Google Public DNS

Google Public DNS ist ein Domain-Name-System-Dienst, der weltweit von Google angeboten wird. Der Dienst arbeitet als rekursiver Nameserver. Google Public DNS wurde am 3. Dezember 2009 angekündigt, um nach eigener Aussage, das Web schneller und sicherer zu machen.^[1]

Im August 2010 startete Google dann den DNS-Dienst.^[2] Seit 2018 ist er, mit über einer Billion gelieferten Adressen pro Tag, der meistgenutzte öffentliche DNS-Dienst der Welt.^[2] Google Public DNS ist nicht mit dem Google Cloud DNS verwandt, bei dem es sich um einen DNS-Hosting-Dienst handelt.

Dienst[Bearbeiten | Quelltext bearbeiten]

Der Google Public DNS betreibt rekursive Nameserver zur öffentlichen Nutzung unter den folgenden vier IP-Adressen.^[3] Die Adressen werden durch Anycast-Routing auf den nächstgelegenen operativen Server geleitet.

Der Dienst verwendet keine herkömmliche DNS-Nameserver-Software wie BIND, sondern stützt sich auf eine kundenspezifische Implementierung, die den von der IETF festgelegten DNS-Standards entspricht. Er unterstützt das DNSSEC-Protokoll seit dem 19. März 2013 vollständig. Zuvor akzeptierte und leitete Google Public DNS DNSSEC-formatierte Nachrichten weiter, führte jedoch keine Validierung durch.^[4]

Einige DNS-Provider praktizieren DNS-Hijacking bei der Bearbeitung von Anfragen, indem sie Webbrowser auf eine vom Provider betriebene Werbeseite umleiten, wenn ein nicht existierender Domänenname abgefragt wird.^[5] Dies gilt als vorsätzlicher Bruch der DNS-Spezifikation. Der Google-Dienst antwortet korrekt mit einer nicht existierenden Domain (NXDOMAIN).^[6]

Der Google-Dienst befasst sich auch mit der DNS-Sicherheit. Ein üblicher Angriffsvektor ist es, in einen DNS-Dienst einzugreifen, um eine Umleitung von Webseiten von legitimen zu bösartigen Servern zu erreichen. Laut Googles eigener Aussage betreibt der Dienst Bemühungen gegen DNS spoofing, einschließlich gegen Angriffe mit Hilfe der Kaminsky Schwachstelle und Denial-of-Service-Angriffen resistent zu sein.^[7]

Google gibt verschiedene Effizienz- und Geschwindigkeitsvorteile an,^[8] wie z. B. die Verwendung von Anycast-Routing, um Nutzeranfragen an das nächstgelegene Rechenzentrum zu senden, Over-Provisioning von Servern zur Bewältigung von Denial-of-Service-Angriffen und Lastausgleichsserver unter Verwendung von zwei Cache-Ebenen mit einem kleinen Cache pro Host, der die beliebtesten Namen enthält und einem weiteren Pool von Servern, der nach dem nachzuschlagenden Namen partitioniert ist. Dieser Cache der zweiten Ebene reduziert die Fragmentierung und die Cache-Fehltrefferrate, die durch eine Erhöhung der Anzahl der Server entstehen können.

Im Juni 2021 stuft DNSPerf Google Public DNS als den viertschnellsten öffentlichen DNS-Resolver weltweit ein, hinter Cloudflares 1.1.1.1, DNSFilter und OpenDNS.^[9]

DNS64[Bearbeiten | Quelltext bearbeiten]

Der Google Public DNS64 Dienst betreibt rekursive Nameserver zur öffentlichen Nutzung unter den folgenden zwei IP-Adressen zur Verwendung mit NAT64.^[10] Diese Server sind mit DNS over HTTPS kompatibel.

Datenschutz[Bearbeiten | Quelltext bearbeiten]

Google selbst gibt an, dass aus Performance- und Sicherheitsgründen die abgefragte IP-Adresse temporär für 24–48 Stunden gespeichert wird, die Angaben zum Internetdienstanbieter und zum Standort jedoch dauerhaft auf ihren Servern gespeichert werden.^[11]

Gemäß den allgemeinen Datenschutzerklärung & Nutzungsbedingungen von Google heißt es zwar: „Unter Umständen werden die durch uns erhobenen Daten zu den oben beschriebenen Zwecken dienst- und geräteübergreifend kombiniert.“ (Google: Datenschutzerklärung & Nutzungsbedingungen). In den Richtlinien von Google Public DNS heißt es jedoch ausdrücklich: “We do not correlate or associate personal information in Google Public DNS logs with your information from use of any other Google service except for addressing security and abuse.” (deutsch: „Wir korrelieren oder verknüpfen Ihre persönlichen Informationen in den Google Public DNS-Protokollen nicht mit Ihren Informationen aus der Nutzung anderer Google-Dienste, es sei denn, es geht um Sicherheit und Missbrauch.“)^[11]

Geschichte[Bearbeiten | Quelltext bearbeiten]

Am 3. Dezember 2009 wurde Google Public DNS im offiziellen Google-Blog von Produktmanager Prem Ramaswami angekündigt.^[12] Zusätzlich erschien ein Post im Google Code Blog.^[13]

Seit Januar 2019 unterstützte Google Public DNS das DNS-over-TLS-Protokoll.^[14]

DNSSEC[Bearbeiten | Quelltext bearbeiten]

Bei der Einführung von Google Public DNS wurde DNSSEC nicht direkt unterstützt. Obwohl RRSIG-Einträge abgefragt werden konnten, war das AD-Flag (Authenticated Data) in der Startversion nicht gesetzt, was bedeutet, dass der Server nicht in der Lage war, Signaturen für alle Daten zu validieren. Dies wurde am 28. Januar 2013 aktualisiert, als die DNS-Server von Google unbemerkt mit der Bereitstellung von DNSSEC-Validierungsinformationen begannen,^[15] allerdings nur, wenn der Client bei seiner Abfrage explizit das DNSSEC OK (DO)-Flag gesetzt hatte.^[16] Dieser Dienst, der ein client-seitiges Flag erfordert, wurde am 6. Mai 2013 standardmäßig durch eine vollständige DNSSEC-Validierung ersetzt, was bedeutet, dass alle Abfragen validiert werden, es sei denn, die Clients lehnen dies explizit ab.^[4]

Client Subnetz[Bearbeiten | Quelltext bearbeiten]

Seit Juni 2014 erkennt Google Public DNS automatisch Nameserver, die EDNS-Client-Subnet-Optionen unterstützen, wie sie im IETF-Entwurf definiert sind (durch Sondieren von Nameservern mit einer niedrigen Rate mit ECS-Abfragen und Caching der ECS-Fähigkeit) und wird Anfragen mit ECS-Optionen automatisch an solche Nameserver senden.^[17]

Zensur in der Türkei[Bearbeiten | Quelltext bearbeiten]

Im März 2014 wurde die Nutzung des Google Public DNS in der Türkei blockiert, nachdem es zur Umgehung der am 20. März 2014 per Gerichtsbeschluss in Kraft getretenen Sperrung von Twitter eingesetzt worden war. Die Blockade war das Ergebnis früherer diktatorischer Äußerungen vom damaligen Ministerpräsidenten Recep Tayyip Erdoğan, der geschworen hatte, „Twitter […] werden wir mit der Wurzel ausreißen“ (Recep Tayyip Erdoğan: Spiegel vom 21. März 2014), nachdem er schädliche Korruptionsvorwürfe in seinem inneren Kreis erhoben hatte.^[18] Die Methode wurde populär, nachdem festgestellt worden war, dass zur Durchsetzung des Verbots ein einfacher Domain-Namen-Block verwendet wurde, der durch die Verwendung eines alternativen DNS leicht umgangen werden könnte.^[19] Aktivisten verteilten Informationen über die Nutzung des Dienstes und sprühten die vom Dienst verwendeten IP-Adressen als Graffiti an Gebäude. Nach der Entdeckung dieser Methode ging die Regierung dazu über, die IP-Adresse von Twitter direkt zu blockieren, und Google Public DNS wurde vollständig blockiert.^[20]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

• Quad9
• OpenDNS

Weblinks[Bearbeiten | Quelltext bearbeiten]

• Website von Google Public DNS
• Developer Blog

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Public DNS: Google will das Web beschleunigen. In: Spiegel Online. 4. Dezember 2009, abgerufen am 9. Juli 2020. 
2. ↑ ^{a b} Jens Minor: Happy 8.8.8.8 Birthday: Googles Public DNS 8.8.8.8 feiert Geburtstag & gibt interessante Einblicke. In: googlewatchblog.de. 11. August 2018, abgerufen am 10. Juli 2020. 
3. ↑ Thomas Cloer: 8.8.8.8 und 8.8.4.4: Googles öffentliche DNS-Server ackern. In: computerwoche.de. 16. Februar 2012, abgerufen am 12. Juli 2020. 
4. ↑ ^{a b} Yunhong Gu: Google Online Security Blog: Google Public DNS Now Supports DNSSEC Validation. In: security.googleblog.com. 19. März 2013, abgerufen am 13. Juli 2020. 
5. ↑ Was ist DNS Hijacking? In: ionos.de. 28. Januar 2020, abgerufen am 13. Juli 2020. 
6. ↑ Mr. Dns: What Is NXDOMAIN? In: dnsknowledge.com. 14. Mai 2010, abgerufen am 13. Juli 2020 (englisch). 
7. ↑ Security Benefits  –  Public DNS. In: developers.google.com. Abgerufen am 13. Juli 2020 (englisch). 
8. ↑ Performance Benefits –  Public DNS. In: developers.google.com. Abgerufen am 13. Juli 2020 (englisch). 
9. ↑ DNS Performance - Public DNS Resolver - Raw Performance. In: dnsperf.com. 6. Juni 2021, abgerufen am 6. Juni 2021 (englisch). 
10. ↑ Google Public DNS64  –  Google Developers. In: developers.google.com. Abgerufen am 13. Juli 2020 (englisch). 
11. ↑ ^{a b} Google Public DNS –  Your Privacy. In: developers.google.com. Abgerufen am 13. Juli 2020 (englisch). 
12. ↑ Prem Ramaswami: Official Google Blog: Introducing Google Public DNS. In: googleblog.blogspot.com. 3. Dezember 2010, abgerufen am 13. Juli 2020. 
13. ↑ Prem Ramaswami: Introducing Google Public DNS: A new DNS resolver from Google - The official Google Code blog. In: googlecode.blogspot.com. 3. Dezember 2009, abgerufen am 13. Juli 2020. 
14. ↑ Stefan Beiersmann: Google spendiert seinen öffentlichen DNS-Servern TLS-Verschlüsselung. In: zdnet.de. 10. Januar 2019, abgerufen am 13. Juli 2020. 
15. ↑ nanog: Google's Public DNS does DNSSEC validation. In: seclists.org. 29. Januar 2013, abgerufen am 13. Juli 2020. 
16. ↑ Geoff Huston: DNS, DNSSEC and Google's Public DNS Service. In: CircleID. 17. Juli 2013, abgerufen am 13. Juli 2020 (englisch). 
17. ↑ Shen Wan: Google Public DNS now auto-detects nameservers that support edns-client-subnet. In: groups.google.com. 9. Juni 2014, abgerufen am 13. Juli 2020. 
18. ↑ Twitter in der Türkei abgeschaltet. In: Spiegel Online. 21. März 2014, abgerufen am 13. Juli 2020. 
19. ↑ Pavel Lokshin: Internetsperren: Türkische Provider geben sich als Google aus. In: zeit.de. 1. April 2014, abgerufen am 13. Juli 2020. 
20. ↑ Türkische Internetanbieter manipulieren Google DNS-Server. In: sueddeutsche.de. 1. April 2014, abgerufen am 13. Juli 2020.