Un server DNS si occupa della risoluzione dei nomi a dominio: ha il compito importante di stabilire quale o quali indirizzi IP (usati per identificare univocamente un host sulla rete Internet) corrispondono a un indirizzo mnemonico (come www.google.it o ilsoftware.it).
I DNS di Google sono indubbiamente tra i più conosciuti ma sono i migliori in assoluto? Ne abbiamo parlato nell’articolo DNS Google, ecco come funzionano e perché sono utili svelando anche alcuni loro “segreti”.
Quali sono i DNS migliori da usare su router, PC e dispositivi mobili?
Non è possibile dare una sola risposta: ci sono DNS migliori a seconda che si stia cercando di:
- migliorare le prestazioni
- superare eventuali censure
- attivare filtri e protezioni da contenuti sconvenienti o potenzialmente pericolosi
- tutelare la privacy ottenendo allo stesso tempo ottime garanzie in termini di sicurezza
Come sostituire quelli in uso con DNS migliori
Prima di addentrarci nei suggerimenti relativi all’uso dei DNS migliori a seconda delle proprie specifiche necessità, è bene osservare che per impostazione predefinita router e singoli dispositivi sono configurati per usare i DNS offerti dall’operatore di telecomunicazioni prescelto.
Se l’utente non apporta modifiche sulla configurazione, per default vengono utilizzati i DNS direttamente forniti dal provider Internet. Per accorgersene basta in Windows aprire una finestra del prompt dei comandi (Windows+R
, digitare cmd
) e scrivere:
Accanto alla voce Server in alto si leggerà l’indirizzo del server DNS che fornisce la risposta: in molti casi potrebbe essere appunto fornito dall’operatore di telecomunicazioni prescelto. Per sapere a cosa serve il comando nslookup
consigliamo la lettura dell’articolo Server DNS: come funziona e a cosa serve Nslookup.
Cambiando il DNS primario e secondario sul pannello di amministrazione del router, la maggior parte dei dispositivi ad esso collegati inizieranno a usare i nuovi server DNS impostati. In ogni caso, i DNS possono essere modificati manualmente anche sui singoli dispositivi connessi al router.
Parliamo di tutto nell’articolo Cambiare DNS in Windows, Linux, macOS e Android.
DNS migliori in termini di prestazioni
Quando si chiede di visitare un sito web digitandone l’indirizzo mnemonico o cliccando su un nome a dominio mai visitato prima, il browser interroga dapprima il DNS impostato come preferito sul dispositivo in uso o indicato dal router locale.
I soggetti che offrono agli utenti un’infrastruttura di DNS distribuita, quindi molto vicina alle loro posizioni geografiche riescono a garantire prestazioni migliori.
Solitamente i DNS di Google, Cloudflare, Quad9 e OpenDNS, insieme ad altri offrono i risultati migliori sul piano delle performance. Di seguito i loro indirizzi IPv4 e IPv6 (IPv6 Cos’è e perché è importante in ottica Internet delle Cose):
- Google:
8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
- Cloudflare:
1.1.1.1 1.0.0.1 2606:4700:4700::111 ,2606:4700:4700::1001
- Quad9:
9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9
- OpenDNS:
208.67.222.222 208.67.220.220 2620:119:35::35 2620:119:53::53
Gli spazi tra un indirizzo IP e l’altro separano un indirizzo dall’altro, IPv4 e IPv6.
Lanciando il comando ping
al prompt dei comandi o in una finestra del terminale seguito dagli indirizzi dei vari server DNS è possibile scoprire in quanto tempo (millisecondi) essi rispondono e metterli a confronto.
Da Linux o da una finestra WSL in Windows 10 (Linux in Windows: come, quando e perché utilizzarlo) si possono eseguire i seguenti comandi per scaricare e lanciare uno script che mette a confronto le prestazioni dei DNS migliori:
sudo apt-get install bc dnsutils
git clone --depth=1 https://github.com/cleanbrowsing/dnsperftest/
cd dnsperftest
./dnstest.sh
Da WSL bisognerà assicurarsi di eseguire il tutto dalla cartella Home
altrimenti si otterrà un errore di permessi.
Per maggiori informazioni sullo script è possibile fare riferimento alla pagina di DNS Performance Test su GitHub.
In generale i DNS Cloudflare si confermano ad oggi i più veloci in assoluto a livello mondiale seguiti dal duo Google-Quad9.
La questione della privacy e della sicurezza
Tutti i server DNS che abbiamo citato e che vengono verificati dallo script DNS Performance Test sono sicuri e non presentano alcun problema di sicurezza noto. Non possono cioè essere sferrati attacchi che modifichino gli IP restituiti all’invio di una richiesta di risoluzione del nome a dominio (le aggressioni di tipo DNS poisoning sono tornate in auge a livello delle singole configurazioni server: Il possibile ritorno degli attacchi DNS cache poisoning).
Va detto che però per impostazione predefinita l’operatore di telecomunicazioni e altri soggetti (sulla stessa rete o lungo il percorso che separa il sistema dell’utente dal server DNS) possono stabilire quali domini vengono richiesti e visitati dai singoli utenti.
Per questo i principali sviluppatori di browser web caldeggiano l’utilizzo dei protocolli DoH (DNS-over-HTTPS) e DoT (DNS-over-TLS) per crittografare le richieste di risoluzione dei nomi a dominio.
Il protocollo DoH è eventualmente attivabile a livello di browser (vedere Come attivare DNS over HTTPS su Google Chrome e Mozilla attiva DNS over HTTPS in Firefox: in Europa nelle prossime settimane) e a breve il supporto sarà introdotto da Microsoft anche a livello di sistema operativo: Windows 10 21H1 tra aprile e maggio 2021: supporto per i protocolli DoH e TLS 1.3.
L’ultimo problema residuo è che il gestore del server DNS compatibile DoH può ancora registrare i siti web visitati dagli utenti annotando tutte le richieste di risoluzione dei nomi a dominio. La soluzione si chiama Oblivious DoH ed è uno standard sviluppato dalla IETF: Cloudflare è stato il primo soggetto ad abbracciarne l’utilizzo (vedere DNS ancora più sicuri e rispettosi della privacy: arriva Oblivious DoH. Cos’è).
Cambiare DNS per superare la censura. Attivare filtri e protezioni
I DNS migliori che abbiamo presentato in precedenza offrono anche il vantaggio di superare eventuali censure imposte entro i confini italiani.
Trattandosi di server dislocati in altri Paesi, si tratta di DNS che consentono di risolvere correttamente anche nomi a dominio bloccati in Italia dai singoli provider: cambiando server DNS si potranno visitare i vari siti web.
Il progetto OpenNIC offre la possibilità di individuare server DNS di libero utilizzo fisicamente vicini all’utente e che non applicano alcuna forma di censura.
Una realtà come OpenDNS offre inoltre DNS che consentono di bloccare il raggiungimento di specifici siti web, ad esempio quelli che propongono contenuti per adulti, sconvenienti o potenzialmente pericolosi. Configurando questi DNS (208.67.222.123 208.67.220.123 ::ffff:d043:de7b ::ffff:d043:dc7b
) sul router si può ad esempio proteggere un’intera rete locale evitando che utenti meno smaliziati possano visitare siti non adatti o sgraditi.
Seguendo la procedura descritta nell’articolo Come bloccare un sito: la procedura guidata si possono anche usare i DNS OpenDNS per impedire il raggiungimento di altri siti web. Con una semplice accortezza, questa possibilità rimane gratuita e liberamente accessibile per un’ampia fetta di utenti.