L'arte invisibile del DNS: come il tuo browser trova la strada giusta

Ogni volta che apri un sito, il browser compie un piccolo prodigio. Converte un nome di dominio leggibile in un IP, localizza il server in qualche angolo del mondo e ti collega in pochi millisecondi. Dietro a questo c'è il DNS, il Domain Name System. Molti sviluppatori lo sottovalutano, ma è geniale.

Nato nel 1983, in un'era di modem lenti e web agli albori, il DNS è opera di Paul Mockapetris. L'ha reso rapido, scalabile e resistente su reti distribuite e inaffidabili. Oggi, dopo 40 anni, regge ancora alla grande. Scopriamo perché.

Il trucco della velocità: UDP invece di TCP

La prima mossa vincente è banale: il DNS usa UDP di default, non TCP.

TCP richiede un handshake a tre vie: un'andata e ritorno prima di inviare i dati veri. Se ogni query DNS passasse da lì, la rete si bloccherebbe. Basta una pagina web per scatenare decine di lookup. Immagina il caos.

UDP evita tutto. Il client spara un pacchetto sul porto 53 con la domanda. Il server risponde con uno solo. Fine. Niente strette di mano, solo query e risposta.

Il prezzo? I pacchetti UDP possono perdersi. Ma il DNS risolve con semplicità: se non arriva nulla entro il timeout, riprovi. Oltre il 99% delle query sta in un pacchetto UDP da 512 byte, quindi le perdite sono rare.

C'è un piano B. Se la risposta è troppo grossa – tipo con firme DNSSEC – il server imposta il bit TC (Truncated) e il client passa a TCP sul porto 53 per un trasferimento sicuro. Un sistema a due livelli: veloce sempre, affidabile se serve.

Il gioco delle deleghe: un albero capovolto

Il segreto della scalabilità? Non esiste un database centrale con tutti i domini del pianeta.

DNS è un albero rovesciato, letto da destra a sinistra. Per www.example.com., parti dalla radice (quel punto finale nascosto) e scendi:

I root server sono il punto di partenza. Ce ne sono 13 logici (A-M), replicati in migliaia di copie globali grazie ad Anycast. La query arriva al più vicino. Non conoscono il tuo dominio: indicano solo i server di .com, .org, .uk e via dicendo.

I server TLD (Top-Level Domain) li gestiscono i registry. Verisign per .com, Afilias per .info, altri per i ccTLD. Chiedi di example.com e ti danno i nameserver del dominio.

I nameserver autorevoli sono in fondo, ospitati dal tuo registrar o provider come Cloudflare, Route 53 o NameOcean. Tengono il zone file con A, AAAA, CNAME, MX e tutto il resto. Rispondono col bit aa: "Sono autorevole, fidati".

C'è un problema: se il nameserver è ns1.example.com, come trovi il suo IP senza conoscere quello di example.com? I TLD lo risolvono con glue records: forniscono l'IP del nameserver insieme alla delega NS. Senza, tutto collassa.

La cache: il vero superpotere della rete

La verità scomoda: senza cache, ogni lookup rifarebbe l'intero albero – root, TLD, autorevole – e internet crollerebbe.

Il DNS sopravvive grazie a cache aggressive su più livelli. Ogni record ha un TTL (Time-to-Live) in secondi: "Valido per X secondi, non chiedere prima".

La cache è ovunque:

• Nel browser – Chrome la tiene interna, visibile su chrome://net-internals/#dns.
• Nel sistema operativo – systemd-resolved su Linux, mDNSResponder su macOS, DNS Client su Windows.
• Nel resolver ricorsivo – come 8.8.8.8 di Google, 1.1.1.1 di Cloudflare o i pool dell'ISP, che condividono tra milioni di utenti.

Per questo gestire il TTL è vitale nelle migrazioni. Cambi server? Abbassa il TTL con giorni d anticipo, da 24 ore a 5 minuti. Altrimenti, le cache ignorano i tuoi aggiornamenti e trafficano verso il vecchio IP per ore.

Il gioco di prestigio del routing: Anycast

Ora il tocco magico.

Come fa 8.8.8.8 di Google a rispondere in 2 ms da Tokyo o Londra? Come scalano i 13 root server in migliaia di istanze? Non è DNS, è Anycast.

Il routing normale lega un IP a un server fisico. Anycast no: centinaia di server annunciano lo stesso IP via BGP (Border Gateway Protocol). Il router ti porta al più vicino.

Così Cloudflare offre DNS con latenza sotto i 10 ms ovunque. E i DDoS sui root falliscono: il traffico si sparpaglia su tutti i PoP.

Tutto insieme

DNS è un capolavoro di design distribuito. Veloce con UDP senza stato. Scalabile grazie all'albero gerarchico. Resistente con cache multilayer. Globale con Anycast.

Progettato nel 1983 per un web embrionale, gestisce trilioni di query al giorno. Principi eterni.

Se usi NameOcean o gestisci DNS su larga scala, capirli cambia tutto: domini, migrazioni, ottimizzazioni. DNS non è idraulica. È il sangue della rete.