QR CodeGoogle oddaje do użytku publiczny serwer DNS

Google zapewnia, że jego serwer jest odporny na znane ataki typu Cache Poisoning, jak choćby ten opisany przez Dana Kaminsky'ego, jak również zagrożenia Denial of Service (DoS). Usługa wykonuje proste kontrole upływu ważności i natychmiast odrzuca podejrzane odpowiedzi innych serwerów nazw. Należą do nich komunikaty nieprawidłowe oraz takie, w których przekazany zwrotnie identyfikator zapytania – źródłowy adres IP lub port albo nazwa zgłoszenia – są niezgodne z parametrami oryginalnego żądania. Niestety, z uwagi na fakt, że te pola danych są stosunkowo krótkie, potencjalny napastnik może za pomocą odpowiednio dużego zbioru spreparowanych odpowiedzi przypadkiem odgadnąć właściwe wartości i podstawić serwerowi fałszywe odwzorowanie nazw.

Ma temu zaradzić dodatkowa entropia – wyjaśnia Google. W związku z tym usługa nie używa standardowego portu 53, lecz dla każdego zapytania losuje inny numer portu. Również w sytuacji, gdy do odpowiedzi na dane zapytanie zgłasza się większa liczba serwerów nazw, usługa określa losowo jeden z nich. Wyższy poziom losowości to także stosowanie w zapytaniach mieszanej pisowni wielkimi i małymi literami, przy czym podczas tłumaczenia nazw różnice te nie mają żadnego znaczenia. Jeśli jednak zapytanie pochodzące od rzekomo odpowiadającego serwera wykazuje różnice w pisowni, odbiorca może je odrzucić jako fałszywkę.

Opisana usługa DNS jest osiągalna pod adresami IP:

* 8.8.8.8
* 8.8.4.4

Pamiętajmy jednak o zanotowaniu aktualnych ustawień serwera nazw, zanim na stałe zmienimy wpisy – ostrzega Google.
Badanie

Polskich użytkowników Internetu może jednak nieco rozczarować fakt, że pakiety wędrujące do serwerów DNS Google'a muszą pokonać trasę zawierającą około 12 węzłów i składającą się z około 8 podsieci należących do czterech różnych operatorów – przyjmując za punkt początkowy sieć Telekomunikacji Polskiej. Oznacza to, że szybkość odpowiedzi usługi będzie ograniczana prędkością wędrówki pakietów od pytającego do serwera i z powrotem, a czasem również prędkością wędrówki między serwerem Google'a a umieszczoną w Polsce usługą DNS odpowiedzialną za przechowywanie informacji o podanej domenie.

Poniżej zamieszczamy wykresy obrazujący czasy odpowiedzi uzyskane z serwera Google'a względem czasów z innych serwerów. W badaniu wykorzystaliśmy zapytania o rekordy IN A dotyczące następujących nazw:

* google.pl,
* nasza-klasa.pl,
* onet.pl,
* allegro.pl,
* youtube.com,
* wp.pl,
* google.com,
* wikipedia.org,
* interia.pl,
* gazeta.pl,
* facebook.com,
* heise-online.pl.

Odpytywaliśmy następujące serwery DNS:

* google-public-dns-a.google.com (Google),
* dns.tpsa.pl (podsieć TPNET),
* dns.dialog.pl (podsieć DIALOG),
* ns.icm.edu.pl (podsieć ICM).

Dla każdego badanego serwera nazw uśredniliśmy czasy wszystkich odpowiedzi. Dodatkowo wykonaliśmy 10 prób oddalonych w czasie i ich wyniki również zostały uśrednione, aby wykluczyć wpływ chwilowych "warunków atmosferycznych" Sieci na wyniki testów.

Na paskach wykresu znajdują się liczby określające czas w milisekundach, jaki potrzebowały pakiety na powrót z odpowiedzią do nadawcy. Na osi X znajdują się czasy odpowiedzi dla kolejnych serwerów DNS, przy czym dzielą się one kolorami na trzy próby, wykonane z różnych lokalizacji. Te lokalizacje to:

* podsieć TPNET Telekomunikacji Polskiej (kolor niebieski),
* podsieć E-Wro Telefonii DIALOG (kolor zielony),
* podsieć HETZNER-RZ niemieckiej firmy Hetzner Online.

Możemy zauważyć, że najlepsze (najmniejsze) czasy odpowiedzi przy badaniach przeprowadzanych z polskich podsieci ma serwer nazw należący do TP SA. Odpowiedzi od systemu Google'a przychodzą z opóźnieniami nawet kilkadziesiąt razy większymi. Sytuacja diametralnie się zmienia, gdy wykonamy badanie, znajdując się w podsieci jednego z niemieckich usługodawców. W tym przypadku serwer Google'a odpowiada najszybciej i pojedyncze porcje informacji docierają do nas zza oceanu w czasie około 7 milisekund.