Introducción al DNS público de Google

¿Por qué usar el DNS público de Google?

A medida que las páginas web se vuelven más complejas y contienen más recursos de varios dominios de origen, los clientes deben realizar varias búsquedas de DNS para renderizar una sola página. El usuario promedio de Internet realiza cientos de búsquedas de DNS cada día, lo que ralentiza su experiencia de navegación. A medida que la Web continúa creciendo, se aumenta la carga en la infraestructura de DNS existente.

Dado que el motor de búsqueda de Google ya rastrea la Web a diario, y el proceso resuelve y almacena en caché la información de DNS, quisimos aprovechar nuestra tecnología para experimentar con nuevas formas de abordar algunos de los desafíos de DNS existentes en torno al rendimiento y la seguridad. Ofrecemos el servicio al público con la esperanza de lograr los siguientes objetivos:

  • Proporcionar a los usuarios finales una alternativa a su servicio de DNS actual El DNS público de Google adopta algunos enfoques nuevos que creemos que ofrecen resultados más válidos, mayor seguridad y, en la mayoría de los casos, un mejor rendimiento.
  • Ayuda a reducir la carga en los servidores DNS de los ISP. Si aprovechamos nuestro centro de datos global y la infraestructura de almacenamiento en caché, podemos entregar directamente una gran cantidad de solicitudes de usuarios sin tener que consultar otros agentes de resolución de DNS.
  • Ayuda a que la Web sea más rápida y segura. Lanzaremos este servicio para probar algunas formas nuevas de abordar los desafíos relacionados con el DNS. Esperamos compartir lo que aprendimos con los desarrolladores de agentes de resolución de DNS y la comunidad web más amplia, y obtener sus comentarios.

DNS público de Google: qué es y qué no

El DNS público de Google es un agente de resolución de DNS recursivo, similar a otros servicios disponibles de forma pública. Creemos que brinda muchos beneficios, como seguridad mejorada, rendimiento rápido y resultados más válidos. Consulta a continuación una descripción general de las mejoras técnicas que implementamos.

Sin embargo, el DNS público de Google no es ninguna de las siguientes opciones:

  • Un servicio de nombres de dominio de nivel superior (TLD).
  • Un servicio de hosting de DNS o de conmutación por error. El DNS público de Google no es un proveedor de servicios de aplicaciones de DNS de terceros que aloja registros autorizados para otros dominios. Si buscas un servidor de nombres autorizado, programable y de gran volumen que use la infraestructura de Google, prueba Cloud DNS de Google.
  • Un servicio de nombres autorizado Los servidores DNS públicos de Google no tienen autoridad para ningún dominio. Google mantiene otro conjunto de servidores de nombres autorizados para los dominios que registró, alojados en ns[1-4].google.com.
  • Un servicio que bloquea software malicioso. El DNS público de Google rara vez realiza bloqueos o filtros, aunque puede serlo si creemos que esto es necesario para proteger a nuestros usuarios de amenazas de seguridad. En casos tan extraordinarios, simplemente no responde: no crea resultados modificados.

Descripción general de los beneficios y las mejoras

El DNS público de Google implementa varias mejoras de seguridad, rendimiento y cumplimiento. A continuación, proporcionamos una breve descripción general de esas mejoras. Si eres desarrollador o implementador de software de DNS, esperamos que también leas las páginas de información técnica en este sitio para obtener más detalles sobre estas funciones. En última instancia, esperamos compartir nuestras estadísticas y motivar a la comunidad para que adopte algunas de estas funciones en todos los agentes de resolución de DNS. Los cambios se agrupan en 3 categorías:

Rendimiento

Muchos proveedores de servicios de DNS no están lo suficientemente aprovisionados como para admitir el almacenamiento en caché y las entradas y salidas de gran volumen, además de balancear las cargas de manera adecuada entre sus servidores. El DNS público de Google usa cachés de gran tamaño a escala de Google y balancea las cargas del tráfico del usuario para garantizar el almacenamiento en caché compartido, lo que nos permite responder una gran fracción de las consultas de la caché.

Para obtener más información, consulta la página sobre beneficios de rendimiento.

Seguridad

El DNS es vulnerable a varios tipos de ataques de falsificación de identidad que pueden “envenenar” la caché de un servidor de nombres y dirigir a sus usuarios a sitios maliciosos. La prevalencia de las vulnerabilidades de DNS implica que los proveedores deben aplicar con frecuencia actualizaciones y parches del servidor. Además, los agentes de resolución de DNS abiertos son vulnerables a usarse para lanzar ataques de denegación del servicio (DoS) en otros sistemas. Para defenderte de esos ataques, Google implementó varias soluciones recomendadas con el objetivo de garantizar la autenticidad de las respuestas que recibe de otros servidores de nombres y garantizar que nuestros servidores no se usen para lanzar ataques DoS. Además de la compatibilidad total con el protocolo DNSSEC, estos incluyen agregar entropía a las solicitudes, limitar la frecuencia del tráfico del cliente y mucho más.

Además, es posible que el DNS público de Google no resuelva ciertos dominios si consideramos que esto es necesario para proteger a los usuarios de Google contra amenazas de seguridad.

Para obtener más información, consulta la página sobre beneficios de seguridad.

Precisión

El DNS público de Google hace todo lo posible para mostrar la respuesta correcta a cada consulta siempre, de acuerdo con los estándares de DNS. A veces, en el caso de una consulta de un nombre de dominio mal escrito o inexistente, la respuesta correcta significa que no hay respuesta o que no se pudo resolver un mensaje de error que indica el nombre de dominio. También es posible que no resuelva ciertos dominios si creemos que esto es necesario para proteger a nuestros usuarios de amenazas de seguridad. El DNS público de Google nunca redirecciona a los usuarios, a diferencia de algunos ISP y agentes de resolución abiertos.