Generali
Che cos'è Google Public DNS?
Google Public DNS è un servizio senza costi di risoluzione DNS (Domain Name System) globale, che puoi utilizzare come alternativa al tuo provider DNS attuale.
Perché Google sta lavorando a un servizio DNS?
Riteniamo che un'infrastruttura DNS più veloce e sicura possa migliorare notevolmente l'esperienza di navigazione sul Web. Google Public DNS ha apportato molti miglioramenti nelle aree di velocità, sicurezza e validità dei risultati. Abbiamo condiviso questi miglioramenti nella nostra documentazione per contribuire a un dibattito continuo nella community web.
Posso utilizzare Google Public DNS per ospitare il mio nome di dominio?
Google Public DNS non è un servizio di hosting DNS autorevole e non può essere utilizzato come tale. Se cerchi un server dei nomi autorevole e di volume elevato che utilizza l'infrastruttura di Google, prova Cloud DNS di Google.
Google Public DNS offre la possibilità di bloccare o filtrare i siti indesiderati?
Google Public DNS è semplicemente un server di risoluzione e memorizzazione nella cache DNS; non esegue alcun blocco o filtro di alcun tipo, tranne per il fatto che potrebbe non risolvere alcuni domini in casi eccezionali se riteniamo che sia necessario per proteggere gli utenti di Google da minacce alla sicurezza. Tuttavia, riteniamo che le funzionalità di blocco siano di solito ottimali per il client. Se ti interessa abilitare questa funzionalità, dovresti installare un'applicazione lato client o un componente aggiuntivo del browser a questo scopo.
Ci sono dipendenze cross-product con Google Public DNS?
Google Public DNS è un servizio indipendente.
Ho bisogno di un account Google per utilizzare Google Public DNS?
L'utilizzo di Google Public DNS non richiede alcun account.
Qual è la differenza tra Google Public DNS e il servizio DNS del mio ISP o altri resolver DNS aperti? Come faccio a capire se è migliore?
I resolver aperti e il tuo ISP offrono tutti servizi di risoluzione DNS. Ti invitiamo a provare Google Public DNS come resolver DNS principale o secondario, insieme a tutti gli altri servizi DNS alternativi. Ci sono molti aspetti da considerare per l'identificazione di un resolver DNS adatto alle tue esigenze, come velocità, affidabilità, sicurezza e validità delle risposte. A differenza di Google Public DNS, alcuni ISP e resolver bloccati bloccano, filtrano o reindirizzano le risposte DNS a scopi commerciali.
In che modo Google Public DNS gestisce i domini inesistenti?
Se emetti una query per un nome di dominio che non esiste, Google Public DNS restituisce sempre un record NXDOMAIN, in base agli standard del protocollo DNS. Il browser dovrebbe mostrare questa risposta come errore DNS. Se, invece, ricevi una risposta diversa da un messaggio di errore (ad esempio, viene reindirizzato a un'altra pagina), il risultato potrebbe essere uno dei seguenti:
- Un'applicazione lato client, come un plug-in per il browser, mostra una pagina alternativa per un dominio inesistente.
- Alcuni ISP possono intercettare e sostituire tutte le risposte NXDOMAIN con risposte che indirizzano ai propri server. Se temi che il tuo ISP stia intercettando richieste o risposte DNS pubbliche di Google, dovresti contattare il tuo ISP.
Google Public DNS verrà utilizzato per la pubblicazione di annunci in futuro?
Ci impegniamo a preservare l'integrità del protocollo DNS. Google Public DNS non restituirà mai l'indirizzo di un ad server per un dominio inesistente.
Che cos'è il DNS over HTTPS (DoH)?
Risoluzione DNS su una connessione HTTPS criptata. DNS su HTTPS migliora notevolmente la privacy e la sicurezza tra un resolver e un resolver ricorrente e completa le DNSSEC per fornire le ricerche DNS autenticate end-to-end.
Utilizzo e assistenza
Sto utilizzando un altro servizio DNS ora. Posso utilizzare anche Google Public DNS?
Puoi impostare Google Public DNS come resolver DNS principale o secondario, insieme al resolver DNS attuale. Ricorda che i sistemi operativi trattano i resolver DNS in modo diverso: alcuni preferiscono il tuo resolver DNS principale e utilizzano quelli secondari solo se il principale non riesce a rispondere, mentre altri eseguono il round robin tra ognuno dei resolver.
Se sono presenti differenze nella sicurezza o nei filtri tra i resolver configurati, ottieni il livello di sicurezza o il filtro più debole di tutti i resolver. A volte il filtro NXDOMAIN o il reindirizzamento alle pagine di blocco può funzionare, ma SERVFAIL non blocca i domini a meno che tutti i resolver non restituiscano SERVFAIL.
Google Public DNS è adatto a tutti i tipi di dispositivi Internet?
Google Public DNS può essere utilizzato su qualsiasi dispositivo di rete conforme agli standard. Se ritieni che Google Public DNS non funzioni correttamente, faccelo sapere.
Posso eseguire Google Public DNS sul mio computer di ufficio?
Alcuni uffici hanno reti private che consentono di accedere a domini a cui non si può accedere dall'esterno dell'ambiente di lavoro. L'uso di Google Public DNS potrebbe limitare il tuo accesso a questi domini privati. Controlla le norme del tuo reparto IT prima di utilizzare Google Public DNS sul tuo computer di ufficio.
In quali paesi è disponibile Google Public DNS?
È disponibile per gli utenti di Internet in tutto il mondo, anche se la tua esperienza potrebbe variare notevolmente in base alla località specifica.
Google Public DNS funziona con tutti gli ISP?
Google Public DNS dovrebbe funzionare con la maggior parte degli ISP, supponendo che tu possa accedere per modificare le impostazioni DNS di rete.
Devo utilizzare entrambi gli indirizzi IP DNS pubblici di Google?
Puoi utilizzare Google come servizio principale usando solo uno degli indirizzi IP. Tuttavia, assicurati di non specificare lo stesso indirizzo sia dei server principali sia dei server secondari.
In che ordine è necessario specificare gli indirizzi IP?
L'ordine non è importante. L'IP può essere il tuo server dei nomi principale o secondario.
Qual è lo SLA (accordo sul livello del servizio) per il servizio?
Non è previsto un accordo sul livello del servizio (SLA) per il servizio DNS pubblico di Google senza costi.
Sto eseguendo un ISP. Posso reindirizzare i miei utenti a Google Public DNS?
Gli ISP che vogliono utilizzare Google Public DNS devono seguire le istruzioni dell'ISP per verificare se devono fare qualcosa prima di inviare le query a Google Public DNS.
Come posso ricevere assistenza dal team Google Public DNS?
Ti consigliamo di iscriverti ai nostri Google Gruppi per ricevere utili aggiornamenti dal team e porre qualsiasi domanda. Se stai riscontrando un problema e vuoi segnalarlo, consulta la sezione Segnalazione dei problemi per informazioni sulle procedure.
Abilitazione tecnica
In che modo Google Public DNS sa dove inviare le mie query?
Il routing anycast indirizza le query al server DNS pubblico di Google più vicino. Per ulteriori informazioni sul routing anycast, consulta la voce di Wikipedia.
Google Public DNS utilizza i record NS (Name Server) pubblicati nella zona principale DNS e nelle zone dei domini di primo livello per trovare i nomi e gli indirizzi dei server DNS autorevoli per qualsiasi dominio. Alcuni di questi server dei nomi utilizzano anche il routing anycast.
Dove si trovano attualmente i tuoi server?
I server DNS pubblici di Google sono disponibili in tutto il mondo. Ci sono due risposte a questa domanda, una per i client e un'altra per i server DNS da cui Google DNS pubblico ottiene le risposte che restituisce ai client.
Quando i client inviano query al Google Public DNS, vengono indirizzate alla località più vicina che pubblicizza l'indirizzo anycast utilizzato (8.8.8.8, 8.8.4.4 o uno degli indirizzi IPv6 in 2001:4860:4860::). Le località specifiche che pubblicizzano questi indirizzi anycast cambiano a causa delle condizioni della rete e del carico del traffico e includono quasi tutti i data center principali e i punti di presenza perimetrali (PoP) nella rete Google Edge.
Google Public DNS invia query ai server autorevoli dai data center principali e dalle località delle aree geografiche Google Cloud. Google pubblica un elenco di intervalli di indirizzi IP che Google Public DNS può utilizzare per eseguire query su server DNS autorevoli (non tutti gli intervalli nell'elenco sono utilizzati). Puoi utilizzarla per la geolocalizzazione di query DNS prive di dati EDNS Client Subnet (ECS) e per configurare ACL per consentire tassi di query più elevati da Google Public DNS.
Oltre alle domande frequenti, Google pubblica l'elenco come un record "TXT" DNS. Google aggiorna entrambe le fonti ogni settimana con aggiunte, modifiche e rimozioni. Ogni voce di intervallo di indirizzi IP include il codice IATA per l'aeroporto più vicino. L'automazione per i dati GeoIP o gli ACL dovrebbe ottenere questi dati tramite DNS, non estraendo questa pagina web (vedi di seguito per un esempio).
Località degli intervalli di indirizzi IP utilizzati da Google Public DNS per inviare query
Recupero dei dati sulla posizione in modo programmatico
Gli intervalli di indirizzi possono essere recuperati come file JSON:
curl https://www.gstatic.com/ipranges/publicdns.json
Puoi utilizzare il seguente script Python per creare un elenco di intervalli di indirizzi IP che Google Public DNS utilizzerà per effettuare query a server DNS autorevoli.
Questi dati sono disponibili anche su locations.publicdns.goog. come record TXT.
Tuttavia, le dimensioni dei dati indicano che i record TXT DNS non sono più un formato appropriato. Il record TXT verrà sostituito con il file in formato JSON descritto in precedenza. Se utilizzi il record TXT, passa al file JSON poiché abbiamo intenzione di rimuoverlo in futuro.
Riga di comando
Puoi utilizzare curl e lo strumento jq per estrarre gli intervalli IP DNS pubblici di Google
dalla riga di comando.
curl https://www.gstatic.com/ipranges/publicdns.json | jq '.prefixes[] | .ipv4Prefix // .ipv6Prefix '
È necessario quanto segue :
- Installa il client HTTP della riga di comando curl
- Installa il processore JSON della riga di comando jq
Python
Puoi utilizzare il seguente script Python per creare un elenco di intervalli di indirizzi IP utilizzati da Google Public DNS.
#!/usr/bin/env python3
"""An example to fetch and print the Google Public DNS IP ranges."""
import ipaddress
import json
import urllib.request
publicdns_url = 'https://www.gstatic.com/ipranges/publicdns.json'
def read_url(url):
try:
s = urllib.request.urlopen(url).read()
return json.loads(s)
except urllib.error.HTTPError:
print('Invalid HTTP response from %s' % url)
return {}
except json.decoder.JSONDecodeError:
print('Could not parse HTTP response from %s' % url)
return {}
def main():
publicdns_json = read_url(publicdns_url)
print('{} published: {}'.format(publicdns_url,
publicdns_json.get('creationTime')))
locations = dict()
ipv4, ipv6 = set(), set()
for e in publicdns_json['prefixes']:
if e.get('ipv4Prefix'):
ip = ipaddress.IPv4Network(e.get('ipv4Prefix'), strict=False)
ipv4.add(ip)
if e.get('ipv6Prefix'):
ip = ipaddress.IPv6Network(e.get('ipv6Prefix'), strict=False)
ipv6.add(ip)
locations[ip] = e.get('scope')
print('IP ranges used by Google Public DNS for contacting '
'authoritative DNS servers:')
for i in list(ipv4) + list(ipv6):
print(i, locations[i])
if __name__ == '__main__':
main()
Per macOS, questo script richiede un runtime Python 3 configurato come segue:
- Installa la versione corrente di runtime Python 3 per macOS.
- Esegui il comando
Install Certificates.commandincluso dalla cartella Python nella cartella Applicazioni per installare un elenco di certificati radice attendibili (cert.pem) per il runtime Python da utilizzare. SostituisciVERSIONcon la versione Python installata (ad esempio3.8):sudo "/Applications/Python
VERSION/Install Certificates.command"
Google Public DNS si basa su software open source, ad esempio BIND?
Google Public DNS è l'implementazione personalizzata degli standard DNS.
Avete intenzione di rilasciare il codice DNS pubblico di Google come software open source?
Al momento non sono previsti piani per l'open source di Google Public DNS. Tuttavia, abbiamo descritto in dettaglio tutti i passaggi che abbiamo adottato per aumentare la velocità, la sicurezza e la conformità agli standard.
Google Public DNS supporta IPv6?
Google Public DNS ha indirizzi IPv6 per le richieste in entrata dai client con connettività IPv6 e risponde a tutte le richieste di indirizzi IPv6, restituendo i record AAAA se esistenti. Supportiamo interamente i server dei nomi autorevoli solo per IPv6. Gli indirizzi dei resolver IPv6 sono forniti nelle istruzioni per iniziare a utilizzare Google Public DNS.
Tieni presente che potresti non vedere i risultati IPv6 per i siti web di Google. Per ottimizzare l'esperienza utente, Google pubblica i record AAAA solo per i client con una buona connettività IPv6. Questo criterio è completamente indipendente da Google Public DNS e viene applicato dai server dei nomi autorevoli di Google. Per ulteriori informazioni, consulta la pagina Google over IPv6.
Per reti e sistemi solo IPv6, puoi utilizzare Google Public DNS64 per ottenere record AAAA sintetizzati per i nomi di dominio con record A ma non record AAAA. Questi record AAAA sintetizzati indirizzano i client solo IPv6 a un gateway NAT64 utilizzando un noto prefisso IPv6 riservato al servizio NAT64. Configura semplicemente i tuoi sistemi seguendo le istruzioni su come iniziare, sostituendo gli indirizzi dei resolver con la configurazione IPv6 DNS64.
Google Public DNS supporta il protocollo DNSSEC?
Google Public DNS è un resolver convalidante e sensibile alla sicurezza. Tutte le risposte provenienti dalle zone con firma DNSSEC sono convalidate a meno che i client non impostino esplicitamente il flag CD nelle richieste DNS per disabilitare la convalida.
Come faccio a sapere se sto utilizzando DNSSEC?
Puoi eseguire un semplice test visitando la pagina http://www.dnssec-failed.org/. Questo sito è stato configurato in modo specifico per restituire un errore DNS a causa di una catena di autenticazione non funzionante. Se non ricevi un errore, non stai utilizzando DNSSEC.
In che modo Google Public DNS gestisce le ricerche che non superano la convalida DNSSEC?
Se Google Public DNS non è in grado di convalidare una risposta (a causa di una configurazione errata, di record RRSIG mancanti o errati e così via), restituirà una risposta di errore (SERVFAIL). Tuttavia, se l'impatto è significativo (ad es. un dominio molto popolare non funziona correttamente), potremmo disattivare temporaneamente la convalida nella zona fino a quando il problema non verrà risolto.
Come posso scoprire perché un determinato dominio non supera la convalida DNSSEC?
Verisign Labs' DNS Analyzer e Sandia National Laboratories' DNSViz sono due strumenti di visualizzazione DNSSEC che mostrano la catena di autenticazione DNSSEC per qualsiasi dominio. Indicano dove si verificano le interruzioni e sono utili per individuare l'origine degli errori DNSSEC.
Google Public DNS sta gestendo i vecchi dati. Posso obbligarlo ad aggiornare i suoi dati?
Puoi utilizzare lo strumento Svuota cache per aggiornare la cache Google Public DNS per i tipi di record comuni e la maggior parte dei nomi di dominio. Non è necessario dimostrare la proprietà del dominio per svuotarlo, ma devi risolvere un reCAPTCHA che limita l'abuso automatico del servizio.
Eliminando qualsiasi tipo di record per un dominio che hai registrato o delegato
con i record NS, non solo svuota le risposte memorizzate nella cache per il tipo,
ma svuota anche le informazioni di delega sui server dei nomi per quel dominio.
Quando hai modificato di recente i server dei nomi (cambiando i registrar o i provider host DNS), è fondamentale farlo prima di svuotare i sottodomini come www, in modo che non vengano aggiornati dai dati inattivi sui tuoi vecchi server DNS.
Se Google Public DNS restituisce risposte con record CNAME non aggiornati, devi eliminare il tipo di record CNAME per ogni dominio CNAME, a partire dall'ultimo CNAME della catena e tornare al nome della query. Dopo aver eliminato tutti i record CNAME, elimina i nomi di query con tutti i tipi di record che rispondono con il record non aggiornato.
Esistono alcuni limiti relativi a cosa può essere eliminato:
I domini che utilizzano la subnet client EDNS (ECS) per la geolocalizzazione non possono essere eliminati. Per tutti i domini che utilizzano ECS, imposta TTL per record con abilitazione ECS sufficientemente breve (15 minuti o meno) da non dover mai svuotarli.
L'unico modo per svuotare tutti i sottodomini o tutti i tipi di record per un nome di dominio è svuotare ogni tipo di record per ogni nome di dominio che vuoi svuotare. Se non è pratico, puoi sempre attendere la scadenza dei TTL dei record (in genere, sono limitati a sei ore anche se il TTL effettivo è più lungo).
Per svuotare i nomi di dominio internazionalizzati come
пример.example, utilizza il modulo punycoded (xn‑‑e1afmkfd.exampleper l'esempio precedente). I domini con caratteri diversi da lettere ASCII, cifre, trattini o trattini bassi non possono essere eliminati.
Google Public DNS protegge il cosiddetto "ultimo hop" utilizzando la comunicazione con i client?
Il traffico DNS tradizionale viene trasferito tramite UDP o TCP senza crittografia. Forniamo anche DNS su TLS e DNS su HTTPS, che cripta il traffico tra i client e Google Public DNS. Puoi provarla all'indirizzo: https://dns.google.
Perché abbiamo bisogno del DNS su HTTPS se abbiamo già DNSSEC?
DNS su HTTPS e DNSSEC sono complementari. Google Public DNS utilizza DNSSEC per autenticare le risposte dai server dei nomi quando possibile. Tuttavia, per autenticare in modo sicuro una risposta UDP o TCP tradizionale da Google Public DNS, un client deve ripetere la convalida DNSSEC stessa, cosa che pochissimi resolver client attualmente eseguono. DNS su HTTPS cripta il traffico tra i resolver stub e Google Public DNS e integra DNSSEC per fornire ricerche DNS autenticate end-to-end.
Esistono strumenti che posso utilizzare per testare le prestazioni del servizio Google Public DNS rispetto a quello di altri servizi DNS?
Esistono molti strumenti disponibili senza costi che puoi utilizzare per misurare i tempi di risposta di Google Public DNS. Ti consigliamo di utilizzare Namebench. Indipendentemente dallo strumento utilizzato, esegui lo strumento su un numero elevato di domini (più di 5000) per ottenere risultati statisticamente significativi. Sebbene l'esecuzione dei test richieda più tempo, l'utilizzo di almeno 5000 domini assicura che la variabilità dovuta alla latenza di rete (perdita di pacchetti e ritrasmissioni) venga ridotta al minimo e che la cache dei nomi di Google Public DNS venga accuratamente eseguita.
Per impostare il numero di domini in Namebench, utilizza l'opzione Numero di test della GUI o il flag della riga di comando -t. Per ulteriori informazioni, consulta la documentazione di Namebench.
Quando eseguo ping o traceroute contro i resolver DNS pubblici di Google, la latenza di risposta è superiore a quella di altri servizi. Questo significa che Google Public DNS è sempre più lento?
Oltre al tempo di ping, devi considerare anche il tempo medio per la risoluzione di un nome. Ad esempio, se il tuo ISP ha un tempo di ping di 20 ms, ma la risoluzione media del nome è di 500 ms, il tempo medio di risposta complessivo è di 520 ms. Se Google Public DNS ha un tempo di ping di 300 ms, ma risolve molti nomi in 1 ms, il tempo medio di risposta medio è di 301 ms. Per una migliore risoluzione, ti consigliamo di impostare
Come funziona Google Public DNS con la geolocalizzazione di CDN?
Molti siti che forniscono contenuti multimediali scaricabili o in streaming ospitano contenuti con reti per la distribuzione di contenuti di terze parti (CDN) come DNS, come Akamai. Quando un resolver DNS esegue una query su un server dei nomi autorevole per un indirizzo IP di CDN, il server dei nomi restituisce l'indirizzo più vicino (in distanza di rete) al risolutore, non all'utente. In alcuni casi, per i resolver basati sull'ISP e per i resolver pubblici come Google Public DNS, il resolver potrebbe non essere nelle vicinanze degli utenti. In questi casi, l'esperienza di navigazione potrebbe essere leggermente rallentata. Google Public DNS non è diverso da altri provider DNS in questo senso.
Per ridurre le distanze tra i server DNS e gli utenti, Google Public DNS ha eseguito il deployment dei propri server in tutto il mondo. In particolare, gli utenti in Europa devono essere indirizzati ai server di contenuti CDN in Europa, gli utenti in Asia devono essere indirizzati ai server CDN in Asia e gli utenti negli Stati Uniti orientali, centrali e occidentali devono essere indirizzati ai server CDN in quelle rispettive aree geografiche. Abbiamo inoltre pubblicato queste informazioni per consentire alle CDN di fornire buoni risultati DNS per gli utenti dei contenuti multimediali.
Inoltre, Google Public DNS utilizza una soluzione tecnica denominata Subnet client EDNS come descritto nella RFC. Ciò consente ai resolver di passare parte dell'indirizzo IP del client (i primi 24/56 bit o meno per IPv4/IPv6) come IP di origine nel messaggio DNS, in modo che i server dei nomi possano restituire i risultati ottimizzati in base alla posizione dell'utente anziché a quella del resolver.
Privacy
Quali informazioni vengono registrate da Google quando utilizzo il servizio DNS pubblico di Google?
La pagina sulla privacy di Google Public DNS contiene un elenco completo delle informazioni che raccogliamo. Google Public DNS è conforme alle principali norme sulla privacy di Google, disponibili nel nostro Centro sulla privacy.
L'indirizzo IP del tuo client viene registrato solo temporaneamente (eliminato nel giro di uno o due giorni), ma le informazioni sugli ISP e sulle località a livello di città o area metropolitana vengono conservate più a lungo al fine di rendere il servizio più veloce, migliore e più sicuro.
Tra i dati raccolti con il mio Account Google ci sono informazioni?
Nessun dato memorizzato viene associato a nessun account Google.
Google condivide le informazioni raccolte dal servizio Google Public DNS con terze parti?
No, tranne nei casi particolari descritti nelle norme sulla privacy di Google, ad esempio procedimenti giudiziari e richieste governative con forza esecutiva. Vedi anche il Rapporto sulla trasparenza di Google sulle richieste di dati degli utenti.
Google mette in correlazione o combina informazioni di log temporanei o permanenti con informazioni personali che ho fornito a Google per altri servizi?
Come indicato nella pagina sulla privacy, i dati di log non vengono combinati o correlati in questo modo.