DNS Google : Comment et pourquoi utiliser les serveurs DNS de Google ?

Il ne s’agit pas seulement d’un guide de mise en place de l’utilisation des DNS Google mais surtout d’une analyse approfondie de leur fonctionnement et de ce qu’il y a derrière.

Les serveurs DNS : qu’est ce que c’est?

Lorsque vous surfez sur le Web et tapez n’importe quelle adresse mnémonique dans votre navigateur, la requête passe toujours par un serveur DNS (Domain Name System) qui résout le domaine et détermine quelle adresse IP (IPv4 et/ou IPv6) lui est associée.

Toute autre application installée sur le système, donc pas nécessairement le navigateur web, qui utilise non pas l’adresse IP mais une adresse mnémonique pour se connecter à un serveur distant, transmettra également la demande de résolution du nom de domaine via un DNS.

Chaque système connecté au réseau Internet est identifié par une adresse IP publique unique, de plus une adresse mnémonique peut indiquer une ou plusieurs adresses IP.
Les serveurs DNS de Google, comme tous les autres DNS utilisés au niveau planétaire, sont responsables de la résolution des noms de domaine. Les DNS Google sont grandement utilisé car intégrer dans un grand nombre d’application.

Sous Windows, essayez d’ouvrir l’invite de commande à l’aide de la combinaison de touches Windows+R, puis tapez cmd. A l’invite, tapez ce qui suit :

nslookup www.google.fr

Le serveur DNS utilisé par le système que vous utilisez fournira les adresses IP publiques associées à l’adresse mnémonique www.google.fr (la première, dans ce cas, est une adresse IPv6 tandis que la seconde est la traditionnelle IPv4) :

En copiant l’adresse IPv4 dans la barre d’adresse du navigateur, le serveur de Google traite la demande et la redirige automatiquement vers la page d’accueil du moteur de recherche.

Comment les noms de domaine sont résolus avec le DNS?

Chaque fois que vous tapez une adresse mnémonique dans la barre d’adresse de votre navigateur, vous vérifiez d’abord le contenu du fichier HOSTS du système local puis vous passez au cache DNS du système d’exploitation.

Si la correspondance de l’adresse IP n’est pas déjà connue localement, le système interroge le serveur DNS défini par l’utilisateur (dans les paramètres de l’interface réseau ou au niveau du modem DHCP routeur/serveur). Si le serveur DNS demandé ne connaît pas l’adresse IP correspondant au nom de domaine donné, alors le mécanisme dit de récursivité est activé : commencez par la racine en interrogeant un des serveurs racine dans le domaine de premier niveau, vous obtenez le serveur qui le gère, puis procédez à une requête dans le domaine de second niveau jusqu’au serveur faisant autorité pour le nom souhaité.

Que signifie « Réponse d’un serveur non-autoritaire » et que sont les serveurs DNS faisant autorité ?

Dans la plupart des cas, en tapant nslookup suivi du nom de domaine à vérifier, vous obtiendrez une réponse d’un serveur non autorisé. C’est un message tout à fait normal qui indique que la résolution du domaine a été faite par un serveur DNS « commun », et non par le serveur faisant autorité.

Chaque domaine Internet repose sur un DNS faisant autorité qui a le pouvoir de communiquer à tous les autres qui est l’IP correcte associée à l’adresse mnémonique correspondant au nom de domaine lui-même.

Ceux qui gèrent un site web avec leur propre nom de domaine savent très bien que lorsqu’ils changent d’hébergeur, il est nécessaire de demander au serveur DNS d’associer l’IP sur laquelle le serveur web écoute le nouveau fournisseur avec leur propre adresse mnémonique (domaine).

Le changement, une fois que le DNS faisant autorité pour le domaine a été correctement défini, doit alors se propager automatiquement à tous les serveurs DNS du monde entier.

En utilisant un service WHOIS, vous pouvez vous renseigner sur les serveurs DNS faisant autorité pour n’importe quel domaine. Tapez simplement l’adresse mnémonique qui vous intéresse, puis faites défiler jusqu’à Nameservers.

Si vous tapez nslookup www.google.fr ns1.google.com, le message Reply from a non-authoritative server n’apparaît plus.

Les sites Web de plus grande taille et à fort trafic utilisent un système d’équilibrage de charge. Les DNS faisant autorité fournissent différentes adresses IP pointant vers différentes machines au sein d’une même infrastructure (locale ou distribuée) de sorte que les requêtes de connexion au système client sont triées de manière assez homogène et qu’il n’y a aucun risque de congestion ou de surcharge du serveur web.

DNS Google : quels sont ses avantages ?

Habituellement, les utilisateurs, en particulier ceux qui utilisent le routeur modem fourni par l’opérateur de télécommunications, utilisent sans le savoir les serveurs DNS du même fournisseur.

En fait, le routeur modem communique ces serveurs à tous les appareils connectés au réseau local via Ethernet ou câble WiFi en utilisant un protocole appelé DHCP.

Les serveurs DNS Google, comme beaucoup d’autres peut être considéré comme un DNS alternatif et sont parmi les serveurs DNS les plus rapides.

L’utilisation d’un serveur DNS alternatif (les serveurs de Mountain View sont aussi connus sous le nom de Google Public DNS car ils peuvent être utilisés publiquement, c’est-à-dire utilisés par n’importe quel utilisateur sur la surface de la terre, avec n’importe quel appareil et avec n’importe quelle connexion) présente plusieurs avantages.

Changer de DNS et choisir, par exemple, le DNS de Google vous permet de surfer d’abord sur le web sans censure. Certains sites Web dont l’accès a été bloqué au niveau DNS local par des fournisseurs français sont régulièrement accessibles par des machines qui utilisent Google DNS, OpenDNS, Cloudflare ou autres.

Dans le cas de sites bloqués au niveau du DNS français, en fait, au lieu de l’adresse IP réelle, vous obtenez 127.0.0.0.1 dans la réponse fournie par la commande nslookup. Ainsi, ni le navigateur ni les autres applications ne peuvent atteindre les serveurs qui correspondent à l’adresse mnémonique spécifiée.

La structure réseau sur laquelle sont basés les serveurs Google DNS ou Cloudflare DNS permet une résolution plus rapide des noms de domaine tandis que dans le cas d’OpenDNS il est même possible, comme mentionné ci-dessus, d’activer des filtres pour bloquer ou visiter certains sites.

Le DNS Google vous permet de minimiser les latences entre la demande de résolution d’un domaine et l’envoi de son IP au client. La couverture des serveurs DNS Google est presque globale afin de placer physiquement un serveur de noms le plus près possible de l’utilisateur qui en fait la demande.

Les DNS Google  sont également invulnérables aux attaques d’empoisonnement du cache  qui visent à modifier le contenu du cache afin de fournir des réponses modifiées aux requêtes des systèmes clients et des attaques par déni de service (DoS).

Récemment, Google DNS a également adopté les protocoles DNS-over-HTTPS et DNS-over-TLS (DoH et DoT respectivement), qui permettent, à la demande de l’utilisateur ou du client utilisé, de chiffrer tous les paquets liés à la résolution des noms de domaine. Par exemple en visitant un site HTTPS les flux de données à destination et en provenance du serveur distant sous forme cryptée sans que personne ne puisse lire et surveiller (attaques MITM).

Cependant, les requêtes DNS normales sont gérées en clair, de sorte que le fournisseur d’accès Internet et les utilisateurs connectés au même réseau local et à d’autres sujets en cours de route peuvent facilement détecter – en temps réel – les sites visités par les utilisateurs.

L’utilisation du protocole DNS-over-TLS permet de résoudre ce problème en chiffrant correctement le trafic en provenance et à destination des serveurs DNS.

Sur les appareils mobiles pour l’instant seulement Android 9 Pie vous permet d’envoyer des requêtes en utilisant le cryptage par paquets DNS : accédez simplement aux paramètres réseau du système d’exploitation, choisissez Advanced, Private DNS puis définissez dns.google comme fournisseur de services.

Comme le note Google sur cette page d’assistance, le paramétrage du DNS privé et donc l’utilisation du protocole DNS-over-TLS sont ignorés si un service VPN est utilisé.

Les utilisateurs Linux peuvent utiliser le résolveur Stubby tandis que les utilisateurs Windows peuvent utiliser Simple DNSCrypt. Malheureusement, Windows 10 ne supporte pas non plus actuellement le protocole DNS-over-TLS par défaut.

Enfin Google DNS – comme ceux des autres fournisseurs mentionnés dans cet article – ne redirige pas l’utilisateur vers des pages web arbitraires suite à des demandes de résolution de noms de domaine inexistants (certains fournisseurs Internet, lorsqu’une requête échoue, envoient le navigateur vers une « page personnalisée » qui affiche des liens et bannières publicitaires).

Comment configurer votre routeur pour utilisé les DNS Google : adresses IPv4 et IPv6

Pour configurer les DNS Google au niveau de votre routeur :

• connectez-vous simplement à son panneau d’administration (généralement en tapant http://192.168.1.1 ou http://192.168.0.1 dans la barre d’adresse de votre navigateur),
• allez dans la section LAN, LAN Settings ou Internet Configuration selon le modèle
• tapez ensuite 8.8.8.8.8 et 8.8.4.4 dans les cases des serveurs DNS primaires et secondaires qui seront utilisés.

Désormais, tous les clients connectés au réseau local qui demandent une adresse IP privée et les serveurs DNS à utiliser recevront automatiquement ceux de Google.

Si vous êtes connecté à un fournisseur d’accès Internet qui a déjà activé un réseau IPv6, vous pouvez utiliser, en plus ou en alternative, les adresses IPv6 de Google DNS :

2001:4860:4860::8888
2001:4860:4860::8844

Certains appareils nécessitent l’insertion explicite des huit octets qui composent une adresse IPv6. Dans ce cas, le formulaire suivant doit être utilisé pour introduire Google DNS :

2001:4860:4860:0:0:0:0:8888
2001:4860:4860:0:0:0:0:8844

Utilisation des DNS Google dans Windows et d’autres systèmes d’exploitation

Pour utiliser Google DNS au niveau d’une machine Windows, il suffit d’appuyer sur la combinaison de touches Windows+R et de taper ncpa.cpl ou de se référer au Centre de connexion réseau et de partage.
En cliquant avec le bouton droit de la souris sur votre interface réseau, en choisissant Propriétés, puis Protocole Internet version 4 et Protocole Internet version 6, et enfin en cliquant à nouveau sur Propriétés, vous pouvez définir Google IPv4 (8.8.8.8.8 et 8.8.4.4) et IPv6 (2001:4860:4860::8888 et 2001:4860:4860:8844) DNS dans les champs Utiliser les adresses serveurs DNS suivantes.

A partir de la mise à jour Windows 10 de mai 2019 (version 1903), vous pouvez modifier le DNS utilisé sur la machine encore plus rapidement en tapant État du réseau dans la zone de recherche du système d’exploitation, puis en cliquant sur Modifier les propriétés de connexion.

Pour obtenir des instructions sur la façon de changer les DNS et d’utiliser Google DNS suivez cette vidéo :

Utilisation des DNS Google et confidentialité

Lorsque Google DNS ont été lancés de nombreuses personnes ont crié au scandale : la société Mountain View a dans ses mains tous les outils techniques pour stocker la liste des sites Web visités par les utilisateurs et, en croisant les données avec les comptes Google, construire un profil précis de chaque utilisateur

En réalité, ce type de recoupement de données n’est pas acceptable et Google s’engage à ne stocker aucun type d’information permettant d’identifier les utilisateurs. Google explique qu’il maintient deux journaux dans le service DNS : un journal temporaire et un journal permanent.

Les DNS Google stocke temporairement l’adresse IP de la machine à partir de laquelle vous êtes connecté. Ces informations sont utiles pour démasquer et bloquer dans l’œuf toute attaque DDoS (Distributed Denial of Service), ainsi que pour résoudre les problèmes de sites Web qui ne sont pas vus par un petit groupe d’utilisateurs. Ces journaux temporaires sont supprimés dans les 24 à 48 heures.

Dans les journaux permanents, Google n’enregistre aucune information permettant d’identifier sans ambiguïté chaque utilisateur ou les adresses IP des utilisateurs.
Google stocke certaines informations géographiques pour analyser les phénomènes et les tendances dans leur ensemble, mais les journaux sont remis à zéro toutes les deux semaines.

Google s’assure qu’il n’établit aucune corrélation entre les informations contenues dans les journaux temporaires et/ou permanents et les autres données qu’il fournit à l’entreprise dans le cadre de l’utilisation d’autres services (par exemple, comptes Google, Gmail, Photo,…).

Interroger Google DNS depuis le web ou depuis des applications

Une fonctionnalité peu connue de la plupart, Google fournit un panneau de contrôle et des APIs qui retournent les paramètres liés à la résolution d’un nom de domaine.

En vous connectant à la page dns.google, vous pouvez taper n’importe quel nom de domaine et obtenir, en réponse, les adresses IP utilisées par le site correspondant.
Le résultat est le même qu’avec la commande nslookup. En saisissant une adresse IP publique, vous pouvez également inverser le DNS.

En utilisant la syntaxe https://dns.google.com/resolve?name=google.fr vous obtenez une sortie au format JSON tout en utilisant https://dns.google.com/query?name=google.fr une réponse plus lisible humainement.