN'

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Problemi DNS comuni e come risolverli

Il Domain Name System, o DNS, associa i nomi di dominio agli indirizzi IP in modo che gli utenti possano utilizzare le applicazioni Web senza dover memorizzare indirizzi di rete precisi. Il DNS viene utilizzato anche per archiviare molte altre informazioni associate a un dominio, ad esempio, dove indirizzare le e-mail. Il DNS può causare problemi se non è configurato correttamente, se è preso di mira da aggressori o se si verificano altri problemi tecnici. Ecco una panoramica di alcuni dei problemi DNS più comuni che gli amministratori di siti Web potrebbero riscontrare.

Record DNS non corretti

I record DNS per il dominio potrebbero essere configurati in modo non corretto. Se il dominio è scritto in modo errato nei record, se nel record è elencato un indirizzo IP sbagliato o se altre informazioni essenziali sono mancanti o errate, è probabile che il DNS non riesca a risolvere il problema.

Oltre a questi errori di base, a un dominio sono associati diversi tipi di record DNS. Problemi con tali record potrebbero causare errori DNS. Ad esempio, un dominio potrebbe avere un record A ma non un record AAAA, causando inizialmente il fallimento della risoluzione DNS per i client che utilizzano IPv6. Oppure, se il client sta cercando di raggiungere un dominio alternativo (ad esempio, "blog.example.com" anziché "www.example.com"), il record CNAME del dominio potrebbe non puntare alla posizione corretta.

Per correggere questo errore, gli amministratori del sito devono controllare i record DNS nel loro provider di hosting o nel pannello di controllo del provider DNS e assicurarsi che non ci siano errori. I record DNS devono quindi essere recuperati dai resolver DNS (i server che rispondono alle query DNS) affinché le versioni più aggiornate siano presenti nel sistema. A condizione che il Time To Live (TTL) non sia impostato su un valore troppo alto (vedi sotto), l'operazione non dovrebbe richiedere troppo tempo.

Il time-to-live (TTL) è impostato su un valore troppo alto

Tutti i record DNS contengono un time-to-live (TTL)*, ovvero un conteggio del numero di secondi per i quali un server può considerare valido il record prima di dover effettuare una nuova query per un aggiornamento. In sostanza, il Time To Live (TTL) è come una data di scadenza su un prodotto alimentare confezionato: i record sono considerati utilizzabili fino al termine del Time To Live (TTL).

Se il Time To Live (TTL) è impostato su un valore troppo alto, i server attenderanno troppo a lungo per verificare la presenza di un aggiornamento dei record DNS. Ciò significa che qualsiasi modifica si diffonderà molto lentamente nel sistema dei nomi di dominio. I browser potrebbero provare a raggiungere siti con un indirizzo IP sbagliato se i record DNS sono stati aggiornati per un dominio ma non hanno ricevuto gli aggiornamenti.

Per evitare questo problema DNS, assicurati che i TTL non siano troppo grandi: in genere, il valore massimo assoluto è 86.400 (calcolato in secondi, che equivale a 24 ore), ma la maggior parte dei TTL sono molto più brevi (6 ore o meno). Il Time To Live (TTL) esatto per un record dovrebbe dipendere dalla frequenza e dalla rapidità con cui si prevede che tale record venga aggiornato in futuro. Consulta le informazioni sul TTL per i record DNS di Cloudflare.

Inoltre, alcuni resolver DNS consentono agli amministratori di dominio di forzare l'aggiornamento delle cache per un dominio; puoi farlo per 1.1.1.1 di Cloudflare qui. Tuttavia, questa operazione non svuota tutte le cache di tutti i resolver a livello globale, pertanto non sostituisce l'impostazione corretta dei TTL.

*Il Time To Live (TTL) viene utilizzato anche in altre aree del networking, come il routing e il caching.

Attacco DDoS al DNS

Gli attacchi DDoS mirano proprio a fare ciò che il loro nome suggerisce: negare il servizio. Gli attacchi DDoS bombardano il bersaglio con traffico indesiderato, impedendo agli utenti legittimi di utilizzare il servizio. Questi attacchi possono rendere un sito Web, un'applicazione, un'API o un server non disponibili per minuti o ore alla volta.

Quando l'obiettivo DDoS è il DNS stesso, i browser non saranno in grado di risolvere i domini, il che significa che gli utenti non potranno caricare siti Web e app, poiché il loro indirizzo IP non potrà essere trovato. Un attacco importante di questo tipo si è verificato nel 2016, quando un attacco a Dyn ha impedito agli utenti di molte parti del mondo di utilizzare Internet. Attacchi DDoS di minore entità al DNS si verificano regolarmente e possono essere più mirati.

Per evitare questo problema, assicurati che il provider DNS di ciascun dominio disponga di una protezione da attacchi DDoS oppure implementa la mitigazione degli attacchi DDoS per la risoluzione DNS self-hosted.

Latenza alta

La latenza è il tempo necessario ai dati per passare da un punto all'altro. Livelli elevati di latenza determinano risposte lente o addirittura timeout delle richieste che interrompono la connessione.

La congestione della rete può causare latenza, ma la causa principale è spesso la posizione del server. Le query DNS sono piuttosto leggere rispetto al resto del traffico Web, ma un resolver DNS lontano significa che un utente potrebbe dover attendere molti secondi mentre la richiesta viaggia verso il server e la risposta arriva dal server. Questo problema potrebbe verificarsi quando gli utenti provano a caricare contenuti Web da una posizione inaspettata o da una regione del mondo diversa dal solito, lontana dalla rete di server di un provider DNS.

Per risolvere l'elevata latenza DNS, utilizza un provider DNS che disponga di punti di presenza vicini agli utenti Internet in tutto il mondo. Scopri di più sulla rete globale di Cloudflare.

DNS cache poisoning

Negli attacchi di DNS cache poisoning, una parte malintenzionata induce un resolver DNS a eseguire il caching di un indirizzo IP errato per un dominio. Il risultato è che gli utenti che tentano di caricare quel dominio vengono reindirizzati all'indirizzo IP fornito dall'attaccante.

L'adozione di DNSSEC è un modo per impedire che dati non verificati entrino nelle cache del resolver DNS. DNSSEC autentica i messaggi tra i server DNS (senza DNSSEC, il DNS opera in base a un principio di fiducia, che gli aggressori possono sfruttare).

Hijack dei domini

Un attacco di hijack del dominio si verifica quando gli aggressori alterano i record DNS associati a un dominio. Spesso lo fanno chiedendo ai registrar di nomi di dominio di trasferire loro i domini. Di conseguenza, i visitatori del sito potrebbero caricare la pagina Web sbagliata, spesso dannosa, oppure il dominio potrebbe non essere risolto del tutto.

L'applicazione di blocchi di dominio sia a livello di registrar che di registro può rendere l'hijack del DNS notevolmente più difficile per gli aggressori.

Cosa significa quando i visitatori di una pagina ricevono un errore "DNS_PROBE_FINISHED_NXDOMAIN"?

"NXDOMAIN" è un termine informatico che significa "dominio inesistente". In sostanza, questo errore significa che, per quanto ne sa il dispositivo dell'utente, il dominio non esiste, come se si cercasse di chiamare un numero di telefono inesistente o di inviare un pacco a una città inesistente.

Si tratta di un errore generico che può essere causato dai problemi elencati sopra, nonché da problemi sul lato client (il dispositivo su cui la persona sta tentando di caricare il sito Web):

  • Il client potrebbe essere disconnesso da Internet.
  • Potrebbe esserci un errore di battitura nell'URL che il client sta tentando di raggiungere
  • La cache DNS del browser deve essere aggiornata
  • Il resolver DNS predefinito del client potrebbe non essere attivo

Gli utenti possono provare a riconnettersi alla propria rete locale, ad aggiornare la pagina Web (Ctrl/Comando + Maiusc + R), ad aprirla in un browser diverso o a modificare le impostazioni DNS per utilizzare un resolver diverso (Cloudflare offre il resolver DNS 1.1.1.1 affidabile e gratuito).

Cosa significa "Il server DNS non risponde"?

Un errore "NXDOMAIN" può causare la visualizzazione del messaggio "Impossibile raggiungere il sito" o "Il server DNS non risponde" nel browser. Come descritto sopra, questo messaggio di errore può essere causato da diversi problemi.

In che modo Cloudflare aiuta a prevenire questi problemi DNS?

Per le persone e le aziende che gestiscono app Web, la maggior parte di questi problemi può essere risolta o mitigata adottando Cloudflare, che inoltra il traffico ai siti Web e utilizza le più recenti misure di sicurezza per proteggere da attacchi DDoS, hijack del DNS, DNS cache poisoning ed errori di configurazione DNS. Consulta i piani di Cloudflare per iniziare.

Hai bisogno di maggiore supporto per problemi relativi a DNS e rete? Unisciti alla community di Cloudflare per ricevere supporto gratuito e spunti da altri utenti di Cloudflare.