Google Public DNS es un servicio de sistema de nombres de dominio (DNS) que Google ofrece a los usuarios de Internet en todo el mundo . Funciona como un servidor de nombres recursivo . Google Public DNS se anunció el 3 de diciembre de 2009, [1] en un esfuerzo descrito como "hacer la web más rápida y segura". [2] [3] A partir de 2018, es el servicio DNS público más grande del mundo y maneja más de un billón de consultas por día. [4] Google Public DNS no está relacionado con Google Cloud DNS, que es un servicio de alojamiento de DNS .
El servicio DNS público de Google opera servidores de nombres recursivos para uso público en las cuatro direcciones IP que se enumeran a continuación. [5] Estas direcciones se asignan al servidor operativo más cercano mediante enrutamiento anycast . [6]
El servicio no utiliza software de servidor de nombres DNS convencional , como BIND , sino que se basa en una implementación diseñada a medida, conforme a los estándares DNS establecidos por el IETF . Es totalmente compatible con el protocolo DNSSEC desde el 19 de marzo de 2013. Anteriormente, el DNS público de Google aceptaba y reenviaba mensajes con formato DNSSEC, pero no realizaba validación. [7] [8]
Algunos proveedores de DNS practican el secuestro de DNS mientras procesan consultas, redirigiendo los navegadores web a un sitio de publicidad operado por el proveedor cuando se consulta un nombre de dominio inexistente. El servicio de Google responde correctamente con una respuesta de dominio inexistente (NXDOMAIN). [9]
El servicio de Google también aborda la seguridad DNS. Un vector de ataque común es interferir con un servicio DNS para lograr la redirección de páginas web desde servidores legítimos a servidores maliciosos. Google documenta sus esfuerzos para resistir el envenenamiento de la caché de DNS , incluidos los ataques de "defecto Kaminsky" y los ataques de denegación de servicio . [10]
El servicio Google Public DNS64 opera servidores de nombres recursivos para uso público en las dos direcciones IP que se enumeran a continuación para su uso con NAT64 . [11]
Google declaró que, por motivos de rendimiento y seguridad, la dirección IP de la consulta se eliminará después de 24 a 48 horas, pero el proveedor de servicios de Internet (ISP) y la información de ubicación se almacenan permanentemente en sus servidores. [12] [13] [14]
En diciembre de 2009, se lanzó Google Public DNS con su anuncio [15] en el blog oficial de Google por parte del gerente de producto Prem Ramaswami, con una publicación adicional en el blog de Google Code . [dieciséis]
En enero de 2019, el DNS público de Google adoptó el protocolo DNS sobre TLS . [17]
En el lanzamiento del DNS público de Google, no admitía directamente DNSSEC . Aunque se podían consultar los registros RRSIG, el indicador AD (datos autenticados) no estaba configurado en la versión de lanzamiento, lo que significa que el servidor no pudo validar las firmas de todos los datos. Esto se actualizó el 28 de enero de 2013, cuando los servidores DNS de Google comenzaron silenciosamente a proporcionar información de validación DNSSEC, [18] pero solo si el cliente establecía explícitamente el indicador DNSSEC OK (DO) en su consulta. [19] Este servicio que requiere un indicador del lado del cliente fue reemplazado el 6 de mayo de 2013 con una validación DNSSEC completa de forma predeterminada, lo que significa que todas las consultas serán validadas a menos que los clientes opten por no participar explícitamente. [8]
Desde junio de 2014, el DNS público de Google detecta automáticamente servidores de nombres que admiten las opciones de subred de cliente (ECS) de EDNS tal como se define en el borrador del IETF (sondeando los servidores de nombres a baja velocidad con consultas ECS y almacenando en caché la capacidad de ECS) y enviará consultas con ECS. opciones a dichos servidores de nombres automáticamente. [20]
En marzo de 2014, el uso del DNS público de Google fue bloqueado en Turquía después de que se utilizara para eludir el bloqueo de Twitter , que entró en vigor el 20 de marzo de 2014 por orden judicial. El bloqueo fue el resultado de comentarios anteriores del Primer Ministro Tayyip Erdogan, quien prometió "borrar Twitter" tras acusaciones dañinas de corrupción en su círculo íntimo . El método se hizo popular después de que se determinó que se utilizaba un simple bloqueo de nombre de dominio para hacer cumplir la prohibición, que se podría evitar fácilmente mediante el uso de un solucionador de DNS alternativo. Los activistas distribuyeron información sobre cómo utilizar el servicio y pintaron con aerosol las direcciones IP utilizadas por el servicio como graffiti en los edificios. Tras el descubrimiento de este método, el DNS público de Google fue bloqueado por completo. [21] [22] [23]