General
¿Qué es Google Public DNS?
El DNS público de Google es un servicio de resolución de sistema de nombres de dominio (DNS) global y gratuito que puedes usar como alternativa a tu proveedor de DNS actual.
¿Por qué Google está trabajando en un servicio de DNS?
Creemos que una infraestructura de DNS más rápida y segura podría mejorar significativamente la experiencia de navegación web. Google Public DNS realizó muchas mejoras en las áreas de velocidad, seguridad y validez de los resultados. Compartimos estas mejoras en nuestra documentación para contribuir a una conversación continua dentro de la comunidad web.
¿Puedo usar el DNS público de Google para alojar mi nombre de dominio?
El DNS público de Google no es un servicio de alojamiento de DNS autorizado y no se puede usar como tal. Si buscas un servidor de nombres autorizado, programable y de gran volumen con la infraestructura de Google, prueba Cloud DNS de Google.
¿El DNS público de Google ofrece la capacidad de bloquear o filtrar sitios no deseados?
El DNS público de Google es un servidor de almacenamiento en caché y resolución de DNS. No realiza bloqueo ni filtrado de ningún tipo, excepto para ciertos dominios en casos poco frecuentes, en los que ocurre lo siguiente:
- creemos que es necesario para proteger a los usuarios de Google de las amenazas de seguridad
- si estamos legalmente obligados a bloquear un dominio o dominios específicos. (obtén más información en la página Bloqueo).
Sin embargo, creemos que el cliente suele ser la mejor opción para bloquear la funcionalidad. Si te interesa habilitar esa funcionalidad, deberías considerar instalar una aplicación del cliente o un complemento de navegador para este propósito.
¿Hay alguna dependencia entre productos con el DNS público de Google?
Google Public DNS es un servicio independiente.
¿Necesito una Cuenta de Google para usar el DNS público de Google?
No se requiere ninguna cuenta para usar el DNS público de Google.
¿En qué se diferencia el DNS público de Google del servicio de DNS de mi ISP o de otros agentes de resolución de DNS abiertos? ¿Cómo puedo saber si es mejor?
Los resolvers abiertos y tu ISP ofrecen servicios de resolución de DNS. Te invitamos a probar el DNS público de Google como tu resolución de DNS principal o secundaria, junto con cualquier otro servicio de DNS alternativo. Hay muchos aspectos que debes tener en cuenta cuando identificas un solucionador de DNS que te funcione, como la velocidad, la confiabilidad, la seguridad y la validez de las respuestas. A diferencia del DNS público de Google, algunos ISP y agentes de resolución abiertos bloquean, filtran o redireccionan las respuestas de DNS con fines comerciales. Consulta también la respuesta a la pregunta ¿El DNS público de Google ofrece la capacidad de bloquear o filtrar sitios no deseados?.
¿Cómo maneja el DNS público de Google los dominios inexistentes?
Si realizas una consulta para un nombre de dominio que no existe, el DNS público de Google siempre muestra un registro NXDOMAIN, según los estándares del protocolo DNS. El navegador debería mostrar esta respuesta como un error de DNS. En cambio, si recibes una respuesta que no sea un mensaje de error (por ejemplo, se te redirecciona a otra página), esto podría ser el resultado de lo siguiente:
- Una aplicación del cliente, como un complemento del navegador, muestra una página alternativa para un dominio inexistente.
- Algunos ISP pueden interceptar y reemplazar todas las respuestas NXDOMAIN con respuestas que dirigen a sus propios servidores. Si te preocupa que tu ISP intercepte solicitudes o respuestas del DNS público de Google, comunícate con él.
¿Se usará el DNS público de Google para publicar anuncios en el futuro?
Nos comprometemos a preservar la integridad del protocolo DNS. El DNS público de Google nunca mostrará la dirección de un servidor de anuncios para un dominio que no exista.
¿Qué es DNS-over-HTTPS (DoH)?
Resolución de DNS a través de una conexión HTTPS encriptada DNS por HTTPS mejora en gran medida la privacidad y la seguridad entre un agente de resolución de stub y un agente de resolución recursivo, y complementa DNSSEC para proporcionar búsquedas de DNS autenticadas de extremo a extremo.
Uso y asistencia
Ahora uso otro servicio de DNS. ¿Puedo usar también el DNS público de Google?
Puedes configurar el DNS público de Google como tu agente de resolución de DNS principal o secundario, junto con tu agente de resolución de DNS actual. Recuerda que los sistemas operativos tratan a los agentes de resolución de DNS de manera diferente: algunos prefieren tu agente de resolución de DNS principal y solo usan el secundario si el principal no responde, mientras que otros usan el método round-robin entre cada uno de los agentes de resolución.
Si hay diferencias en la seguridad o el filtrado entre los resolvers configurados, obtendrás el nivel de seguridad o filtrado más débil de todos los resolvers. Es posible que, en ocasiones, el filtrado de NXDOMAIN o el redireccionamiento a páginas de bloqueo funcionen, pero SERVFAIL no bloquea los dominios, a menos que todos los resolutores muestren SERVFAIL.
¿El DNS público de Google es adecuado para todos los tipos de dispositivos compatibles con Internet?
El DNS público de Google se puede usar en cualquier dispositivo de red que cumpla con los estándares. Si encuentras alguna situación en la que el DNS público de Google no funcione correctamente, avísanos.
¿Puedo ejecutar el DNS público de Google en la computadora de mi oficina?
Algunas oficinas tienen redes privadas que te permiten acceder a dominios a los que no puedes acceder fuera del trabajo. El uso del DNS público de Google podría limitar tu acceso a estos dominios privados. Consulta la política de tu departamento de TI antes de usar el DNS público de Google en la computadora de tu oficina.
¿En qué países está disponible el DNS público de Google?
Está disponible para los usuarios de Internet de todo el mundo, aunque tu experiencia puede variar mucho según tu ubicación específica.
¿El DNS público de Google funciona con todos los ISP?
El DNS público de Google debería funcionar con la mayoría de los ISP, siempre que tengas acceso para cambiar la configuración de DNS de tu red.
¿Debo usar ambas direcciones IP del DNS público de Google?
Puedes usar Google como servicio principal con solo usar una de las direcciones IP. Sin embargo, asegúrate de no especificar la misma dirección para los servidores primario y secundario.
¿Tiene alguna importancia en qué orden especifico las direcciones IP?
El orden no es importante. Cualquier IP puede ser tu servidor de nombres principal o secundario.
¿Cuál es el ANS del servicio?
No hay un Acuerdo de Nivel de Servicio (ANS) para el servicio gratuito de DNS público de Google.
Tengo un ISP. ¿Puedo redireccionar a mis usuarios al DNS público de Google?
Los ISP que deseen usar el DNS público de Google deben seguir las instrucciones del ISP para ver si necesitan hacer algo antes de enviar consultas al DNS público de Google.
¿Cómo puedo obtener asistencia del equipo de DNS público de Google?
Te recomendamos que te unas a nuestros Grupos de Google para obtener actualizaciones útiles del equipo y realizar cualquier pregunta que tengas. Si tienes un problema y deseas informarlo, consulta Cómo informar problemas para conocer los procedimientos.
Técnico
¿Cómo sabe el DNS público de Google dónde enviar mis consultas?
El enrutamiento Anycast dirige tus consultas al servidor DNS público de Google más cercano. Para obtener más información sobre el enrutamiento anycast, consulta la entrada de Wikipedia.
El DNS público de Google usa registros de servidor de nombres (NS) publicados en la zona raíz del DNS y las zonas de los dominios de nivel superior para encontrar los nombres y las direcciones de los servidores de DNS que son autorizados para cualquier dominio. Algunos de esos servidores de nombres también usan el enrutamiento anycast.
¿Dónde se encuentran tus servidores actualmente?
Los servidores de Google Public DNS están disponibles en todo el mundo. Hay dos respuestas a esta pregunta, una para clientes y otra para los servidores DNS de los que el DNS público de Google obtiene las respuestas que muestra a los clientes.
Cuando los clientes envían consultas al DNS público de Google, se enrutan a la ubicación más cercana que anuncia la dirección anycast utilizada (8.8.8.8, 8.8.4.4 o una de las direcciones IPv6 en 2001:4860:4860::). Las ubicaciones específicas que anuncian estas direcciones anycast cambian debido a las condiciones de la red y la carga de tráfico, y abarcan casi todos los centros de datos principales y los puntos de presencia (PoP) de Edge en la red de Edge de Google.
El DNS público de Google envía consultas a servidores confiables desde los centros de datos principales y las ubicaciones de las regiones de Google Cloud. Google publica una lista de los rangos de direcciones IP que el DNS público de Google puede usar para consultar servidores DNS autorizados (no se usan todos los rangos de la lista). Puedes usarlo para la geolocalización de consultas de DNS que no tienen datos de subred cliente de EDNS (ECS) y para configurar ACL para permitir tasas de consulta más altas desde el DNS público de Google.
Además de estas preguntas frecuentes, Google también publica la lista como un registro DNS “TXT”. Google actualiza ambas fuentes semanalmente con adiciones, modificaciones y eliminaciones. Cada entrada de rango de direcciones IP incluye el código IATA del aeropuerto más cercano. La automatización de los datos de GeoIP o las ACL debe obtener estos datos a través del DNS, no mediante el raspado de esta página web (consulta a continuación para ver un ejemplo).
Ubicaciones de los rangos de direcciones IP que el DNS público de Google usa para enviar consultas
Cómo obtener datos de ubicación de manera programática
Los rangos de direcciones se pueden recuperar de la siguiente manera:
Un archivo JSON:
curl https://www.gstatic.com/ipranges/publicdns.jsonUn feed de ubicación geográfica RFC 8805
curl https://www.gstatic.com/ipranges/publicdns_geofeed.txt
Puedes usar la siguiente secuencia de comandos de Python para crear una lista de rangos de direcciones IP que usará el DNS público de Google para realizar consultas a servidores DNS autorizados.
Estos datos también están disponibles en locations.publicdns.goog. como un registro TXT.
Sin embargo, el tamaño de los datos significa que los registros TXT de DNS ya no son un formato apropiado. Reemplazaremos el registro TXT por el archivo en formato JSON que se describió
arriba. Si usas el registro TXT, cambia al archivo JSON, ya que planeamos quitar el registro TXT en algún momento en el futuro.
Línea de comandos
Puedes usar curl y la herramienta jq para extraer los rangos de IP del DNS público de Google desde la línea de comandos.
curl https://www.gstatic.com/ipranges/publicdns.json | jq '.prefixes[] | .ipv4Prefix // .ipv6Prefix '
Para ello, se requiere lo siguiente :
- Instala el cliente HTTP de línea de comandos curl.
- Instala el procesador JSON de la línea de comandos de jq.
Python
Puedes usar la siguiente secuencia de comandos de Python para crear una lista de rangos de direcciones IP que usa el DNS público de Google.
#!/usr/bin/env python3 """An example to fetch and print the Google Public DNS IP ranges.""" import ipaddress import json import urllib.request publicdns_url = 'https://www.gstatic.com/ipranges/publicdns.json' def read_url(url): try: s = urllib.request.urlopen(url).read() return json.loads(s) except urllib.error.HTTPError: print('Invalid HTTP response from %s' % url) return {} except json.decoder.JSONDecodeError: print('Could not parse HTTP response from %s' % url) return {} def main(): publicdns_json = read_url(publicdns_url) print('{} published: {}'.format(publicdns_url, publicdns_json.get('creationTime'))) locations = dict() ipv4, ipv6 = set(), set() for e in publicdns_json['prefixes']: if e.get('ipv4Prefix'): ip = ipaddress.IPv4Network(e.get('ipv4Prefix'), strict=False) ipv4.add(ip) if e.get('ipv6Prefix'): ip = ipaddress.IPv6Network(e.get('ipv6Prefix'), strict=False) ipv6.add(ip) locations[ip] = e.get('scope') print('IP ranges used by Google Public DNS for contacting ' 'authoritative DNS servers:') for i in list(ipv4) + list(ipv6): print(i, locations[i]) if __name__ == '__main__': main()
Para macOS, esta secuencia de comandos requiere un entorno de ejecución de Python 3 configurado de la siguiente manera:
- Instala la versión actual del entorno de ejecución de Python 3 para macOS.
- Ejecuta el
Install Certificates.commandincluido desde la carpeta de Python en tu carpeta de aplicaciones para instalar una lista de certificados raíz de confianza (cert.pem) que usarás en el entorno de ejecución de Python. ReemplazaVERSIONpor la versión de Python que instalaste (como3.8):sudo "/Applications/Python
VERSION/Install Certificates.command"
¿El DNS público de Google se basa en software de código abierto, como BIND?
El DNS público de Google es la propia implementación de los estándares de DNS de Google.
¿Hay planes para lanzar el código del DNS público de Google como software de código abierto?
Por el momento, no hay planes para que el DNS público de Google sea de código abierto. Sin embargo, detallamos todos los pasos que tomamos para aumentar la velocidad, la seguridad y el cumplimiento de los estándares.
¿El DNS público de Google admite IPv6?
El DNS público de Google tiene direcciones IPv6 para las solicitudes entrantes de los clientes con conectividad IPv6, responde a todas las solicitudes de direcciones IPv6 y muestra registros AAAA si existen. Admitimos por completo los servidores de nombres autorizados solo para IPv6. Las direcciones del agente de resolución IPv6 se proporcionan en las instrucciones para comenzar a usar el DNS público de Google.
Ten en cuenta que es posible que no veas resultados de IPv6 para los sitios web de Google. Para optimizar la experiencia del usuario, Google solo entrega registros AAAA a clientes con buena conectividad IPv6. Esta política es completamente independiente del DNS público de Google y la aplican los servidores de nombres autorizados de Google. Para obtener más información, consulta la página Google a través de IPv6.
En el caso de las redes y los sistemas solo IPv6, puedes usar el DNS64 público de Google para obtener registros AAAA sintetizados para nombres de dominio con registros A, pero sin registros AAAA. Estos registros AAAA sintetizados dirigen a los clientes solo IPv6 a una puerta de enlace NAT64 con un prefijo IPv6 conocido reservado para el servicio NAT64. Para configurar tus sistemas, sigue las instrucciones de introducción y reemplaza las direcciones del agente de resolución por la configuración IPv6 de DNS64.
¿El DNS público de Google es compatible con el protocolo DNSSEC?
El DNS público de Google es un agente de resolución de validación que tiene en cuenta la seguridad. Todas las respuestas de las zonas firmadas de DNSSEC se validan, a menos que los clientes establezcan de forma explícita la marca CD en las solicitudes de DNS para inhabilitar la validación.
¿Cómo puedo saber si estoy usando DNSSEC?
Puedes realizar una prueba sencilla en http://www.dnssec-failed.org/. Este sitio se configuró específicamente para mostrar un error de DNS debido a una cadena de autenticación dañada. Si no recibes un error, significa que no estás usando DNSSEC.
¿Cómo maneja el DNS público de Google las búsquedas que no pasan la validación de DNSSEC?
Si el DNS público de Google no puede validar una respuesta (debido a una configuración incorrecta, registros RRSIG faltantes o incorrectos, etcétera), mostrará una respuesta de error (SERVFAIL). Sin embargo, si el impacto es significativo (p.ej., si falla la validación de un dominio muy popular), es posible que inhabilitemos temporalmente la validación en la zona hasta que se solucione el problema.
¿Cómo puedo saber por qué un dominio determinado no pasa la validación de DNSSEC?
DNS Analyzer de Verisign Labs y DNSViz de Sandia National Laboratories son dos herramientas de visualización de DNSSEC que muestran la cadena de autenticación de DNSSEC para cualquier dominio. Muestran dónde se producen las interrupciones y son útiles para buscar la fuente de los errores de DNSSEC.
El DNS público de Google publica datos antiguos. ¿Puedo forzar la actualización de los datos?
Puedes usar la herramienta Flush Cache para actualizar la caché del DNS público de Google para los tipos de registro comunes y la mayoría de los nombres de dominio. No necesitas demostrar la propiedad del dominio para borrarlo, pero debes resolver un reCAPTCHA que restringe el abuso automatizado del servicio.
La limpieza de cualquier tipo de registro de un dominio que hayas registrado o subdelegido con registros NS no solo limpia las respuestas almacenadas en caché para el tipo, sino que también limpia la información de delegación sobre los servidores de nombres para ese dominio.
Cuando cambiaste los servidores de nombres recientemente (cambiando registradores o proveedores de hosting de DNS), es fundamental hacerlo antes de borrar subdominios como www, de modo que no se actualicen a partir de datos inactivos en tus servidores de DNS anteriores.
Si el DNS público de Google muestra respuestas con registros CNAME inactivos, debes borrar el tipo de registro CNAME de cada dominio CNAME, comenzando por el último CNAME de la cadena y volviendo al nombre consultado. Después de limpiar todos los CNAME, limpia los nombres consultados con cualquier tipo de registro que responda con el CNAME inactivo.
Existen algunas limitaciones sobre lo que se puede borrar:
No se pueden borrar los dominios que usan la subred de cliente EDNS (ECS) para la geolocalización. Para los dominios que usan ECS, establece TTL para los registros habilitados para ECS lo suficientemente cortos (15 minutos o menos) para que nunca tengas que borrarlos.
La única forma de limpiar todos los subdominios, o todos los tipos de registros de un nombre de dominio, es limpiar cada tipo de registro para cada nombre de dominio que deseas limpiar. Si esto no es práctico, siempre puedes esperar a que venza el registro de TTL (por lo general, se limita a seis horas, incluso si el TTL real es más largo).
Para borrar nombres de dominio internacionalizados, como
пример.example, usa el formato Punycode (xn‑‑e1afmkfd.examplepara el ejemplo anterior). No se pueden borrar los dominios con caracteres distintos de letras, dígitos, guiones o guiones bajos ASCII.
¿El DNS público de Google protege el denominado “último salto” mediante la encriptación de la comunicación con los clientes?
El tráfico de DNS tradicional se transporta a través de UDP o TCP sin encriptación. También proporcionamos DNS por TLS y DNS por HTTPS, que encripta el tráfico entre los clientes y Google Public DNS. Puedes probarlo en https://dns.google.
¿Por qué necesitamos DNS-over-HTTPS si ya tenemos DNSSEC?
DNS-over-HTTPS y DNSSEC son complementarios. El DNS público de Google usa DNSSEC para autenticar las respuestas de los servidores de nombres siempre que sea posible. Sin embargo, para autenticar de forma segura una respuesta UDP o TCP tradicional del DNS público de Google, un cliente tendría que repetir la validación de DNSSEC, lo que actualmente hacen muy pocos agentes de resolución de clientes. DNS por HTTPS encripta el tráfico entre los agentes de resolución de stub y el DNS público de Google, y complementa DNSSEC para proporcionar búsquedas de DNS autenticadas de extremo a extremo.
¿Existen herramientas que pueda usar para probar el rendimiento del DNS público de Google en comparación con el de otros servicios de DNS?
Existen muchas herramientas disponibles de forma gratuita que puedes usar para medir el tiempo de respuesta del DNS público de Google. Te recomendamos Namebench. Independientemente de la herramienta que uses, debes ejecutarla en una gran cantidad de dominios (más de 5,000) para garantizar resultados significativos a nivel estadístico. Si bien las pruebas tardan más en ejecutarse, el uso de un mínimo de 5, 000 dominios garantiza que se minimice la variabilidad debida a la latencia de la red (pérdida y retransmisión de paquetes) y que se ejecute por completo la caché de nombres grandes del DNS público de Google.
Para establecer la cantidad de dominios en Namebench, usa la opción Cantidad de pruebas de la GUI o la marca de línea de comandos -t. Para obtener más información, consulta la documentación de Namebench.
Cuando ejecuto ping o traceroute en los solucionadores de DNS público de Google, la latencia de la respuesta es mayor que la de otros servicios. ¿Esto significa que el DNS público de Google siempre es más lento?
Además del tiempo de ping, también debes considerar el tiempo promedio para resolver un nombre. Por ejemplo, si tu ISP tiene un tiempo de ping de 20 ms, pero un tiempo promedio de resolución de nombres de 500 ms, el tiempo de respuesta promedio general es de 520 ms. Si el DNS público de Google tiene un tiempo de ping de 300 ms, pero resuelve muchos nombres en 1 ms, el tiempo de respuesta promedio general es de 301 ms. Para obtener una mejor comparación, te recomendamos que pruebes las resoluciones de nombres de un conjunto grande de dominios.
¿Cómo funciona el DNS público de Google con la geolocalización de CDN?
Muchos sitios que proporcionan contenido multimedia descargable o en transmisión alojan su contenido con redes de distribución de contenido (CDN) de terceros basadas en DNS, como Akamai. Cuando un solucionador de DNS consulta un servidor de nombres autorizado para la dirección IP de una CDN, el servidor de nombres muestra la dirección más cercana (en distancia de red) al solucionador, no al usuario. En algunos casos, es posible que los solucionadores basados en ISP, así como los solucionadores públicos, como Google Public DNS, no estén cerca de los usuarios. En esos casos, la experiencia de navegación podría ralentizarse un poco. El DNS público de Google no es diferente de otros proveedores de DNS en este sentido.
Para ayudar a reducir la distancia entre los servidores DNS y los usuarios, Google Public DNS implementó sus servidores en todo el mundo. En particular, se debe dirigir a los usuarios de Europa a los servidores de contenido de CDN en Europa; a los usuarios de Asia, a los servidores de CDN de Asia, y a los usuarios del este, centro y oeste de EE.UU., a los servidores de CDN de esas respectivas regiones. También publicamos esta información para ayudar a las CDN a proporcionar buenos resultados de DNS para los usuarios de contenido multimedia.
Además, Google Public DNS usa una solución técnica llamada subred cliente de EDNS, como se describe en la RFC. Esto permite que los solucionadores pasen parte de la dirección IP del cliente (los primeros 24/56 bits o menos para IPv4/IPv6, respectivamente) como la IP de origen en el mensaje de DNS, de modo que los servidores de nombres puedan mostrar resultados optimizados en función de la ubicación del usuario en lugar de la del solucionador.
Privacidad
¿Qué información registra Google cuando uso el servicio de DNS público de Google?
En la página de privacidad de Google Public DNS, se incluye una lista completa de la información que recopilamos. El DNS público de Google cumple con la política de privacidad principal de Google, disponible en nuestro Centro de Privacidad.
La dirección IP de tu cliente solo se registra de forma temporal (se borra en uno o dos días), pero la información sobre los ISP y las ubicaciones a nivel de la ciudad o la zona metropolitana se conserva por más tiempo para que nuestro servicio sea más rápido, mejor y más seguro.
¿Alguna de la información recopilada se almacena en mi Cuenta de Google?
No se asocian datos almacenados con ninguna Cuenta de Google.
¿Google comparte la información que recopila del servicio de DNS público de Google con alguien ajeno a Google?
No, excepto en las circunstancias limitadas que se describen en la Política de Privacidad de Google, como los procesos legales y las solicitudes gubernamentales obligatorias. (consulta también el Informe de transparencia de Google sobre las solicitudes de datos de usuarios).
¿Google correlaciona o combina información de registros temporales o permanentes con información personal que le proporcioné para otros servicios?
Como se indica en la página de privacidad, no combinamos ni correlacionamos los datos de registro de esta manera.