Geral
O que é DNS público do Google?
O DNS público do Google é um serviço de resolução de Sistema de Nomes de Domínio (DNS) global e sem custo financeiro, que pode ser usado como alternativa ao seu provedor de DNS atual.
Por que o Google está trabalhando em um serviço de DNS?
Acreditamos que uma infraestrutura DNS mais rápida e segura pode melhorar significativamente a experiência de navegação na Web. O DNS público do Google fez muitas melhorias nas áreas de velocidade, segurança e validade dos resultados. Compartilhamos essas melhorias na nossa documentação, para contribuir com uma conversa contínua na comunidade da Web.
Posso usar o DNS público do Google para hospedar meu nome de domínio?
O DNS público do Google não é um serviço de hospedagem DNS autoritativo e não pode ser usado como um. Se você estiver procurando um servidor de nomes autoritativo, programável e de alto volume usando a infraestrutura do Google, teste o Cloud DNS.
O DNS público do Google pode bloquear ou filtrar sites indesejados?
O DNS público do Google é um servidor de resolução e armazenamento em cache de DNS. Ele não realiza bloqueios nem filtragens de nenhum tipo, exceto em casos raros, em que:
- Acreditamos que isso é necessário para proteger os usuários do Google contra ameaças de segurança.
- somos obrigados por lei a bloquear um ou mais domínios específicos. Saiba mais na página Bloqueio.
No entanto, acreditamos que o bloqueio de funcionalidades geralmente é melhor realizado pelo cliente. Se você quiser ativar essa funcionalidade, instale um aplicativo do lado do cliente ou um complemento do navegador para essa finalidade.
Há dependências entre produtos com o DNS público do Google?
O DNS público do Google é um serviço independente.
Preciso de uma Conta do Google para usar o DNS público do Google?
O uso do DNS público do Google não exige nenhuma conta.
Qual é a diferença entre o DNS público do Google e o serviço de DNS do meu ISP ou outros resolvedores de DNS abertos? Como saber se é melhor?
Os resolvedores abertos e seu ISP oferecem serviços de resolução de DNS. Recomendamos que você teste o DNS público do Google como seu resolvedor de DNS principal ou secundário com outros serviços de DNS alternativos. Há muitas coisas a considerar ao identificar um resolvedor de DNS que funcione para você, como velocidade, confiabilidade, segurança e validade das respostas. Ao contrário do DNS público do Google, alguns ISPs e resolvedores abertos bloqueiam, filtram ou redirecionam respostas de DNS para fins comerciais. Consulte também a resposta à pergunta O DNS público do Google permite bloquear ou filtrar sites indesejados?.
Como o DNS público do Google lida com domínios inexistentes?
Se você emitir uma consulta para um nome de domínio que não existe, o DNS público do Google sempre vai retornar um registro NXDOMAIN, de acordo com os padrões do protocolo DNS. O navegador vai mostrar essa resposta como um erro de DNS. Se você receber uma resposta que não seja uma mensagem de erro (por exemplo, redirecionamento para outra página), isso pode ser o resultado do seguinte:
- Um aplicativo do lado do cliente, como um plug-in do navegador, está mostrando uma página alternativa para um domínio inexistente.
- Alguns ISPs podem interceptar e substituir todas as respostas do NXDOMAIN por respostas que levam aos próprios servidores. Se você acha que seu ISP está interceptando solicitações ou respostas do DNS público do Google, entre em contato com ele.
O DNS público do Google será usado para veicular anúncios no futuro?
Temos o compromisso de preservar a integridade do protocolo DNS. O DNS público do Google nunca vai retornar o endereço de um servidor de anúncios para um domínio inexistente.
O que é DNS sobre HTTPS (DoH)?
Resolução de DNS em uma conexão HTTPS criptografada. O DNS sobre HTTPS melhora muito a privacidade e a segurança entre um resolvedor stub e um resolvedor recursivo, além de complementar o DNSSEC para fornecer pesquisas de DNS autenticadas de ponta a ponta.
Uso e suporte
Estou usando outro serviço de DNS. Posso usar o DNS público do Google?
É possível definir o DNS público do Google como o resolvedor de DNS principal ou secundário, junto com o resolvedor de DNS atual. Os sistemas operacionais tratam os resolvedores de DNS de maneira diferente: alguns preferem o resolvedor de DNS principal e só usam o secundário se o principal não responder, enquanto outros usam o round-robin entre cada um dos resolvedores.
Se houver diferenças de segurança ou filtragem entre os resolvedores configurados, você terá o nível mais fraco de segurança ou filtragem de todos os resolvedores. A filtragem de NXDOMAIN ou o redirecionamento para páginas de bloqueio podem funcionar às vezes, mas o SERVFAIL não bloqueia domínios, a menos que todos os solucionadores retornem SERVFAIL.
O DNS público do Google é adequado para todos os tipos de dispositivos com Internet?
O DNS público do Google pode ser usado em qualquer dispositivo de rede compatível com os padrões. Se você encontrar alguma situação em que o DNS público do Google não funcione bem, entre em contato conosco.
Posso executar o DNS público do Google no meu computador do escritório?
Alguns escritórios têm redes privadas que permitem acessar domínios que não podem ser acessados fora do trabalho. O uso do DNS público do Google pode limitar seu acesso a esses domínios particulares. Verifique a política do departamento de TI antes de usar o DNS público do Google no seu computador do escritório.
Em quais países o DNS público do Google está disponível?
Ele está disponível para usuários da Internet em todo o mundo, mas sua experiência pode variar muito dependendo da sua localização específica.
O DNS público do Google funciona com todos os ISPs?
O DNS público do Google deve funcionar com a maioria dos ISPs, desde que você tenha acesso para mudar as configurações de DNS da rede.
Preciso usar os dois endereços IP do DNS público do Google?
Você pode usar o Google como serviço principal usando apenas um dos endereços IP. No entanto, não especifique o mesmo endereço para os servidores primário e secundário.
A ordem em que especifico os endereços IP é importante?
A ordem não importa. Qualquer um dos IPs pode ser o servidor de nomes principal ou secundário.
Qual é o SLA do serviço?
Não há contrato de nível de serviço (SLA) para o serviço sem custo financeiro do Google Public DNS.
Estou executando um ISP. Posso redirecionar meus usuários para o DNS público do Google?
Os ISPs que querem usar o DNS público do Google precisam seguir as instruções do ISP para saber se precisam fazer alguma coisa antes de enviar consultas ao DNS público do Google.
Como posso receber suporte da equipe do DNS público do Google?
Recomendamos que você participe dos nossos Grupos do Google para receber atualizações úteis da equipe e fazer perguntas. Se você encontrar um problema e quiser informá-lo, consulte Como informar problemas para ver os procedimentos.
Técnico
Como o DNS público do Google sabe para onde enviar minhas consultas?
O roteamento Anycast direciona suas consultas ao servidor de DNS público do Google mais próximo. Para mais informações sobre roteamento anycast, consulte o artigo da Wikipédia.
O Google Public DNS usa registros de servidor de nomes (NS) publicados na zona raiz do DNS e nas zonas de domínios de nível superior para encontrar os nomes e endereços dos servidores DNS que são autoritativos para qualquer domínio. Alguns desses servidores de nomes também usam o roteamento anycast.
Onde seus servidores estão localizados atualmente?
Os servidores DNS públicos do Google estão disponíveis em todo o mundo. Há duas respostas para essa pergunta, uma para clientes e outra para os servidores DNS de onde o DNS público do Google recebe as respostas que ele retorna aos clientes.
Quando os clientes enviam consultas para o Google Public DNS, elas são roteadas para o local mais próximo
que anuncia o endereço anycast usado (8.8.8.8, 8.8.4.4 ou um dos
endereços IPv6 em 2001:4860:4860::). Os locais específicos que anunciam
esses endereços anycast mudam devido às condições da rede e à carga de tráfego e
incluem quase todos os data centers principais e pontos de presença (PoPs)
na rede de borda do Google.
O Google Public DNS envia consultas para servidores autoritativos de data centers principais e locais de região do Google Cloud. O Google publica uma lista dos intervalos de endereços IP que o DNS público do Google pode usar para consultar servidores DNS autoritativos. Nem todos os intervalos da lista são usados. Você pode usá-lo para a geolocalização de consultas DNS que não têm dados de subrede de cliente EDNS (ECS, na sigla em inglês) e para configurar ACLs para permitir taxas de consulta mais altas do DNS público do Google.
Além dessas perguntas frequentes, o Google também publica a lista como um registro "TXT" do DNS. O Google atualiza as duas fontes semanalmente com adições, modificações e remoções. Cada entrada de intervalo de endereços IP inclui o código IATA do aeroporto mais próximo. A automação de dados de GeoIP ou ACLs precisa receber esses dados por DNS, e não por copiar essa página da Web (confira um exemplo abaixo).
Localizações dos intervalos de endereços IP que o DNS público do Google usa para enviar consultas
Como receber dados de local de maneira programática
Os intervalos de endereços podem ser buscados como:
Um arquivo JSON:
curl https://www.gstatic.com/ipranges/publicdns.jsonUm feed de geolocalização RFC 8805
curl https://www.gstatic.com/ipranges/publicdns_geofeed.txt
Use o script Python a seguir para criar uma lista de intervalos de endereços IP que o DNS público do Google usará para fazer consultas a servidores DNS autoritativos.
Esses dados também estão disponíveis em locations.publicdns.goog. como um registro TXT.
No entanto, o tamanho dos dados significa que os registros TXT do DNS não são mais um formato
adequado. Substituiremos o registro TXT pelo arquivo formatado em JSON descrito
acima. Se você estiver usando o registro TXT, troque para o arquivo JSON, porque planejamos remover o registro TXT em algum momento no futuro.
Linha de comando
É possível usar curl e a ferramenta jq para extrair os intervalos de IP do DNS público do Google
na linha de comando.
curl https://www.gstatic.com/ipranges/publicdns.json | jq '.prefixes[] | .ipv4Prefix // .ipv6Prefix '
Para isso, é necessário :
- Instale o cliente HTTP de linha de comando curl.
- Instale o processador JSON da linha de comando jq.
Python
É possível usar o script Python a seguir para criar uma lista de intervalos de endereços IP usados pelo DNS público do Google.
#!/usr/bin/env python3 """An example to fetch and print the Google Public DNS IP ranges.""" import ipaddress import json import urllib.request publicdns_url = 'https://www.gstatic.com/ipranges/publicdns.json' def read_url(url): try: s = urllib.request.urlopen(url).read() return json.loads(s) except urllib.error.HTTPError: print('Invalid HTTP response from %s' % url) return {} except json.decoder.JSONDecodeError: print('Could not parse HTTP response from %s' % url) return {} def main(): publicdns_json = read_url(publicdns_url) print('{} published: {}'.format(publicdns_url, publicdns_json.get('creationTime'))) locations = dict() ipv4, ipv6 = set(), set() for e in publicdns_json['prefixes']: if e.get('ipv4Prefix'): ip = ipaddress.IPv4Network(e.get('ipv4Prefix'), strict=False) ipv4.add(ip) if e.get('ipv6Prefix'): ip = ipaddress.IPv6Network(e.get('ipv6Prefix'), strict=False) ipv6.add(ip) locations[ip] = e.get('scope') print('IP ranges used by Google Public DNS for contacting ' 'authoritative DNS servers:') for i in list(ipv4) + list(ipv6): print(i, locations[i]) if __name__ == '__main__': main()
No macOS, esse script requer o ambiente de execução do Python 3 configurado da seguinte maneira:
- Instale a versão atual do ambiente de execução do Python 3 para macOS.
- Execute o
Install Certificates.commandincluído na pasta Python na pasta Aplicativos para instalar uma lista de certificados raiz confiáveis (cert.pem) para uso no ambiente de execução do Python. SubstituaVERSIONpela versão do Python instalada (como3.8):sudo "/Applications/Python
VERSION/Install Certificates.command"
O DNS público do Google é baseado em software de código aberto, como o BIND?
O DNS público do Google é a própria implementação dos padrões de DNS feito pelo Google.
Há planos de lançar o código do Google Public DNS como software de código aberto?
No momento, não há planos para tornar o Google Public DNS de código aberto. Mas detalhamos todas as etapas que tomamos para aumentar a velocidade, a segurança e a conformidade com os padrões.
O DNS público do Google oferece suporte a IPv6?
O DNS público do Google tem endereços IPv6 para solicitações recebidas de clientes com conectividade IPv6 e responde a todas as solicitações de endereços IPv6, retornando registros AAAA, se houver. Oferecemos suporte total a servidores de nomes autoritativos somente IPv6. Os endereços do resolvedor IPv6 são fornecidos nas instruções para começar a usar o DNS público do Google.
Talvez você não encontre resultados de IPv6 para sites do Google. Para otimizar a experiência do usuário, o Google só oferece registros AAAA para clientes com boa conectividade IPv6. Essa política é completamente independente do Google Public DNS e é aplicada pelos servidores de nomes autoritativos do Google. Para mais informações, consulte a página Google sobre IPv6.
Para redes e sistemas somente IPv6, use o DNS64 público do Google para receber registros AAAA sintetizados para nomes de domínio com registros A, mas sem registros AAAA. Esses registros AAAA sintetizados direcionam clientes somente IPv6 a um gateway NAT64 usando um prefixo IPv6 conhecido reservado para o serviço NAT64. Basta configurar seus sistemas seguindo as instruções de primeiros passos, substituindo os endereços do resolvedor pela configuração IPv6 do DNS64.
O DNS público do Google oferece suporte ao protocolo DNSSEC?
O DNS público do Google é um resolvedor de validação que considera a segurança. Todas as respostas de zonas assinadas por DNSSEC são validadas, a menos que os clientes definam explicitamente a flag CD nas solicitações de DNS para desativar a validação.
Como posso saber se estou usando as DNSSEC?
Para fazer um teste simples, acesse http://www.dnssec-failed.org/. Este site foi configurado especificamente para retornar um erro de DNS devido a uma cadeia de autenticação corrompida. Se uma mensagem de erro não aparecer, você não está usando o DNSSEC.
Como o DNS público do Google processa pesquisas que falham na validação do DNSSEC?
Se o DNS público do Google não conseguir validar uma resposta (devido a uma configuração incorreta, registros RRSIG ausentes ou incorretos etc.), ele vai retornar uma resposta de erro (SERVFAIL). No entanto, se o impacto for significativo (por exemplo, um domínio muito popular não passar na validação), podemos desativar temporariamente a validação na zona até que o problema seja corrigido.
Como posso descobrir por que um determinado domínio falha na validação das DNSSEC?
O DNS Analyzer da Verisign Labs e o DNSViz do Sandia National Laboratories são duas ferramentas de visualização do DNSSEC que mostram a cadeia de autenticação do DNSSEC para qualquer domínio. Eles mostram onde as falhas ocorrem e são úteis para pesquisar a origem das falhas do DNSSEC.
O DNS público do Google está exibindo dados antigos. Posso forçar a atualização dos dados?
Use a ferramenta Limpar cache para atualizar o cache do DNS público do Google para tipos de registro comuns e a maioria dos nomes de domínio. Não é necessário comprovar a propriedade do domínio para limpar, mas é necessário resolver um reCAPTCHA que restringe o abuso automatizado do serviço.
O descarte de qualquer tipo de registro de um domínio registrado ou subdelegado
com registros NS não apenas descarta as respostas em cache do tipo,
mas também as informações de delegação sobre os servidores de nomes desse domínio.
Quando você tiver mudado os servidores de nomes recentemente
(alterando registradores ou provedores de hospedagem de DNS)
é fundamental fazer isso antes de limpar subdomínios como www,
para que eles não sejam atualizados com dados desatualizados nos servidores de DNS antigos.
Se o Google Public DNS estiver retornando respostas com registros CNAME desatualizados, você precisará limpar o tipo de registro CNAME para cada domínio CNAME, começando pelo último CNAME na cadeia e voltando ao nome consultado. Depois de transferir todos os CNAMEs, limpe os nomes consultados com qualquer tipo de registro que esteja respondendo com o CNAME desatualizado.
Há algumas limitações sobre o que pode ser apagado:
Os domínios que usam a sub-rede de cliente EDNS (ECS, na sigla em inglês) para geolocalização não podem ser limpos. Para domínios que usam ECS, defina TTLs para registros ativados por ECS curtos o suficiente (15 minutos ou menos) para que você nunca precise fazer a limpeza deles.
A única maneira de limpar todos os subdomínios ou todos os tipos de registro de um nome de domínio é limpar cada tipo de registro para cada nome de domínio que você quer limpar. Se isso não for prático, você pode esperar até que os TTLs de registro expirem. Eles geralmente são limitados a seis horas, mesmo que o TTL real seja mais longo.
Para limpar nomes de domínio internacionalizados, como
пример.example, use o formulário punycode (xn‑‑e1afmkfd.exampleno exemplo acima). Domínios com caracteres diferentes de letras ASCII, dígitos, hífen ou sublinha não podem ser apagados.
O DNS público do Google protege o chamado "último salto" criptografando a comunicação com os clientes?
O tráfego DNS tradicional é transportado por UDP ou TCP sem criptografia. Também fornecemos DNS por TLS e DNS por HTTPS, que criptografa o tráfego entre clientes e o DNS público do Google. Acesse: https://dns.google.
Por que precisamos do DNS sobre HTTPS se já temos o DNSSEC?
O DNS sobre HTTPS e o DNSSEC são complementares. O DNS público do Google usa o DNSSEC para autenticar respostas de servidores de nomes sempre que possível. No entanto, para autenticar com segurança uma resposta UDP ou TCP tradicional do DNS público do Google, um cliente precisa repetir a validação do DNSSEC, o que poucos resolvedores de cliente fazem atualmente. O DNS por HTTPS criptografa o tráfego entre resolvedores stub e o DNS público do Google e complementa o DNSSEC para fornecer pesquisas DNS autenticadas de ponta a ponta.
Há ferramentas que eu possa usar para testar o desempenho do DNS público do Google em relação ao de outros serviços DNS?
Há muitas ferramentas disponíveis sem custo financeiro para medir o tempo de resposta do DNS público do Google. Recomendamos o Namebench. Independentemente da ferramenta usada, execute-a em um grande número de domínios (mais de 5.000) para garantir resultados estatisticamente significativos. Embora os testes demorem mais para serem executados, o uso de um mínimo de 5.000 domínios garante que a variabilidade devido à latência da rede (perda de pacotes e retransmissão) seja minimizada e que o cache de nomes grande do Google Public DNS seja usado completamente.
Para definir o número de domínios no Namebench, use a opção Number of tests
da GUI ou a flag de linha de comando -t.
Consulte a documentação do Namebench para mais informações.
Quando executo ping ou traceroute nos resolvedores de DNS público do Google, a latência da resposta é maior que a de outros serviços. Isso significa que o DNS público do Google é sempre mais lento?
Além do tempo de ping, você também precisa considerar o tempo médio para resolver um nome. Por exemplo, se o ISP tiver um tempo de ping de 20 ms, mas um tempo médio de resolução de nome de 500 ms, o tempo médio de resposta será de 520 ms. Se o DNS público do Google tiver um tempo de ping de 300 ms, mas resolver muitos nomes em 1 ms, o tempo médio de resposta será de 301 ms. Para uma comparação melhor, recomendamos testar as resoluções de nome de um grande conjunto de domínios.
Como o DNS público do Google funciona com a geolocalização do CDN?
Muitos sites que oferecem multimídia para download ou streaming hospedam o conteúdo com redes de distribuição de conteúdo (CDNs) de terceiros baseadas em DNS, como a Akamai. Quando um resolvedor DNS consulta um servidor de nomes autoritativo para o endereço IP de um CDN, o servidor de nomes retorna o endereço mais próximo (na distância da rede) ao resolvedor, não ao usuário. Em alguns casos, para resolvedores baseados em ISP e resolvedores públicos, como o DNS público do Google, o resolvedor pode não estar próximo dos usuários. Nesses casos, a experiência de navegação pode ficar um pouco mais lenta. O DNS público do Google não é diferente de outros provedores de DNS nesse aspecto.
Para ajudar a reduzir a distância entre servidores DNS e usuários, o DNS público do Google implantou seus servidores em todo o mundo. Em particular, os usuários na Europa precisam ser direcionados para servidores de conteúdo da CDN na Europa, os usuários na Ásia precisam ser direcionados para servidores da CDN na Ásia, e os usuários no leste, centro e oeste dos EUA precisam ser direcionados para servidores da CDN nessas respectivas regiões. Também publicamos essas informações para ajudar as CDNs a fornecer bons resultados de DNS para usuários de multimídia.
Além disso, o DNS público do Google usa uma solução técnica chamada EDNS Client Subnet, conforme descrito no RFC. Isso permite que os resolvedores transmitam parte do endereço IP do cliente (os primeiros 24/56 bits ou menos para IPv4/IPv6, respectivamente) como o IP de origem na mensagem DNS, para que os servidores de nomes possam retornar resultados otimizados com base na localização do usuário, e não do resolvedor.
Privacidade
Quais informações o Google registra quando eu uso o serviço de DNS público do Google?
A página de privacidade do DNS público do Google tem uma lista completa das informações que coletamos. O DNS público do Google está em conformidade com a Política de Privacidade principal do Google, disponível na Central de Privacidade.
Seu endereço IP do cliente é registrado apenas temporariamente (e apagado em um ou dois dias), mas as informações sobre ISPs e locais de cidade/região metropolitana são mantidas por mais tempo para tornar nosso serviço mais rápido, melhor e mais seguro.
As informações coletadas são armazenadas na minha Conta do Google?
Nenhum dado armazenado está associado a uma Conta do Google.
O Google compartilha as informações coletadas do serviço de DNS público do Google com alguém fora do Google?
Não, exceto nas circunstâncias limitadas descritas na Política de Privacidade do Google, como processos judiciais e solicitações governamentais obrigatórias. Consulte também o Relatório de Transparência do Google sobre solicitações de dados do usuário.
O Google correlaciona ou combina informações de registros temporários ou permanentes com informações pessoais que eu forneci para outros serviços?
Como a página de privacidade indica, não combinamos nem correlacionamos dados de registro dessa forma.