Général
Qu'est-ce que le DNS public de Google ?
Le DNS public de Google est un service de résolution DNS (Domain Name System) mondial sans frais, que vous pouvez utiliser comme alternative à votre fournisseur DNS actuel.
Pourquoi Google travaille-t-il sur un service DNS ?
Nous pensons qu'une infrastructure DNS plus rapide et plus sûre pourrait considérablement améliorer l'expérience de navigation sur le Web. Le DNS public de Google a rendu de nombreux des améliorations dans les domaines de la vitesse, de la sécurité et de la validité des résultats. Ces améliorations sont présentées dans notre documentation, pour contribuer à une conversation continue au sein de la communauté Web.
Puis-je utiliser le DNS public de Google pour héberger mon nom de domaine ?
Le DNS public de Google n'est pas un service d'hébergement DNS faisant autorité et ne peut pas être utilisé comme un seul. Si vous êtes à la recherche d'un grand volume, d'une source programmable faisant autorité de noms de domaine à l'aide de l'infrastructure de Google, essayez Cloud DNS de Google.
Le DNS public de Google offre-t-il la possibilité de bloquer ou de filtrer les sites indésirables ?
Le DNS public de Google est un serveur de mise en cache et de résolution DNS. il n'effectue pas au blocage ou au filtrage de quelque nature que ce soit, à l'exception de certains domaines dans de rares cas, où:
- Nous pensons que cela est nécessaire pour protéger les utilisateurs de Google contre les menaces de sécurité.
- nous sommes légalement tenus de bloquer un ou plusieurs domaines spécifiques. En savoir plus sur la page Blocage).
Toutefois, nous pensons que la fonctionnalité de blocage est généralement client. Si vous souhaitez activer une telle fonctionnalité, vous devez envisager installer une application côté client ou un module complémentaire de navigateur à cette fin.
Existe-t-il des dépendances entre plusieurs produits avec le DNS public de Google ?
Le DNS public de Google est un service indépendant.
Ai-je besoin d'un compte Google pour utiliser le DNS public de Google ?
L'utilisation du DNS public de Google ne nécessite aucun compte.
En quoi le DNS public de Google est-il différent du service DNS de mon FAI ou des autres résolveurs DNS ouverts ? Comment savoir s'il est préférable ?
Les résolveurs ouverts et votre FAI offrent tous des services de résolution DNS. Nous vous invitons à essayer le DNS public de Google en tant que résolveur DNS principal ou secondaire ainsi que tout autre service DNS alternatif. Il y a de nombreux éléments à prendre en compte lors de l'identification d'un résolveur DNS qui fonctionne pour telles que la vitesse, la fiabilité, la sécurité et la validité des réponses. Contrairement au DNS public de Google, certains FAI et résolveurs ouverts bloquent, filtrent ou rediriger les réponses DNS à des fins commerciales. Consultez également la réponse à la Le DNS public de Google offre-t-il la possibilité de bloquer ou d'exclure sites indésirables ?
Comment le DNS public de Google gère-t-il les domaines inexistants ?
Si vous émettez une requête pour un nom de domaine qui n'existe pas, le DNS public de Google renvoie toujours un enregistrement NXDOMAIN, conformément aux normes du protocole DNS. Le navigateur devrait afficher cette réponse en tant qu'erreur DNS. Si vous recevez une réponse autre qu'un message d'erreur (par exemple, vous êtes redirigé vers une autre page), cela peut se produire dans les cas suivants:
- Une application côté client, comme un plug-in de navigateur, affiche un autre pour un domaine inexistant.
- Certains FAI peuvent intercepter et remplacer toutes les réponses NXDOMAIN par des réponses qui à leurs propres serveurs. Si vous craignez que votre FAI intercepte les requêtes du DNS public de Google ou réponses, vous devez contacter votre FAI.
Le DNS public de Google sera-t-il utilisé pour la diffusion d'annonces à l'avenir ?
Nous nous engageons à préserver l'intégrité du protocole DNS. Le DNS public de Google ne renvoie jamais l'adresse d'un serveur publicitaire pour une qui n'existe pas.
Qu'est-ce que le DNS sur HTTPS (DoH) ?
Résolution DNS via une connexion HTTPS chiffrée DNS over HTTPS améliore considérablement la confidentialité et la sécurité entre un résolveur de bouchon ainsi qu'un résolveur récursif, et complète DNSSEC pour fournir des API de bout en bout les recherches DNS authentifiées.
Utilisation et assistance
J'utilise actuellement un autre service DNS. Puis-je également utiliser le DNS public de Google ?
Vous pouvez définir le DNS public de Google comme votre résolveur DNS principal ou secondaire, ainsi que votre résolveur DNS actuel. N'oubliez pas que les systèmes d'exploitation traitent les résolveurs DNS différemment: d'autres préfèrent votre résolveur DNS principal et n'utilisent le résolveur secondaire que ne répond pas, tandis que d'autres se alternent à tour de rôle entre chacun des résolveurs.
S'il existe des différences de sécurité ou de filtrage entre les résolveurs configurés, vous obtenez le niveau de sécurité ou de filtrage le plus faible parmi tous les résolveurs. Le filtrage NXDOMAIN ou la redirection vers les pages de blocage peuvent parfois fonctionner mais SERVFAIL ne bloque pas les domaines, sauf si tous les résolveurs renvoient SERVFAIL.
Le DNS public de Google est-il adapté à tous les types d'appareils connectés à Internet ?
Le DNS public de Google peut être utilisé sur n'importe quel appareil réseau conforme aux normes. Si vous rencontrez une situation où le DNS public de Google ne fonctionne pas bien, n'hésitez pas à nous contacter.
Puis-je exécuter le DNS public de Google sur mon ordinateur de bureau ?
Certains bureaux disposent de réseaux privés qui vous permettent d'accéder aux domaines ne peuvent pas accéder en dehors du travail. L'utilisation du DNS public de Google peut limiter votre accès à ces domaines privés. Veuillez vérifier le règlement de votre service informatique avant d'utiliser le DNS public de Google sur votre ordinateur de bureau.
Dans quels pays le DNS public de Google est-il disponible ?
Il est disponible pour les internautes du monde entier, mais votre expérience peut varient considérablement selon votre situation géographique.
Le DNS public de Google fonctionne-t-il avec tous les FAI ?
Le DNS public de Google devrait fonctionner avec la plupart des FAI, si vous avez la possibilité de modifier les paramètres DNS de votre réseau.
Dois-je utiliser les deux adresses IP du DNS public de Google ?
Vous pouvez utiliser Google comme service principal en n'utilisant qu'une des adresses IP des adresses IP externes. Cependant, veillez à ne pas spécifier la même adresse pour les adresses principale et vers des serveurs secondaires.
L'ordre dans lequel j'indique les adresses IP est-il important ?
L'ordre n'a pas d'importance. L'une ou l'autre de ces adresses peut être votre serveur de noms principal ou secondaire.
Quel est le contrat de niveau de service pour ce service ?
Il n'existe pas de contrat de niveau de service pour le DNS public de Google sans frais. Google Cloud.
Je gère un FAI. Puis-je rediriger mes utilisateurs vers le DNS public de Google ?
Les FAI qui souhaitent utiliser le DNS public de Google doivent respecter le Instructions FAI pour savoir si le FAI doit procéder avant d’envoyer des requêtes au DNS public de Google.
Comment puis-je obtenir l'aide de l'équipe du service DNS public de Google ?
Nous vous recommandons de rejoindre nos groupes Google. pour obtenir des informations utiles de la part de l'équipe et poser vos questions. Si vous rencontrez un problème et que vous souhaitez le signaler, veuillez consulter la section Signaler des problèmes pour connaître la procédure à suivre.
Technique
Comment le DNS public de Google sait-il où envoyer mes requêtes ?
Le routage Anycast dirige vos requêtes vers le serveur DNS public de Google le plus proche. Pour en savoir plus sur le routage Anycast, consultez la Article Wikipédia :
Le DNS public de Google utilise les enregistrements de serveur de noms (NS) publiés dans la zone racine DNS et les zones des domaines de premier niveau pour trouver les noms et adresses du DNS faisant autorité pour tout domaine. Certains de ces serveurs de noms également utiliser le routage Anycast.
Où se trouvent vos serveurs actuellement ?
Les serveurs DNS publics de Google sont disponibles dans le monde entier. Il y a deux réponses à cette question une pour les clients et une autre pour les serveurs DNS Le DNS public obtient les réponses qu’il renvoie aux clients.
Lorsque les clients envoient des requêtes au DNS public de Google, elles sont acheminées vers la
zone géographique faisant la promotion de l'adresse Anycast utilisée (8.8.8.8
, 8.8.4.4
ou l'une des
les adresses IPv6 dans 2001:4860:4860::
). Les établissements spécifiques qui diffusent des annonces
ces adresses Anycast changent selon les conditions du réseau et la charge du trafic ; et
la quasi-totalité des centres de données principaux et des points de présence périphériques (PoP)
dans le réseau en périphérie de Google.
Le DNS public de Google envoie des requêtes aux serveurs primaires depuis les centres de données principaux et les emplacements régionaux Google Cloud. Google publie une liste des plages d'adresses IP que le DNS public peut utiliser pour interroger les serveurs DNS primaires (les plages de la liste ne sont pas toutes utilisées). Toi Vous pouvez l'utiliser pour la géolocalisation des requêtes DNS sans sous-réseau client EDNS (ECS) et configurer les listes de contrôle d'accès afin d'autoriser des taux de requête plus élevés du DNS public de Google.
En plus de ces questions fréquentes, Google publie également la liste sous forme de fichier DNS "TXT" enregistrer. Google met à jour les deux sources chaque semaine avec des ajouts, des modifications et des suppressions. Chaque entrée de la plage d'adresses IP inclut le code IATA de l'aéroport le plus proche. L'automatisation des données GeoIP ou des LCA doit obtenir ces données via DNS, et non via le scraping cette page Web (voir l'exemple ci-dessous).
Emplacements des plages d'adresses IP utilisées par le DNS public de Google pour envoyer des requêtes
Obtenir des données de localisation par programmation
Les plages d'adresses peuvent être extraites sous forme de fichier JSON:
curl https://www.gstatic.com/ipranges/publicdns.json
Vous pouvez utiliser le script Python suivant pour créer une liste de plages d'adresses IP que le DNS public de Google utilisera pour envoyer des requêtes aux serveurs DNS faisant autorité.
Ces données sont également disponibles sur la page locations.publicdns.goog.
sous forme d'enregistrement TXT.
Toutefois, étant donné la taille des données,
les enregistrements TXT DNS ne sont plus
. Nous remplaçons l'enregistrement TXT par le fichier au format JSON décrit
ci-dessus. Si vous utilisez l'enregistrement TXT, veuillez passer au fichier JSON
car nous prévoyons de supprimer
l'enregistrement TXT à l'avenir.
Ligne de commande
Vous pouvez utiliser curl
et l'outil jq
pour extraire l'adresse IP du DNS public de Google.
à partir de la ligne de commande.
curl https://www.gstatic.com/ipranges/publicdns.json | jq '.prefixes[] | .ipv4Prefix // .ipv6Prefix '
Pour cela, vous devez disposer des éléments suivants :
- Installez le client HTTP de ligne de commande curl
- Installez le processeur JSON de ligne de commande jq.
Python
Vous pouvez utiliser le script Python suivant pour créer une liste de plages d'adresses IP utilisés par le DNS public de Google.
#!/usr/bin/env python3 """An example to fetch and print the Google Public DNS IP ranges.""" import ipaddress import json import urllib.request publicdns_url = 'https://www.gstatic.com/ipranges/publicdns.json' def read_url(url): try: s = urllib.request.urlopen(url).read() return json.loads(s) except urllib.error.HTTPError: print('Invalid HTTP response from %s' % url) return {} except json.decoder.JSONDecodeError: print('Could not parse HTTP response from %s' % url) return {} def main(): publicdns_json = read_url(publicdns_url) print('{} published: {}'.format(publicdns_url, publicdns_json.get('creationTime'))) locations = dict() ipv4, ipv6 = set(), set() for e in publicdns_json['prefixes']: if e.get('ipv4Prefix'): ip = ipaddress.IPv4Network(e.get('ipv4Prefix'), strict=False) ipv4.add(ip) if e.get('ipv6Prefix'): ip = ipaddress.IPv6Network(e.get('ipv6Prefix'), strict=False) ipv6.add(ip) locations[ip] = e.get('scope') print('IP ranges used by Google Public DNS for contacting ' 'authoritative DNS servers:') for i in list(ipv4) + list(ipv6): print(i, locations[i]) if __name__ == '__main__': main()
Pour macOS, ce script requiert un environnement d'exécution Python 3 configuré comme suit :
- Installez la version actuelle de Python. 3 d'exécution pour macOS.
- Exécutez la commande
Install Certificates.command
à partir du dossier Python de votre dossier Applications pour installer une liste de certificats racine approuvés (cert.pem
) que l'environnement d'exécution Python doit utiliser. RemplacezVERSION
par la version de Python que vous avez installée (par exemple3.8
) :sudo "/Applications/Python
VERSION
/Install Certificates.command"
Le DNS public de Google est-il basé sur un logiciel Open Source tel que BIND ?
Le DNS public de Google est l'implémentation par Google des normes DNS.
Est-il prévu de publier le code DNS public de Google sous forme de logiciel open source ?
Pour le moment, nous ne prévoyons pas de déployer le DNS public de Google en Open Source. Mais nous avons détaillé toutes les mesures que nous avons prises pour améliorer la vitesse, et la conformité aux normes.
Le DNS public de Google est-il compatible avec le protocole IPv6 ?
Le DNS public de Google dispose d'adresses IPv6 pour les requêtes entrantes des clients avec une connectivité IPv6 et répond à toutes les requêtes d'adresses IPv6, renvoyant les enregistrements AAAA s'ils existent. Nous prenons entièrement en charge les serveurs de noms primaires IPv6 uniquement. Les adresses du résolveur IPv6 sont fournies dans les instructions Premiers pas avec le DNS public de Google.
Notez que vous ne verrez peut-être pas de résultats IPv6 pour les sites Web Google. Pour optimiser l'expérience utilisateur, Google ne fournit des enregistrements AAAA qu'aux clients avec une bonne connectivité IPv6. Cette règle est complètement indépendante du DNS public de Google. Elle est appliquée les serveurs de noms faisant autorité de Google. Pour en savoir plus, consultez la page Google sur IPv6.
Pour les réseaux et les systèmes IPv6 uniquement, vous pouvez utiliser le DNS public de Google pour obtenir des enregistrements AAAA synthétisés pour les noms de domaine avec des enregistrements A, mais pas d’enregistrements AAAA. Ces enregistrements AAAA synthétisés dirigent les clients IPv6 uniquement vers une passerelle NAT64. à l'aide d'un préfixe IPv6 bien connu réservé au service NAT64. Il vous suffit de configurer vos systèmes en suivant les instructions de démarrage, en remplaçant les adresses du résolveur par la configuration IPv6 DNS64.
Le DNS public de Google est-il compatible avec le protocole DNSSEC ?
Le DNS public de Google est un résolveur sensible à la sécurité et à la validation. Toutes les réponses des zones signées DNSSEC sont validées, sauf si les clients explicitement définissez l’indicateur CD dans les requêtes DNS pour désactiver la validation.
Comment savoir si j'utilise DNSSEC ?
Vous pouvez effectuer un test simple sur le site http://www.dnssec-failed.org/. Ce site a été spécialement configuré pour renvoyer une erreur DNS en raison d'un d'authentification unique. Si vous ne recevez pas d'erreur, cela signifie que vous n'utilisez pas DNSSEC.
Comment le DNS public de Google gère-t-il les résolutions qui échouent à la validation DNSSEC ?
Si le DNS public de Google ne peut pas valider une réponse (en raison d'une mauvaise configuration, des enregistrements RRSIG manquants ou incorrects, etc.), renvoie une erreur (SERVFAIL). Toutefois, si l'impact est important (par exemple, un domaine très populaire est défaillant validation), nous pouvons désactiver temporairement la validation sur la zone jusqu'à ce que le problème est corrigé.
Comment puis-je savoir pourquoi la validation DNSSEC d'un domaine donné échoue ?
Verisign Labs' DNSAnalyzer et Sandia National Laboratories DNSViz est deux outils de visualisation DNSSEC qui montrent d'authentification pour n'importe quel domaine. Ils indiquent où se produisent les défaillances et sont utiles pour rechercher la source Défaillances DNSSEC.
Le DNS public de Google diffuse d'anciennes données. Puis-je le forcer à actualiser ses données ?
Vous pouvez utiliser l'outil Vider le cache pour actualiser le cache DNS public de Google. pour les types d'enregistrements courants et la plupart des noms de domaine. Vous n'avez pas besoin de prouver que vous êtes propriétaire du domaine pour le supprimer, mais vous devez résoudre un reCAPTCHA qui limite l'utilisation abusive automatique du service.
Vider tout type d'enregistrement pour un domaine que vous avez enregistré ou que vous avez délégué
avec des enregistrements NS non seulement
vide les réponses mises en cache pour le type,
il vide également les informations de délégation
concernant les serveurs de noms de ce domaine.
Si vous avez récemment changé de serveur de noms
(en changeant de bureau d'enregistrement ou de fournisseur d'hébergement DNS)
il est essentiel de le faire avant de vider les sous-domaines tels que www
,
afin qu'ils ne soient pas actualisés à partir de données
obsolètes sur vos anciens serveurs DNS.
Si le DNS public de Google renvoie des réponses avec des enregistrements CNAME obsolètes, vous devez vider le type d'enregistrement CNAME pour chaque domaine CNAME, en partant du dernier CNAME de la chaîne et en reprenant le nom de la requête. Après avoir vidé tous les CNAME, videz les noms interrogés avec tous les types d'enregistrements qui répondent avec un CNAME non actualisé.
Ce contenu est soumis à certaines limites:
Les domaines utilisant un sous-réseau client EDNS (ECS) pour la géolocalisation ne peuvent pas être vidés. Pour tous les domaines utilisant ECS, définissez des valeurs TTL suffisamment courtes pour les enregistrements compatibles. (15 minutes ou moins) sans avoir besoin de les vider.
La seule façon de vider tous les sous-domaines ou tous les types d'enregistrements d'un nom de domaine consiste à vider chaque type d'enregistrement pour chaque nom de domaine que vous souhaitez vider. Si ce n'est pas possible, vous pouvez toujours attendre que les valeurs TTL des enregistrements expirent (elles sont généralement limitées à six heures, même si la valeur TTL réelle est plus longue).
Pour vider les noms de domaine internationalisés tels que
пример.example
, utilisez la forme en code Puny codé (xn‑‑e1afmkfd.example
pour l'exemple ci-dessus). Domaines comportant des caractères autres que des lettres ASCII, des chiffres, des traits d'union ou le trait de soulignement ne peut pas être vidé.
Le DNS public de Google sécurise-t-il le "dernier saut" en chiffrant la communication avec les clients ?
Le trafic DNS traditionnel est transporté via UDP ou TCP sans chiffrement. Nous proposons également DNS sur TLS et DNS sur HTTPS pour chiffrer les entre les clients et le DNS public de Google. Vous pouvez l'essayer à l'adresse suivante: https://dns.google.
Pourquoi avons-nous besoin de DNS-over-HTTPS alors que nous disposons déjà de DNSSEC ?
DNS over HTTPS et DNSSEC sont complémentaires. Le DNS public de Google utilise DNSSEC pour authentifier les réponses des serveurs de noms dès que possible. Cependant, afin d’authentifier de manière sécurisée une réponse UDP ou TCP traditionnelle depuis le DNS public de Google, un client doit répéter la validation DNSSEC ce que très peu de résolveurs clients font actuellement. DNS over HTTPS chiffre le trafic entre les résolveurs bouchons et les et complète DNSSEC pour fournir des résolutions DNS authentifiées de bout en bout.
Existe-t-il des outils me permettant de tester les performances du DNS public de Google par rapport à celles d'autres services DNS ?
Il existe de nombreux outils disponibles sans frais qui vous permettent d'évaluer l'évaluation et le temps de réponse du DNS. Nous vous recommandons d'utiliser Namebench. Quel que soit l'outil utilisé, vous devez l'exécuter sur un grand nombre de domaines (plus de 5 000) afin d'assurer une pertinence statistique résultats. Bien que l'exécution des tests prenne plus de temps, l'utilisation d'un minimum de 5 000 domaines garantit que la variabilité due à la latence du réseau (perte de paquets et retransmissions) est et que le cache des grands noms du DNS public de Google est minutieusement de l'exercice.
Pour définir le nombre de domaines dans Namebench, utilisez l'IUG Number of tests (Nombre de tests).
ou l'option de ligne de commande -t
.
Pour en savoir plus, consultez la documentation de Namebench.
Lorsque j'exécute ping
ou traceroute
sur les résolveurs DNS publics de Google, la latence de réponse est plus élevée que celle des autres services. Cela signifie-t-il que le DNS public de Google est toujours plus lent ?
En plus du temps de ping, vous devez également tenir compte du temps moyen résoudre un nom. Par exemple, si le temps de ping de votre FAI est de 20 ms, mais que la résolution moyenne des noms de 500 ms, le temps de réponse moyen global est de 520 ms. Si le DNS public de Google a un temps de ping de 300 ms, mais résout de nombreux noms en une ms, le temps de réponse moyen global est de 301 ms. Pour une meilleure comparaison, nous vous recommandons de tester les résolutions de nom d'un un vaste ensemble de domaines.
Comment le DNS public de Google fonctionne-t-il avec la géolocalisation CDN ?
De nombreux sites proposant des contenus multimédias téléchargeables ou en streaming hébergent leur contenu. avec des réseaux de distribution de contenu (CDN) tiers basés sur DNS, comme Akamai. Lorsqu'un résolveur DNS interroge un serveur DNS faisant autorité pour obtenir l'adresse IP d'un CDN, le serveur de noms renvoie l'adresse la plus proche (en distance du réseau) au résolveur, et non l'utilisateur. Dans certains cas, pour les résolveurs basés sur les FAI et les résolveurs publics, le DNS public de Google, le résolveur n'est peut-être pas à proximité des utilisateurs. Dans ce cas, l'expérience de navigation peut être légèrement ralentie. Le DNS public de Google est semblable aux autres fournisseurs DNS à cet égard.
Pour réduire la distance entre les serveurs DNS et les utilisateurs, le DNS public de Google dispose déployé ses serveurs partout dans le monde. Plus particulièrement, les utilisateurs situés en Europe doivent être redirigés vers les serveurs de contenu CDN en Europe, les utilisateurs situés en Asie doivent être redirigés vers des serveurs CDN situés en Asie, et les utilisateurs situés en l'est, le centre et l'ouest des États-Unis doivent être dirigés vers les serveurs CDN de ces dans leurs régions respectives. Nous avons également publié ces informations pour aider les CDN à fournir de bons résultats DNS pour les utilisateurs multimédias.
Le DNS public de Google utilise également une solution technique appelée Sous-réseau client EDNS, comme décrit ici dans le document RFC. Cela permet aux résolveurs de transmettre dans une partie de l'adresse IP du client (les 24/56 premiers bits ou moins pour IPv4/IPv6) respectivement) comme IP source dans le message DNS, afin que les serveurs de noms puissent renvoient des résultats optimisés en fonction de la position de l'internaute plutôt que de celle résolveur de journaux.
Confidentialité
Quelles informations sont consignées par Google lorsque j'utilise le service DNS public de Google ?
La page de confidentialité du DNS public de Google contient la liste complète des informations que nous collectons. Le DNS public de Google est conforme aux principales règles de confidentialité de Google, consultez notre Centre de confidentialité.
L'adresse IP de votre client n'est consignée que temporairement (elle est effacée sous un à deux jours). mais les informations sur les FAI et sur la localisation des villes/agglomérations sont conservées plus longtemps afin de rendre notre service plus rapide, plus efficace et plus sécurisé.
Une partie des informations collectées est-elle stockée dans mon compte Google ?
Aucune donnée stockée n'est associée à un compte Google.
Les informations collectées à partir du service DNS public de Google sont-elles partagées par Google avec des personnes extérieures à Google ?
Non, sauf dans Conditions limitées décrites dans les règles de confidentialité de Google comme les réquisitions judiciaires et les demandes gouvernementales ayant force exécutoire. Consultez également le rapport Google "Transparence des informations" concernant les demandes de renseignements sur les utilisateurs.
Est-ce que Google met en corrélation ou combine les informations provenant de journaux temporaires ou permanents avec les informations personnelles que j'ai fournies à Google pour d'autres services ?
Comme indiqué sur la page Confidentialité, nous ne combinons ni ne corrélons pas les données des journaux de cette façon.