Probabilmente avrete già sentito in giro il termine “DNS premium” prima d’ora, e forse non ci avete pensato su. La maggior parte delle persone sa che l’utilizzo di un provider DNS premium può essere di aiuto, ma non prende l’iniziativa per implementarlo, o forse non sa come fare.

Il 21 ottobre 2016 si è verificato il più grande attacco DDoS della storia, che ha coinvolto grandi aziende come PayPal, Spotify, Twitter, Reddit e eBay. Alcuni lo chiamano anche il DNS Doomsday (“il Giorno del Giudizio del DNS”) di Internet. Oggi vogliamo approfondire il modo in cui un provider DNS premium può aiutarvi in situazioni del genere, se configurato correttamente, e impedire che il vostro sito WordPress vada giù.

Cos’è il DNS?

Il DNS (Domain Name System) è la spina dorsale di internet. Potete immaginarlo come un elenco telefonico per il world wide web. Ogni sito web e dominio che visitate sono tutti mappati su un indirizzo IP.

Quando digitate Google.com nella barra degli indirizzi, viene eseguita una query DNS dal vostro ISP per richiedere i server dei nomi associati al dominio. La mappatura dell’indirizzo IP viene quindi eseguita dietro le quinte dal server che consente di utilizzare il nome di dominio per accedervi. Senza DNS dovreste digitare qualcosa come 216.58.217.206 per arrivare a Google. Non sarebbe molto bello!

Come funziona il DNS
Come funziona il DNS

Quando registrate il vostro dominio, il registrar di domini fornirà in genere servizi DNS gratuiti. Ad esempio, NameCheap, GoDaddy, Google Domains, ecc., tutti vi offrono la possibilità di configurare i server dei nomi e indirizzare il vostro dominio all’indirizzo IP del tuo host web. Google Domains è probabilmente il miglior servizio di DNS gratuito offerto da un registrar di domini in quanto dispone di un’infrastruttura molto grande. Un altro paio di popolari provider DNS gratuiti sono Cloudflare e Hurricane Electric Internet Services. Date un’occhiata a questo elenco di 10 provider DNS gratuiti per opzioni alternative.

Tuttavia, se siete davvero interessati alla vostra attività e al vostro sito web, vi consigliamo vivamente di utilizzare un provider DNS premium, che approfondiremo in dettaglio qui di seguito.

L’attacco DNS che ha colpito l’intera Internet

Il 21 ottobre 2016, a molte aziende è successa la cosa peggiore che potesse capitare. Un grosso attacco DDoS (distributed denial of service) è stato indirizzato contro un popolare provider DNS premium, Dyn, ed è riuscito ad iniziare a metere offline servizi e siti.

Fondamentalmente quello che è successo è che sono riusciti a eliminare i nameserver di Dyn, e come abbiamo spiegato sopra, senza quei nameserver le ricerche DNS iniziano a fallire. Dyn ha iniziato a riferire su quello che stava succedendo nella sua pagina di stato ufficiale ed è riuscito a fornire aggiornamenti coerenti durante l’intero attacco che è durato per circa 11 ore.

Dyn DNS DDoS stato dell'attacco
Dyn DNS DDoS stato dell’attacco

Qui sotto è riportato un esempio di ciò cui uno dei clienti di Dynatrace’s SaaS stava assistendo venerdì 21 dall’applicazione di monitoraggio dei DNS. L’attacco si è concentrato sulla costa orientale, ma si è diffuso in tutti gli Stati Uniti e in Europa.

Mappa dell'attacco DDoS
Mappa dell’attacco DDoS

Tra le aziende interessate c’erano grandi nomi come Twitter, Amazon, Github, Shopify, Weather.com, Basecamp, Freshbooks, SoundCloud, Spotify, Netflix, Reddit, Disqus, PayPal e centinaia di altri. Lo abbiamo notato notato anche noi qui da Kinsta, dato che Intercom, il nostro sistema di supporto per ticket e chat, ne è stato colpito. L’attacco è stato ora attribuito a Mirai Botnet, una rete di dispositivi infetti da malware auto-propagante che utilizzava traffico TCP e UDP mascherato sulla porta 53.

Per quello che è successo, le aziende hanno bisogno di ripensare al loro utilizzo strategico dei DNS. La configurazione di un provider DNS secondario come sistema di sicurezza può contribuire a fornire ridondanza quando si verificano problemi come quello descritto. Noi raccomandiamo di utilizzare quanto meno un provider DNS premium, e non uno gratuito, perché i primi sono più attrezzati per gestire questi problemi. Mentre gli attacchi su grande scala sono rari, gli attacchi DDoS in generale non lo sono. Infatti, secondo i dati forniti da easyDNS, gli attacchi DDoS nel tempo stanno diventando sempre peggiori.

Attacchi DDoS nel tempo
Attacchi DDoS nel tempo

Alla stesura di questo articolo del il 31 ottobre, 123 Reg, un grande registrar di domini, stava combattendo contro un attacco DDoS nei confronti del proprio DNS. Potete aspettarvi che negli anni a venire questi attacchi potranno solo aumentare.

Vantaggi di un Provider DNS Premium

Esistono molti buoni provider DNS gratuiti, ma i provider DNS premium presentano molti vantaggi che garantiscono al vostro sito la permanenza online; tra questi ricordiamo la maggiore sicurezza, failover del DNS e prestazioni migliori.

1. Sicurezza – Sono meglio equipaggiati per attacchi su larga scala

I grandi provider DNS premium sono in genere meglio equipaggiati per proteggervi da attacchi DDoS su larga scala come quello di venerdì 21. Dyn è un’azienda con un’ottima reputazione e, anche se sono stati registrati stati tempi di inattività, hanno fatto del loro meglio per tenere informati i clienti e hanno lavorato tutto il giorno per rimettere ogni cosa al suo posto. È importante ricordare che l’attacco è stato il più grande mai registrato a 600 Gb/sec. Se lo stesso attacco si fosse verificato contro un provider DNS gratuito o più piccolo, potete tranquillamente immaginare che i risultati sarebbero stati ancora più catastrofici per i clienti.

Scott, EVP presso Dyn, ha rilasciato una dichiarazione ufficiale il 26 ottobre:

Questo attacco ha aperto un dibattito importante sulla sicurezza e la volatilità di Internet. Non solo ha messo in evidenza le vulnerabilità nella sicurezza dei dispositivi della “Internet of Things” (IOT) che devono essere affrontate, ma ha anche innescato ulteriori dibattiti nella comunità dell’infrastruttura Internet sul futuro della Internet stessa. Come abbiamo fatto in passato, non vediamo l’ora di contribuire a questo dialogo.

2. DNS di failover

Le aziende ora devono ripensare la loro strategia DNS e avere un sistema di failover in funzione. Brian Armstrong, co-fondatore di Canopy, nel 2014 ha scritto un ottimo articolo intitolato “You’re probably doing DNS wrong, like we were“. Questo articolo veniva scritto dopo che un attacco DDoS aveva messo a terra il loro provider DNS, DNSimple. Brian tocca la questione dei TTL e afferma che le aziende dovrebbero tendere a prolungarli. TTL significa “Time To Live”, che significa quanto tempo il DNS rimarrà in memoria nella cache prima di essere cancellato. Ad esempio, se avete un TTL di una settimana, e il vostro provider DNS è andato giù per un giorno, è molto probabile che gli utenti non vengano danneggiati perché il vostro ISP memorizza il DNS nella cache.

Tuttavia, c’è anche un rovescio della medaglia nell’utilizzo di TTL alti. Venerdì 21, se aveste cercato di aggiungere un secondo provider DNS, non avrebbe avuto effetto perché il TTL era impostato per scadere nell’arco di giorni o settimane, non di minuti. Questo inconveniente può, però, essere aggirato semplicemente impostando più provider DNS in anticipo. Quindi sì, i TTL alti possono essere una buona cosa, ma dovrebbero essere usati in combinazione con una strategia di failover di più provider DNS. Date un’occhiata a questo articolo più approfondito sulle impostazioni TTL del DNS.

La comunità deve collaborare per trovare soluzioni commerciali o open source al fine di rendere le configurazioni DNS compatibili tra i fornitori (questo per impostazioni DNS complesse, come failover, bilanciamento del carico geografico, ecc.). Questa non è più una cosa carina da avere, ma una necessità. – Catchpoint

Esistono molti provider DNS premium che forniscono tutorial su come impostare un DNS secondario come failover. La configurazione consigliata è quella di impostare server dei nomi ridondanti con più provider DNS.

È anche importante notare che, a seconda di come impostate il DNS secondario, potreste ridurre o migliorare le prestazioni del DNS. DNS Made Easy ha pubblicato un ottimo webinar che lo spiega in modo più approfondito.

3. Prestazioni

Un altro vantaggio del DNS premium è la velocità! In genere il DNS gratuito fornito di registrar di domini come GoDaddy e Namecheap è molto lento. Google domains costituisce probabilmente un’eccezione a questa regola, semplicemente perché dispone un’infrastruttura molto grande. I provider DNS funzionano in genere proprio come un CDN, avendo più POP in tutto il mondo. I grandi provider DNS come Amazon, Cloudflare, Dyn e DNS Made Easy dispongono tutti di un’infrastruttura massiccia, progettata specificamente per il DNS con ambienti a bassa latenza.

Abbiamo eseguito un paio di test con SolveDNS speed test. Ecco un esempio di un dominio che utilizza il DNS gratuito di NameCheap e i relativi tempi di risposta.

DNS NameCheap gratuito

Velocità DNS gratuito
Test velocità DNS gratuito

Invece qui di seguito riportiamo un esempio in cui si utilizza il DNS premium di Amazon Route 53. Come potete vedere, in generale i tempi di ricerca del DNS sono molto più rapidi con Amazon. Potete eseguire i vostri test sui provider, ma vi basterà ricordare che proprio come con gli host Web, ci sono quelli più veloci e quelli più lenti. In genere i provider DNS premium avranno maggiori velocità. Cloudflare è gratuito ma ha anche grandi prestazioni. Tuttavia, è abbastanza complicato quando andate ad eseguire più provider DNS.

Amazon Route 53 DNS

Velocità DNS Amazon premium
Test velocità DNS Amazon premium

Come Installare il DNS Premium con Kinsta

Crediamo che il DNS premium sia importante ed è per questo che siamo in collaborazione con Amazon Route 53, una rete globale Anycast. Amazon offre il DNS di failover e il routing di latenza e geolocalizzazione per garantire che il vostro sito web sia sempre online e stabile. Il routing è particolarmente importante in quanto garantisce che il DNS sia instradato verso la posizione più vicina con la latenza più bassa. Il DNS premium di Amazon Route 53 è offerto gratuitamente a tutti i clienti Kinsta. Per impostarlo nel vostro sito WordPress seguite questi passaggi.

Passo 1

Nel cruscotto di MyKinsta fate clic su “Kinsta DNS“.

DNS Amazon Route 53 su Kinsta
DNS Amazon Route 53 su Kinsta

Passo 2

Fate clic su “Aggiungi dominio” in alto a destra.

Aggiungere un dominio al DNS
Aggiungere un dominio al DNS

Passo 3

Potrete ora aggiungere i record DNS facendo clic su “Aggiungi record” in alto a destra. Il vostro record A deve puntare al vostro indirizzo IP di Kinsta. Record supportati:

  • A
  • CNAME
  • MX
  • SPF
  • TXT
  • SRV
  • AAAA
  • DKIM
Record Premium DNS
Record Premium DNS

Passo 4

Dovrete quindi aggiungere i server dei nomi di Amazon con il vostro registrar di domini o il vostro provider DNS di terze parti. È possibile accedere alla scheda facendo clic su Nameserver nella pagina dei record DNS.

Server dei nomi DNS Premium
Server dei nomi DNS Premium

E questo è tutto! Il vostro DNS è ora servito tramite Amazon Route 53.

Riepilogo

Proprio come affermato da Catchpoint e dall’EVP di Dyn menzionati sopra, il recente incidente ha spinto le aziende a ripensare alle loro strategie dei DNS e alla sicurezza web in generale. Alcune aziende hanno perso milioni di dollari a causa del downtime avvenuto venerdì 21 settembre. L’utilizzo di un provider DNS premium, e l’implementazione di una strategia che prevede un DNS di failover con un provider secondario, sono assolutamente importanti. È solo una questione di tempo per il prossimo attacco DDoS, e dovreste essere pronti ad affrontarlo.

Avete qualche idea su come utilizzare i provider DNS premium? Condividetele con noi nei commenti.

Brian Jackson

Brian ha una grande passione per WordPress, lo usa da più di dieci anni e sviluppa anche un paio di plugin premium. Brian ama i blog, i film e le escursioni. Entra in contatto con Brian su Twitter.