Siempre soy favorable al uso de servicios de DNS públicos antes que los DNS del proveedor de internet (ISP), pero siempre desde el punto de vista de que los que usado aportan un extra a la resolución sin filtrado del estilo de Google o Cloudflare. Es decir, soy totalmente favorable al uso de estos DNS públicos pero en el caso de los que añaden protección antimalware, los que añaden bloqueo publicitario o panel de usuario con opciones y estadísticas o filtrado parental.
El tema a tratar esta vez se refiere a cuando se va a usar DNSs de resolución sin filtrado, lo mas normal es Google o Cloudflare. En este caso tenemos por un lado los DNSs sin filtrado de estos dos servicios y por otro la opción de siempre que es usar los DNS del proveedor de internet. En este tema con los años tenemos se ha visto una mejora palpable en los DNS de los proveedores de, no se si todos, pero mínimo algunos proveedores de internet.
Se ha podido observar una mejora palpable en los tiempos de resolución de peticiones no cacheadas, es decir, aunque siempre hemos tenido proveedores de internet con DNS de velocidades muy similares a los grandes DNSs públicos, estas velocidades eran mas bien en las peticiones cacheadas, siendo mas lentos en las peticiones no cacheadas y también, en estos proveedores de internet, sin grandes caches al estilo los servicios de DNSs públicos.
Actualmente se puede observar en los DNSBenchmark que los DNS de los proveedores de internet se han acercado mucho a las velocidades de los grandes servicios públicos. En esta prueba voy a mostrar los datos de mi proveedor que, desde principios de este año, paso a ser Movistar, O2 para ser exactos, y los voy a comparar con Cloudflare. También se ha podido observar otra cosa, con el paso de los años, y es que los DNS de los proveedores de internet han ido ganando en fiabilidad y resistencia a fallos, posiblemente por una ampliación de infraestructuras.
No incluyo a los DNS de Google en esta prueba ya que desde hace un tiempo, por algún motivo que desconozco, me está dando unos resultados de velocidad de resolución mas lentos de lo que debería ser lo normal y, por consiguiente, mas lentos que Movistar o Cloudflare.
CLOUDFLARE – DNSBENCHMARK
Este es el resultado de la utilidad DNSBench de Steve Gibson, una software muy conocido y utilizado. En el se pueden observar los tiempos de las peticiones cacheadas y no cacheadas. En ellos podemos ver que las peticiones cacheadas van entre 8 y 10ms, con una media de 8ms. Las peticiones no cacheadas se mueven entre 10ms y 270ms con una medida de 59ms.
MOVISTAR – DNSBENCHMARK
En esta otra tabla podemos ver los resultados del DNS Benchmark de Movistar, en este caso las peticiones cacheadas se mueven entre 9 y 12ms con una media de 9ms. Las peticiones no cacheadas dan unos resultados de entre 18 y 213ms con una medida de 56ms.
COMPARATIVA DNSBENCHMARK
Como se puede observar en las dos tablas anteriores los resultados son muy parecidos, en realidad casi idénticos. No se va a notar diferencia alguna en peticiones cacheadas, que de media sale Movistar solo 1ms mas lento y 2ms si tomamos el peor caso que pudiera darse para Movistar respecto al peor también para Cloudflare.
En el caso de las peticiones no cacheadas aquí de media es 3ms mas rápido Movistar, con una velocidad mínima 8ms mas lenta que Cloudflare pero por contra con una velocidad en el peor de los casos 37ms mas rápida.
En esta comparación hay que fijarse en las peticiones no cacheadas, que son las que van a ser mas lentas, ya que las peticiones cacheadas si que nos va a dar igual. Pero tampoco hay que darle mas importancia de la que tiene, es decir, esa diferencia obtenida sería el peor de los casos, con lo que al final la velocidad media también es muy similar, solamente una diferencia de 3ms entre ambos a favor de Movistar.
CLOUDFLARE – INFRAESTRUCTURA EN ESPAÑA
Para esta prueba vamos a utilizar mismamente la web DNSCheck.tools, hay varias webs conocidas que hacen lo mismo pero en este caso vamos a utilizar esta ya que nos va a mostrar hosts IPv4 e IPv6 así como, en el caso de Movistar, del total cuales son en Barcelona. Esta herramienta nos va a mostrar los hosts que responden a las peticiones, la IP principal siempre es una, pero luego hay una red de hosts y recibiremos la respuesta del mas rápido en responder. Cloudflare tiene servidores en Madrid o Barcelona, a mi, en ubicación, me responden los de Madrid y no aparecen mas. En esta captura podemos ver como Cloudflare tiene una infraestructura de 4 hosts en Madrid tanto como para IPv4 como para IPv6.
MOVISTAR – INFRAESTRUCTURA EN ESPAÑA
Realizamos la misma prueba usando los DNS de Movistar y la misma web nos responde con lo siguiente, no hay dudas, la infraestructura de Movistar resolviendo desde Madrid es mucho mayor, concretamente un total de 18 hosts para IPv4, de los cuales 5 son en Cataluña, el resto en Madrid y otros tantos 18 hosts para IPv6.
COMPARATIVA DE INFRAESTRUCTURA
En cuando a la infraestructura en España, y aunque diéramos por supuesto que en el caso de Cloudflare hubiera otros 4 hosts en Cataluña que no me están respondiendo a la prueba, el resultado es claro, la infraestructura de Movistar es mucho mas potente. Al ser una infraestructura mas grande se podría responder mejor ante casos una eventual caída de varios servidores DNS.
PRIVACIDAD
En el caso de la privacidad hay dos puntos a tener en cuenta, son dos puntos fáciles de entender. Lo primero que tenemos, en lo referente a la privacidad, es que el proveedor de internet no necesita interceptar datos de resoluciones DNS para nada, el proveedor, por otros medios, ya sabe por donde navegamos. En cambio si utilizamos otro tipo de servicios públicos, políticas de privacidad que tengan a parte, ya estamos dando a terceros nuestros datos.
Por otra parte, todo tiene su pero, si necesitamos un servidor DNS con peticiones privadas y encriptadas, en lo que se refiere a posibles intercepciones sobre todo dentro de nuestra propia red, entonces el DNS de nuestro proveedor no nos va a servir ya que no ofrecen todavía servidores DNS over TLS (DOT) o DNS over HTTPS (DOH). La diferencia entre ambos es que el primero no se pueden ver las peticiones pero si pueden ser bloqueadas, y en el caso del segundo las peticiones van mezcladas con el tráfico HTTPs con lo que no se pueden bloquear ya que se bloquearía la navegación al completo.
SERVICIOS DE DNS PÚBLICO CON EXTRAS AÑADIDOS
Servicios de DNS público con algún extra añadido a la resolución pura y dura tenemos bastantes, a continuación voy a poner varios enlaces a mis pruebas realizadas a varios de ellos. Todos ellos funcionan perfectamente y realizan su función muy bien. Como se suele decir, luego ya cuestión de gustos, por que opciones hay bastantes y de gran calidad.
– AdGuard DNS: Servicio especializado en bloqueo publicitario y rastreadores.
– CleanBrowsing DNS: Varios niveles de filtrado y versión de pago.
– Cloudflare DNS: Nuevo DNS público con varias preconfiguraciones.
– Control D: Nuevo servicio DNS personalizable y con resolución desde España.
– DNS0.eu: Nuevo servicio de DNS público, europeo, privado y seguro.
– Mullvad DNS: Servidores DOH/DOT con varios niveles de filtrado.
– NextDNS: Servicio con personalización de perfiles, dispositivos y muchas opciones.
– Quad9 DNS: Excelente protección antimalware sin falsos positivos.
– RethinkDNS: Bloqueo de publicidad y malware por DOH/DOT.
CONCLUSIONES FINALES
Como he dicho al principio, siempre he sido y soy partidario del uso de DNS públicos pero los que añaden un extra a la resolución, ejemplos tenemos en los citados en el apartado anterior. En el caso de resolución sin filtrado, al igual que los DNS del operador, hay también servicios conocidos como Google y Cloudflare, lo cual no quita, como he mostrado en este artículo, para que haya proveedores de internet que también nos están dando servicios DNS de gran calidad y eficiencia.
