Не знаю, как вы, а я везде на своих личных ресурсах и WiFi-маршрутизаторах перешёл на Google DNS (8.8.8.8 и 8.8.4.4). К этому меня подтолкнула в том числе и проблема с DNS-серверами Воли (подтвердить это не могу, но какое-то время один из них не ничего резолвил).
Можно долго рассуждать о приватности и о том, что Google делает с запросами. Да, я думаю, что на основании этих запросов строятся модели поведения пользователей, и это явно используется в бизнесе Google. Но в данном случае я отношусь к категории “неуловимых Джо” - мне абсолютно безразлично, что обо мне собирают данные таким образом, так как моя модель поведения в Интернет легальна и не отличается от миллионов других пользователей.
Сегодня я решил протестировать скорость работы различных DNS. Тестирование отнюдь не комплексное, я делаю проверку на своём ADSL-соединении. Но и не ставлю перед собой открыть абсолютную истину - каждый выбирает решение для своих условий и задач, и для этого есть полезный инструмент бенчмаркинга DNS - Namebench (Open Source, есть версии под Mac OS X 10.5+, Win и Unix). Ещё сделаю замечание, что это тестирование я отнюдь не делаю “на злобу дня” - тесты проводились многими сразу же после анонса Google DNS, мне же стало интересно самому попробовать.
Я указал для проверки DNS-сервер провайдера (192.168.99.1 транслирует запросы на один из них), DNS Google (8.8.8.8, 8.8.4.4), а сама система автоматически добавила публичные сервера (OpenDNS, UltraDNS, etc). За 5 минут работы система протестировала 11 серверов и сгенерировала файл html с результатами.
Анализировать не буду, хотя записи “www.paypal.com. hijacked (‘Re-Request in TCP\000’)” достаточно любопытны. Вполне возможно, что DNS-сервер ns2.life.ua подвержен DNS spoofing’у, и в комбинации с SSL bypass трафик пользователей на тот же paypal может очень эффективно утекать к “злоумышленникам”.
По крайней мере я увидел, что Google DNS хоть и не самые быстрые, но держат средние позиции. А по надёжности и актуальности версии софта на мой личный взгляд они самые лучшие. Поэтому я их выбрал изначально и их же после теста оставляю.
О бизнесе Google я сказал выше - он понятен и честен. А вот бизнес компаний вроде UltraDNS и OpenDNS на мой взгляд сомнителен. Да, они делают хорошее дело - предоставляют всем желающим свои сервера для резолвинга. Но с небольшим бонусом (NXDOMAIN Hijacking). На запросы несуществующих доменов (например, пользователь ошибся) вместо выдачи Name Error (NXDOMAIN) эти компании выдают адрес своего web-сервера:
$ dig @156.154.70.1 cccccccccc.ua cccccccccc.ua. 600 IN A 92.242.140.13 $ dig @208.67.220.220 cccccccccc.ua cccccccccc.ua. 0 IN A 67.215.65.132
Ничего особенного - пользователю выдаётся страница с сообщением о том, что домен не найден и строкой поиска и блоком рекомендуемых ссылок.
Например, UltraDNS:
А OpenDNS меня поразил своей страницей - это уже перебор:
И понятно, что таким образом компании зарабатывают деньги на поддержание сервиса. Но для меня это сродни спаму и я категорически не пользуюсь ни OpenDNS, ни UltraDNS. И я рад, что в нишу публичных DNS-серверов пришёл Google - аналогичную радость я испытывал, когда Apple вышла на рынок с iPhone в противовес классическим производителям мобильных телефонов.
Да… Я хотел всего продемонстрировать программу тестирования производительности DNS. Но сколько волка не корми - он лезет в область безопасности. Тем более, что куда ни ткни, есть огромные дыры. Начиная от инъекции рекламы, заканчивая DNS spoofing’ом/DNS poisoning’ом. Размышляйте - это полезно.