Google Public DNS

Patrik Wallström, Projektledare, FoU, .SE
2009-12-07 IP och infrastruktur 11

Varje gång Google släpper en ny tjänst börjar hela världen spekulera kring idéerna bakom och vad Googles motiv bakom tjänsten egentligen är. I förra veckan släppte Google en ny tjänst inom den delen av Internet som .SE verkar inom, nämligen en DNS-tjänst. Deras DNS-tjänst ”Google Public DNS”innebär att man kan konfigurera sin dator till att använda den här tjänsten för att få en ”snabbare och säkrare” Internet-upplevelse. Tjänsten ger kort och gott Internet-användare en möjlighet att använda en alternativ namnuppslagsningstjänst, om den man råkar använda inte beter sig tillräckligt bra.

Tyvärr har många Internetoperatörer inte sett DNS som en tjänst som måste vara säker

Men vad innebär då detta? Om jag får spekulera fritt så har Google uppenbarligen sett problem med Internetanvändares befintliga DNS-tjänster, tjänster som traditionellt sett Internetoperatörerna tillhandahållit. Tyvärr har många Internetoperatörer inte sett DNS som en tjänst som måste vara säker, stabil eller snabb, och ofta har den hanterats med vänsterhanden utan tydligt ansvar. Det har dessutom redan tidigare etablerats operatörer som till exempel OpenDNS på området, och som lyckats väl med att få användare som flytt Internetoperatörernas allt sämre DNS-tjänster.

OpenDNS ser naturligtvis det faktum att Google satsar på den här typen av tjänster som ett seriöst hot, eftersom Google är så pass mycket större och uthålligare än en liten spelare som OpenDNS. David Ulevitch, grundare av OpenDNS, kände sig naturligtvis nödgad att omedelbart bemöta Googles tillkännagivande av den här tjänsten i ett blogginlägg. Det finns nämligen några stora skillnader mellan dessa båda tjänster. OpenDNS försöker ge någon form av mervärde i det faktum att de kan manipulera DNS-trafiken, till exempel genom att erbjuda flera former av filtrering av DNS-uppslag. Det kan vara allt från att filtrera bort uppslag till domäner som erbjuder ”vuxet” material, till att förhindra phishing-sajter som försöker att på olika sätt försöker lura användaren på information eller pengar. Om en domän inte existerar (DNS-svaret blir NXDOMAIN, dvs det man försöker slå upp i DNS finns inte i DNS-trädet) så levererar OpenDNS en ”hjälp”-sida, naturligtvis med reklam. Detta beteende kan tyvärr ställa till oreda för andra protokoll än HTTP (som webben använder), som förlitar sig på korrekta NXDOMAIN-svar.

Google är nästan raka motsatsen till OpenDNS. Vad Google Public DNS erbjuder är inte en tjänst som ska ”hjälpa” användaren, utan vad Google vill göra är att få till en riktigt bra DNS-tjänst som användaren faktiskt vill använda. Detta innebär också att Google uttalat väljer att inte filtrera trafik eller skriva om NXDOMAIN. Dessutom kommer de använda sig av DNSSEC när det är ”universally implemented”, vilket jag läser in som att det betyder att de kommer att använda sig av rootens DNSSEC-nycklar när root är signerad, vilket är planerat till juli 2010.

Hur kommer det data om de DNS-uppslag man gör hanteras?

Farhågan är naturligtvis integritets-aspekterna. Hur kommer det data om de DNS-uppslag man gör hanteras? OpenDNS uppger att de lagrar informationen om DNS-frågorna i två veckor medan Google gör distinktionen mellan att lagra klientens IP-adress och data om de frågor man ställer – Google raderar klientens IP-adress efter ett dygn emedan resten av datat förmodligen sparas för evig analys. Man kan med ganska stor säkerhet anta att du med din vanliga ISP inte har en aning om hur de hanterar det data som passerar DNS-uppslagningstjänsten. Här har man åtminstone ett hum om hur de kommer att hantera det, även om de när som helst kan ändra sin policy. Det här betyder ju också att de faktiskt – när de har tillräckligt antal användare – faktiskt kan få för sig att skapa egna TLD:er eller överlag förändra detaljer i hur de hanterar DNS-katalogen. Både OpenDNS och Google (och andra operatörer, som din ISP) kan också när som helst få för sig att sälja statistiken över namnuppslagningar.

Google jobbar ju också på med sitt eget operativsystem Chrome OS. Kommer detta OS komma förkonfigurerat även med Googles DNS-tjänst? Sammanfattningsvis kan man säga att det är positivt att det kommer flera seriösa utmanare till Internetoperatörernas DNS-tjänster – detta kommer på sikt att öka kvaliteten på DNS-tjänsten markant. Vidare är det bra att användarna har möjlighet att använda sig av DNS på ett sätt denne önskar. Men min upplevelse av DNS är att jag vill köra DNS-uppslagning på mina egna maskiner och nät, då det blir absolut snabbast. Inser dock att jag kanske är en expert-användare eftersom detta i princip är mitt jobb.

Etiketter för artikeln

, , , , , , , , , ,

Lyssna på texten

Klicka här för att lyssna på texten.

Lämna en kommentar

Svara på en kommentar

obligatoriskt

obligatoriskt

frivilligt

Om du vill ha en personlig visningsbild intill din kommentar kan du fixa en sådan på gravatar.com. Gratis och enkelt.

Kommentarer

  • Måns 2009-12-07, klockan 14:55

    Patrik, hur ser du på det faktum att alla DNS-uppslag som görs mot Googles resolvrar passerar rikets gräns och därmed är föremål för FRA-analys? Det betyder ju att FRA på detta sätt får veta i princip allt du surfar/mailar/chattar/telnettar/gophrar till, oavsett om det är inom Sverige eller inte.

    Svara
    • Patrik Wallström 2009-12-07, klockan 15:26

      Bryr man sig om sin personliga integritet på den nivån så ska man nog inte använda sig av några alls av Googles tjänster.

      Glöm inte bort att du förmodligen avlyssnas också av andra länders säkerhetstjänster. Och om du får för dig att göra olämpliga saker så har nog de flesta större tjänsteleverantörer färdiga metoder för att lämna ut information om sina användare till både höger och vänster. (Se till exempel det som läckte från Yahoo för ett par dagar sedan.

      Svara
      • Måns 2009-12-07, klockan 15:32

        Så om man har foliehatten på – hur går man till väga för att undvika att ens DNS-uppslag loggas, lagras och delas med diverse underrättelsetjänster? Hjälper det ens att ha en egen resolver?

        Svara
        • Patrik Wallström 2009-12-07, klockan 15:47

          Med en egen resolver har man givetvis störst kontroll över sina DNS-frågor (och det som ligger i cachen!). Men frågor till utländska namnservrar går givetvis fortfarande över den svenska gränsen. Och du förmodligen inte att svenska webbsidor/tjänster kanske beror på utländska namnservrar heller.

          Svara
          • Patrik Wallström 2009-12-08, klockan 10:14

            Och när jag sedan läser sådana här uttalanden från Google själva blir jag lite ledsen… Google chief: only miscreants worry about net privacy … Dvs, den klassiska retoriken om att ha rent mjöl i påsen.

            ”If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place”

            Svara
    • Jörgen 2009-12-08, klockan 13:30

      Mmmm, men Internet känner inte till begreppet landsgränser – faktiskt. Och inte google heller. Att du använder google som resolver innebär inte automatiskt att det är servrar utanför landet som används. Google har ju serverfarmer lite här och där… :-)

      En intresant aspekt blir väl om dom distribuerade farmerna också lever upp till det lokala landets lagar och hur kollar man iså fall det? T.ex lämnar google ut data till NSA från en svensk serverfarm är det ju riktigt allvarligt.

      Svara
  • Patrik Wallström 2009-12-08, klockan 16:15

    Hittade just den här programvaran, som kan vara trevlig för den som har svårt att välja DNS-tjänst (om man bara ser till prestandan):
    http://code.google.com/p/namebench/

    Svara
  • Simon B. 2009-12-08, klockan 18:41

    För den som har Windows (eller Wine) rekommenderar jag https://www.grc.com/dns/benchmark.htm

    Level3 och Google Public DNS är bland de snabbaste.

    För att experimentera med olika dns-servrar (försvinner vid omstart) skriv följande på kommandoraden:
    netsh interface ipv4 set dnsserver name=”Trådlös nätverksanslutning” static 8.8.8.8 primary

    Patrik: du glömde nämna att Google publicerar vilka modifieringar de gjort så att andra DNS-servrar kan apa efter alla bra lösningar. (Och ett tveksamt rykte att deras DNS-mjukvara ska bli open source.)

    Uttalandet av Schmidt — kanske han inte har tänkt igenom demokratiaspekten. Kanske Schmidth menade att det är huvudsakligen omöjligt att vara hemlig, den som har tid och resurser kan alltid spåra i den fysiska världen. Citatet verkar ha redigerats i artikeln, åtminstone för att få till en inflammerande artikelrubrik.

    tor och i2p tros vara i praktiken ospårbara och därmed ett gott alternativ för den som behöver källskydd i nivå med vad vi hade för 10 år sedan.

    Svara
  • Tobbe Eklöv 2009-12-10, klockan 16:09

    Du har rätt Patrik i det du skriver om ”Google uppenbarligen sett problem med Internetanvändares befintliga DNS-tjänster” och min erfarenhet är att det framför allt är mindre operatörer som har dålig koll på sin DNS prestanda och säkerhet.

    Efter SKA-tester av ett öppet stadsnät i Norrbotten visar det sig att fem av fem operatörer inte validerar .se med DNSSEC. Efter påtryckningar aktiverade Bredband2 det snabbt
    medan det går trögt i kommunikationen med de övriga operatörerna.

    En DNS med IP-adressen 8.8.8.8, är det bara jag som får ”Ulla Bella min sekreterare”-rysningar? :)

    /Tobbe

    Svara

Bloggat om artikeln

  • Google blir för personlig — pusher.NET
    2009-12-08, klockan 14:02

    [...] Wallström: Google Public DNS Dela och spara detta [...]

  • Från webben 091216 | Blue Cow Production
    2009-12-16, klockan 14:02

    [...] Google Mycket finns att säga om deras personliga sök, men det mesta har redan sagts om än i växlande ordalag. För egen del har jag inte bestämt mig riktigt om jag tycker det är mest bra eller mest dåligt. Tiden får utvisa vad jag anser… Deras realtidssök ser jag däremot direkt som positivt men är skeptisk till Google DNS [...]