Geral
O que é o DNS público do Google?
O DNS público do Google é um serviço sem custo financeiro e global de resolução de Sistema de Nome de Domínio (DNS, na sigla em inglês), que pode ser usado como alternativa ao seu provedor de DNS atual.
Por que o Google está trabalhando em um serviço de DNS?
Acreditamos que uma infraestrutura de DNS mais rápida e segura pode melhorar significativamente a experiência de navegação na Web. O DNS público do Google fez muitas melhorias nas áreas de velocidade, segurança e validade dos resultados. Compartilhamos essas melhorias na nossa documentação para contribuir com uma conversa contínua na comunidade da Web.
Posso usar o DNS público do Google para hospedar meu nome de domínio?
O DNS público do Google não é um serviço confiável de hospedagem DNS e não pode ser usado como um. Se você estiver procurando um servidor de nomes autoritativo, programável e de alto volume usando a infraestrutura do Google, teste o Cloud DNS.
O DNS público do Google permite bloquear ou filtrar sites indesejados?
O DNS público do Google é puramente uma resolução de DNS e um servidor de armazenamento em cache. Ele não realiza qualquer tipo de bloqueio ou filtragem de qualquer tipo, exceto que pode não resolver determinados domínios em casos extraordinários se acreditarmos que isso é necessário para proteger os usuários do Google contra ameaças de segurança. No entanto, acreditamos que o recurso de bloqueio costuma ser mais executado pelo cliente. Se você quiser ativar essa funcionalidade, instale um aplicativo do lado do cliente ou um complemento do navegador para essa finalidade.
Há dependências de vários produtos com o DNS público do Google?
O DNS público do Google é um serviço independente.
Preciso de uma Conta do Google para usar o DNS público do Google?
O uso do DNS público do Google não requer nenhuma conta.
Qual é a diferença entre o DNS público do Google e o serviço DNS do meu ISP e outros servidores de DNS abertos? Como posso saber se ela é melhor?
Os resolvedores abertos e o ISP oferecem serviços de resolução de DNS. Convidamos você a testar o DNS público do Google como seu resolvedor de DNS principal ou secundário, junto com outros serviços de DNS alternativos. Há muitos fatores a serem considerados ao identificar um resolvedor de DNS que funciona para você, como velocidade, confiabilidade, segurança e validade das respostas. Ao contrário do DNS público do Google, alguns ISPs e resolvedores abertos bloqueiam, filtram ou direcionam as respostas de DNS para fins comerciais.
Como o DNS público do Google lida com domínios inexistentes?
Se você fizer uma consulta para um nome de domínio que não existe, o DNS público do Google sempre retornará um registro NXDOMAIN, de acordo com os padrões de protocolo DNS. O navegador mostrará essa resposta como um erro de DNS. Se, em vez disso, você receber uma resposta que não seja uma mensagem de erro (por exemplo, será redirecionado para outra página), isso poderá ser o resultado do seguinte:
- Um aplicativo do lado do cliente, como um plug-in de navegador, exibe uma página alternativa para um domínio inexistente.
- Alguns ISPs podem interceptar e substituir todas as respostas NXDOMAIN por respostas que levam aos próprios servidores. Se você acredita que o ISP está interceptando as solicitações ou respostas do DNS público do Google, entre em contato com ele.
O DNS público do Google será usado para veicular anúncios no futuro?
Temos o compromisso de preservar a integridade do protocolo DNS. O DNS público do Google nunca retornará o endereço de um servidor de anúncios para um domínio inexistente.
O que é DNS por HTTPS (DoH)?
Resolução de DNS em uma conexão HTTPS criptografada. O DNS via HTTPS aumenta a privacidade e a segurança entre um resolvedor de stub e um resolvedor recursivo, além de complementar as DNSSEC para fornecer pesquisas de DNS autenticadas completas.
Uso e suporte
Estou usando outro serviço de DNS. Também posso usar o DNS público do Google?
É possível definir o DNS público do Google como o resolvedor de DNS principal ou secundário, junto com o resolvedor de DNS atual. Lembre-se de que os sistemas operacionais tratam os resolvedores de DNS de maneira diferente: alguns preferem o resolvedor de DNS principal e só usam o secundário se o primário não responder, e outros arredondam entre cada um dos resolvedores.
Se houver diferenças de segurança ou filtragem entre os resolvedores configurados, você terá o nível mais fraco de segurança ou filtragem de todos os resolvedores. A filtragem de NXDOMAIN ou o redirecionamento para páginas de bloqueio às vezes funciona, mas SERVFAIL não bloqueia domínios, a menos que todos os resolvedores retornem SERVFAIL.
O DNS público do Google é adequado para todos os tipos de dispositivos com Internet?
O DNS público do Google pode ser usado em qualquer dispositivo em rede que atenda aos padrões. Se você encontrar alguma situação em que o DNS público do Google não funciona bem, entre em contato conosco.
Posso executar o DNS público do Google no meu computador do escritório?
Alguns escritórios têm redes privadas que permitem acessar domínios que você não consegue acessar fora do trabalho. Usar o DNS público do Google pode limitar seu acesso a esses domínios particulares. Verifique a política do departamento de TI antes de usar o DNS público do Google no seu computador do escritório.
Em que países o DNS público do Google está disponível?
Ele está disponível para usuários da Internet em todo o mundo, embora sua experiência possa variar muito de acordo com sua localização específica.
O DNS público do Google funciona com todos os ISPs?
O DNS público do Google funciona com a maioria dos ISPs, supondo que você tenha acesso para alterar as configurações de DNS da sua rede.
Preciso usar os dois endereços IP DNS públicos do Google?
É possível usar o Google como seu serviço principal com apenas um dos endereços IP. No entanto, não especifique o mesmo endereço que os servidores primário e secundário.
Qual é a ordem mais específica para os endereços IP?
A ordem não importa. O IP pode ser o servidor de nomes principal ou secundário.
Qual é o SLA do serviço?
Não há contrato de nível de serviço (SLA, na sigla em inglês) para o serviço sem custo financeiro de DNS público do Google.
Estou executando um ISP. Posso redirecionar meus usuários para o DNS público do Google?
Os ISPs que quiserem usar o DNS público do Google precisarão seguir as instruções do ISP para ver se precisam fazer algo antes de enviar consultas para o DNS público do Google.
Como posso receber suporte da equipe de DNS público do Google?
Recomendamos que você participe dos nossos Grupos do Google para receber atualizações úteis da equipe e fazer perguntas. Se você encontrar um problema e quiser informá-lo, consulte Como relatar problemas para ver os procedimentos.
Benefícios técnicos
Como o DNS público do Google sabe para onde enviar minhas consultas?
O roteamento Anycast direciona suas consultas para o servidor DNS público do Google mais próximo. Para mais informações sobre o roteamento Anycast, consulte a entrada da Wikipédia.
O DNS público do Google usa registros do servidor de nomes (NS, na sigla em inglês) publicados na zona raiz do DNS e em zonas de domínios de nível superior para encontrar os nomes e endereços dos servidores DNS autoritativos de qualquer domínio. Alguns desses servidores de nomes também usam roteamento Anycast.
Onde seus servidores estão localizados atualmente?
Os servidores DNS públicos do Google estão disponíveis no mundo todo. Há duas respostas para essa pergunta. Uma delas é para clientes e outra para os servidores DNS, de onde o DNS público do Google recebe as respostas retornadas aos clientes.
Quando os clientes enviam consultas para o DNS público do Google, eles são roteados para o local
mais próximo que anuncia o endereço Anycast usado (8.8.8.8, 8.8.4.4 ou um dos
endereços IPv6 em 2001:4860:4860::). Os locais específicos que anunciam
esses endereços Anycast mudam devido às condições da rede e à carga do tráfego e
incluem quase todos os principais data centers e pontos de presença (PoPs)
da rede de borda do Google.
O DNS público do Google envia consultas para servidores confiáveis a partir de data centers principais e locais da região do Google Cloud. O Google publica uma lista dos intervalos de endereços IP que o DNS público do Google pode usar para consultar servidores DNS confiáveis (nem todos os intervalos na lista são usados). É possível usá-la para geolocalização de consultas DNS sem dados de sub-rede do cliente EDNS (ECS, na sigla em inglês) e para configurar ACLs para permitir taxas de consulta mais altas do DNS público do Google.
Além dessas perguntas frequentes, o Google também publica a lista como um registro DNS "TXT". O Google atualiza as duas fontes semanalmente com adições, modificações e remoções. Cada entrada do intervalo de endereços IP inclui o código IATA do aeroporto mais próximo. A automação para dados GeoIP ou ACLs precisa acessar esses dados por DNS, não por meio de extração dessa página da Web (veja um exemplo abaixo).
Locais dos intervalos de endereços IP que o DNS público do Google usa para enviar consultas
Como receber dados de local programaticamente
É possível buscar os intervalos de endereços como um arquivo JSON:
curl https://www.gstatic.com/ipranges/publicdns.json
É possível usar o script Python a seguir para criar uma lista de intervalos de endereços IP que o DNS público do Google usará para fazer consultas a servidores DNS autoritativos.
Esses dados também estão disponíveis em locations.publicdns.goog. como um registro TXT.
No entanto, o tamanho dos dados significa que os registros TXT do DNS não são mais um formato
adequado. Estamos substituindo o registro TXT pelo arquivo JSON descrito acima. Se você estiver usando o registro TXT, mude para o arquivo JSON,
porque planejamos remover o registro TXT.
Linha de comando
Use curl e a ferramenta jq para extrair os intervalos de IP DNS público do Google na linha de comando.
curl https://www.gstatic.com/ipranges/publicdns.json | jq '.prefixes[] | .ipv4Prefix // .ipv6Prefix '
Isso requer o seguinte :
- Instale o cliente HTTP de linha de comando curl.
- Instale o processador JSON de linha de comando jq
Python
É possível usar o script Python a seguir para criar uma lista de intervalos de endereços IP usados pelo DNS público do Google.
#!/usr/bin/env python3
"""An example to fetch and print the Google Public DNS IP ranges."""
import ipaddress
import json
import urllib.request
publicdns_url = 'https://www.gstatic.com/ipranges/publicdns.json'
def read_url(url):
try:
s = urllib.request.urlopen(url).read()
return json.loads(s)
except urllib.error.HTTPError:
print('Invalid HTTP response from %s' % url)
return {}
except json.decoder.JSONDecodeError:
print('Could not parse HTTP response from %s' % url)
return {}
def main():
publicdns_json = read_url(publicdns_url)
print('{} published: {}'.format(publicdns_url,
publicdns_json.get('creationTime')))
locations = dict()
ipv4, ipv6 = set(), set()
for e in publicdns_json['prefixes']:
if e.get('ipv4Prefix'):
ip = ipaddress.IPv4Network(e.get('ipv4Prefix'), strict=False)
ipv4.add(ip)
if e.get('ipv6Prefix'):
ip = ipaddress.IPv6Network(e.get('ipv6Prefix'), strict=False)
ipv6.add(ip)
locations[ip] = e.get('scope')
print('IP ranges used by Google Public DNS for contacting '
'authoritative DNS servers:')
for i in list(ipv4) + list(ipv6):
print(i, locations[i])
if __name__ == '__main__':
main()
No macOS, esse script requer o ambiente de execução do Python 3 configurado da seguinte maneira:
- Instale a versão atual do ambiente de execução do Python 3 para macOS.
- Execute o
Install Certificates.commandincluído na pasta Python na pasta Aplicativos para instalar uma lista de certificados raiz confiáveis (cert.pem) para uso no ambiente de execução do Python. SubstituaVERSIONpela versão do Python que você instalou (como3.8):sudo "/Applications/Python
VERSION/Install Certificates.command"
O DNS público do Google é baseado em software de código aberto, como o BIND?
O DNS público do Google é a própria implementação dos padrões de DNS do Google.
Há planos para liberar o código DNS público do Google como software de código aberto?
No momento, não há planos para abrir o DNS público do Google. No entanto, detalhamos todas as etapas que tomamos para aumentar a velocidade, a segurança e a conformidade com os padrões.
O DNS público do Google aceita IPv6?
O DNS público do Google tem endereços IPv6 para solicitações de entrada de clientes com conectividade IPv6 e responde a todas as solicitações de endereços IPv6, retornando registros AAAA, se houver. Oferecemos suporte completo a servidores de nomes autoritativos somente IPv6. Os endereços do resolvedor IPv6 são fornecidos nas instruções para começar a usar o DNS público do Google.
Talvez você não veja resultados IPv6 para sites do Google. Para otimizar a experiência do usuário, o Google só exibe registros AAAA para clientes com boa conectividade IPv6. Essa política é totalmente independente do DNS público do Google e é aplicada pelos servidores de nomes autoritativos do Google. Para mais informações, consulte a página Google sobre IPv6.
Para redes e sistemas somente IPv6, é possível usar o DNS664 público do Google para acessar registros AAAA sintetizados para nomes de domínio com registros A, mas sem registros AAAA. Esses registros AAAA sintetizados direcionam os clientes somente IPv6 para um gateway NAT64 usando um prefixo IPv6 conhecido reservado para o serviço NAT64. Basta configurar seus sistemas seguindo as instruções dos primeiros passos, substituindo os endereços do resolvedor pelo configuração IPv6 do DNS64.
O DNS público do Google aceita o protocolo DNSSEC?
O DNS público do Google é um resolvedor de validação e com reconhecimento de segurança. Todas as respostas das zonas assinadas com DNSSEC são validadas, a menos que os clientes definam explicitamente a sinalização de CD nas solicitações de DNS para desativar a validação.
Como posso saber se estou usando as DNSSEC?
Para fazer um teste simples, acesse http://www.dnssec-failed.org/. Este site foi configurado especificamente para retornar um erro de DNS devido a uma cadeia de autenticação corrompida. Se você receber uma mensagem de erro, isso significa que não está usando as DNSSEC.
Como o DNS público do Google lida com pesquisas que falham na validação das DNSSEC?
Se o DNS público do Google não puder validar uma resposta (devido a configurações incorretas, registros RRSIG ausentes ou incorretos etc.), ele retornará uma resposta de erro (SERVFAIL). No entanto, se o impacto for significativo (por exemplo, um domínio muito conhecido está falhando na validação), poderemos desativar temporariamente a validação na zona até que o problema seja corrigido.
Como posso saber por que um determinado domínio falha na validação das DNSSEC?
O Verisign Labs' DNS Analyzer e o Sandia National Laboratories' DNSViz são duas ferramentas de visualização de DNSSEC que mostram a cadeia de autenticação de DNSSEC para qualquer domínio. Eles mostram onde as falhas ocorrem e são úteis para procurar a origem das falhas das DNSSEC.
O DNS público do Google está exibindo dados antigos. Posso forçar a atualização dos dados?
Use a ferramenta Flush Cache para atualizar o cache do DNS público do Google para tipos de registros comuns e a maioria dos nomes de domínio. Você não precisa comprovar a propriedade do domínio para limpá-lo, mas precisa resolver um reCAPTCHA que restrinja o abuso automatizado do serviço.
A limpeza de qualquer tipo de registro de um domínio registrado ou subdelegado com registros NS não apenas remove as respostas em cache do tipo, mas também limpa as informações de delegação sobre os servidores de nomes desse domínio.
Quando você tiver alterado recentemente os servidores de nomes
ao alterar registradores ou provedores de hospedagem de DNS,
é essencial fazer isso antes de limpar subdomínios como www,
para que eles não sejam atualizados em dados desatualizados nos servidores DNS antigos.
Se o DNS público do Google retornar respostas com registros CNAME desatualizados, você precisará transferir o tipo de registro CNAME de cada domínio CNAME, começando pelo último CNAME na cadeia, e trabalhando de volta com o nome consultado. Depois de limpar todos os CNAMEs, limpe os nomes consultados com todos os tipos de registro que estejam respondendo com o CNAME desatualizado.
Existem algumas limitações para o que pode ser limpo:
Os domínios que usam a sub-rede cliente de EDNS (ECS, na sigla em inglês) para geolocalização não podem ser limpos. Para qualquer domínio que use ECS, defina TTLs para registros ativados para ECS curtos o suficiente (15 minutos ou menos) para que você nunca precise limpá-los.
A única maneira de transferir todos os subdomínios ou tipos de registro de um nome de domínio é transferir cada tipo de registro para cada nome de domínio que você quer transferir. Se isso não for prático, você sempre pode esperar que os TTLs do registro expirem. Eles geralmente são limitados a seis horas, mesmo que o TTL real seja maior.
Para limpar nomes de domínio internacionalizados, como
пример.example, use o formato punycode (xn‑‑e1afmkfd.examplepara o exemplo acima). Os domínios com caracteres diferentes de ASCII, dígitos, hífen ou sublinhado não podem ser limpos.
O DNS público do Google protege o chamado "quot;last-hop"" ao criptografar a comunicação com os clientes?
O tráfego DNS tradicional é transportado por UDP ou TCP sem criptografia. Também fornecemos DNS via TLS e DNS via HTTPS, que criptografa o tráfego entre clientes e DNS público do Google. Acesse https://dns.google.
Por que precisamos de DNS por HTTPS se já temos as DNSSEC?
DNS por HTTPS e DNSSEC são complementares. O DNS público do Google usa DNSSEC para autenticar respostas de servidores de nomes sempre que possível. No entanto, para autenticar com segurança uma resposta TCP ou UDP tradicional pelo DNS público do Google, um cliente precisa repetir a validação das DNSSEC, o que é feito por muitos resolvedores de clientes. O DNS por HTTPS criptografa o tráfego entre os resolvedores de stub e o DNS público do Google, além de complementar as DNSSEC para fornecer pesquisas de DNS autenticadas de ponta a ponta.
Posso usar ferramentas para testar o desempenho do DNS público do Google em comparação com o de outros serviços de DNS?
Há muitas ferramentas disponíveis sem custo financeiro que podem ser usadas para medir o tempo de resposta do DNS público do Google. Recomendamos o Namebench. Seja qual for a ferramenta usada, execute-a em um grande número de domínios (mais de 5.000) para garantir resultados estatisticamente significativos. Embora os testes demorem mais para serem executados, o uso de um mínimo de 5.000 domínios garante que a variabilidade devido à latência da rede (perda e retransmissões de pacotes) seja minimizada e que o cache de nomes grandes do DNS público do Google seja exaustivo.
Para definir o número de domínios no Namebench, use a opção da GUI Número de testes
ou a sinalização de linha de comando -t.
Consulte a documentação do Namebench para ver mais informações.
Quando eu execute ping ou traceroute nos resolvedores de DNS público do Google, a latência de resposta é maior do que a de outros serviços. Isso significa que o DNS público do Google é sempre mais lento?
Além do tempo de ping, também é preciso considerar o tempo médio para resolver um nome. Por exemplo, se o ISP tiver um tempo de ping de 20 ms, mas um tempo médio de resolução de nome de 500 ms, o tempo médio de resposta geral será de 520 ms. Se o DNS público do Google tiver um tempo de ping de 300 ms, mas resolver vários nomes em 1 ms, o tempo médio geral de resposta será de 301 ms.
Como o DNS público do Google funciona com a geolocalização do CDN?
Muitos sites que fornecem multimídia de download ou streaming hospedam o conteúdo com redes de distribuição de conteúdo (CDNs) de terceiros baseadas em DNS, como a Akamai. Quando um resolvedor de DNS consulta um servidor de nomes autoritativo para um endereço IP de CDN, o servidor de nomes retorna o endereço mais próximo (na distância da rede) para o resolvedor, não o usuário. Em alguns casos, para os resolvedores baseados em ISP e os resolvedores públicos, como o DNS público do Google, o resolvedor pode não estar próximo aos usuários. Nesses casos, a experiência de navegação pode demorar um pouco. O DNS público do Google não é diferente dos outros provedores de DNS nesse quesito.
Para ajudar a reduzir a distância entre servidores DNS e usuários, o DNS público do Google implantou seus servidores em todo o mundo. Em especial, os usuários na Europa precisam ser direcionados para servidores de conteúdo da CDN na Europa, os usuários na Ásia devem ser direcionados para servidores de CDN na Ásia, e os usuários no leste, central e oeste dos EUA precisam ser direcionados para servidores de CDN nessas regiões. Também publicamos estas informações para ajudar os CDNs a fornecer bons resultados de DNS para usuários multimídia.
Além disso, o DNS público do Google usa uma solução técnica chamada sub-rede cliente DNS, conforme descrito no RFC. Isso permite que os resolvedores transmitam parte do endereço IP do cliente (os primeiros 24/56 bits ou menos para IPv4/IPv6, respectivamente) como o IP de origem na mensagem DNS, para que os servidores de nomes possam retornar resultados otimizados com base na localização do usuário em vez de no resolvedor.
Privacidade
Que informações são registradas quando o Google usa o serviço de DNS público do Google?
A página de privacidade do DNS público do Google tem uma lista completa de informações que coletamos. O DNS público do Google está em conformidade com a principal Política de Privacidade do Google, disponível na nossa Central de privacidade.
Seu endereço IP do cliente é registrado apenas temporariamente (apagado em um ou dois dias), mas as informações sobre ISPs e locais no nível de cidade/metro são mantidas por mais tempo para tornar nosso serviço mais rápido, melhor e mais seguro.
Alguma das informações coletadas é armazenada na minha Conta do Google?
Nenhum dado armazenado está associado a nenhuma Conta do Google.
O Google compartilha as informações coletadas no serviço de DNS público do Google com alguém de fora?
Não, exceto em circunstâncias limitadas descritas na Política de Privacidade do Google, como processos judiciais e solicitações governamentais aplicáveis. Consulte também o Google Relatório de Transparência sobre solicitações de dados do usuário.
O Google correlaciona ou combina informações de registros temporários ou permanentes com alguma informação pessoal que forneci ao Google para outros serviços?
Como mencionado na página de privacidade, não combinamos nem correlacionamos dados de registro dessa maneira.