Hace un par de semanas publicaba un artículo en el que explica la importancia de cambiar las DNS que por defecto nuestra operadora nos ofrece como medida para evitar los bloqueos que habitualmente el gobierno, o el lobby de turno, ejecuta con según qué páginas.
Sin ir más lejos, comentaba en ese mismo artículo que la UE había decidido atacar nuevamente a plataformas P2P como The Pirate Bay, esgrimiendo su papel como uno de los nodos más grandes de piratería del mundo (y obviando, de paso, todo el resto de usos legítimos que tiene el P2P). Ayer mismamente nos enterábamos que tras 13 años de funcionamiento, elitetorrent.net echaba el cierre (ES).
En el tutorial daba las razones, y también ofrecía la manera de cambiar las DNS en Windows, en MacOS, en Linux, en Android o en iOS. Algo que apenas lleva un par de minutos, que se realiza una vez y no se tiene que volver a tocar (hasta que queramos cambiar a otras DNS). Y tanto por redes sociales, como por los comentarios del blog, varios lectores me pidieron recomendación sobre qué DNS utilizar.
Índice de contenido
¿Qué DNS elegir?
La principal razón es que al ser la DNS la puerta de acceso a todos los servicios digitales por los que navegamos, ya no solo hay que tener en cuenta que el proveedor de esa DNS esté en contra de las políticas de censura anteriormente comentadas, sino que además que la propia petición se realice lo más rápido posible, reduciendo al mínimo necesario el tiempo de espera hasta que se completa el contacto con la página objetivo.
La creencia habitual (y no por ello digo que esté desencaminada) es que las DNS que ofrece la propia operadora que nos suministra el servicio debería ser las DNS más rápidas. A fin de cuentas, es de esperar que estas DNS estén en la propia infraestructura de la operadora, posiblemente hasta cacheadas y replicadas dentro de la red de suministro, lo que significa que, al menos en teoría, ni siquiera sería necesario «llamar hacia afuera» para obtener la dirección IP de la página o servicio al que queremos conectarnos.
Pero esto mismo podría aplicarse a DNS tan extendidas como las de Google. Es por todos sabidos que grandes empresas como Google o Facebook llegan a acuerdos con las operadoras locales para instalar parte de su infraestructura lo más cerca posible del usuario final, «clonando» de esta manera sus servicios y arañando unos escasos milisegundos en cada petición.
Bajo este prisma, llevándome la contraria (no soy mucho de benchmarks), y habida cuenta de que en primera instancia un servidor decidió apostar por las de Google, me he planteado este fin de semana llevar a cabo una comparativa de velocidades de DNS que comparto con usted a continuación.
Para ello he hecho uso de Namebench (EN), un programa disponible tanto para Windows (.exe), como para MacOS (.dmg) o para Linux (sudo apt-get install namebench), y creado ex profeso para hacer este tipo de mediciones.
Que sí, que podría haber ido uno a uno realizando pings a cada DNS para luego volcar por aquí los resultados, pero es que si ya hay un margen de error asumible en la investigación utilizando Namebench (hablaré más adelante de ello), imagínese si además lo tengo que hacer a mano…
En todo caso, y si tiene un rato libre, no puedo evitar recomendarle que pruebe usted mismo, con Namebench o con el software que vea oportuno, qué conexión se ajusta mejor a sus necesidades.
Estos son los datos que un servidor ha obtenido, y aunque es de suponer que en cada caso los resultados no difieran mucho, puede que en su zona casualmente vaya mejor X proveedor de DNS que otro que en mi zona está más optimizado.
Ni siquiera es necesario que explique su funcionamiento. Basta elegir las DNS a probar, el margen de error que asumimos (número de peticiones para cada una) y el software desde el que emularemos la petición. El programa, después de tirarse 20 o 30 minutos realizando las pruebas, nos dirá si nuestra actual DNS es la más recomendable, o si tenemos alternativas mejores. Todo apoyado en datos, como Dios manda :).
¡Vamos a ello!
Ranking de VPNs más rápidas
EDIT en 2018: CloudFlare acaba de presentar (EN) una nueva CDN que asegura ser la más rápida (y privada, ya que borran a las 24 horas todo dato del usuario) del mercado en el 72% de los países. Es una opción que este estudio no analiza, y que quizás le pueda interesar (1.1.1.1 y 1.0.0.1).
1º- La DNS de la operadora
En mi caso, y al ser Vodafone, la DNS más rápida es la primaria de ONO (62.81.16.213) con un 52,07 ms de tiempo de carga. La secundaria (62.81.29.254) está, por cierto, en el cuarto puesto, con 64,46ms de demora.
Es lo que comentábamos hace un rato. Lo más probable es que por proximidad la DNS más rápida sea la que ofrece la propia operadora. Y no voy a hacer un listado aquí de DNS de operadoras ya que creo que es absurdo que alguien se ponga la DNS de otra operadora distinta (le irá seguramente bastante más lento que el resto de alternativas que veremos a continuación).
Como aspecto negativo, al ser las DNS que por defecto tienen preconfiguradas el grueso de la sociedad, puede estar seguro de que si se realiza algún tipo de bloqueo por DNS, estos serán los primeros en habilitarlo.
La idea, si ha llegado a este tutorial, es precisamente evitar este tipo de censura, así que vamos con las demás.
2º- Google
Host: google-public-dns-b.google.com DNS primario: 8.8.8.8 DNS secundario: 8.8.4.4
No me equivocaba. El segundo y tercer puesto están ocupados por las DNS de Google, con un 53,11 y un 62,77ms de tiempo de carga respectivamente. Es decir, pierdo entre un 2 y un 17% respecto a la primaria de Vodafone/ONO.
Los servidores DNS de Google son de los más estables que hay en el mundo. Están distribuidos geográficamente por todos los lados, y la disponibilidad del servicio es prácticamente del 100% (lo que significa que rara vez vas a utilizar el DNS secundario).
Además, están comprometidos por ofrecer siempre la IP final del servidor pedido, sin redireciones y sin publicidad.
¿Que el día de mañana puedan cambiar de parecer? Sinceramente, lo dudo. Google es una de las compañías que más han hecho por democratizar el acceso a la información, y proyectos como Project Shield así lo atestiguan. Pero vaya, que si eso llega a ocurrir no tenemos más que cambiarnos a otro y listo.
En mi prueba, no obstante, me aparecen algunos errores en el listado, principalmente dirigidos a páginas de pornografía, de poker y algunas de descargas y redes sociales. Esto no significa específicamente que Google las haya bloqueado, sino que es probable que hayan cambiado de IP (sobre todo para páginas de este tipo es una estrategia bastante habitual) y todavía no se haya actualizado correctamente, o que la biblioteca que está utilizando Namebench para comparar es la que no está correctamente actualizada.
Tiene más información al respecto en la página habilitada para tal fin (EN).
3º- OpenDNS
Host: resolver2.opendns.com DNS primario: 208.67.222.222 DNS secundario: 208.67.220.220
Aquí si que me ha sorprendido algo. La DNS secundaria aparece en el quinto puesto, con un 81,23ms de demora (35,9% extra respecto a la primaria de ONO), pero es que la primaria de OpenDNS, que debería ser la más rápida, ni me aparece en el top.
Sobra decir que para ser pulcros con los datos debería haber realizado varias veces el test y luego sacar la media. Que además el resto de dispositivos deberían estar desconectados de la red, y el Windows desde donde lo llevé a cabo en modo a prueba de errores para minimizar al máximo el impacto de posibles peticiones que pudieran entorpecer los resultados.
OpenDNS es ya un habitual del mercado de DNS mundiales. Además, tiene una cosa interesante, y es que podemos únicamente utilizar sus servidores DNS, o además, instalar sus herramientas anti-phishing o de control parental, ambas disponibles en su página web (ES).
Sería el que recomendaría a todos aquellos que desconfíen de las buenas intenciones de Google. Un DNS con mucha trayectoria, que se dedica exclusivamente a esto, y con capacidad de parametrizar muchísimos más aspectos que lo que habitualmente un DNS ofrece.
Los errores que me muestra Namebench son prácticamente semejos al caso de Google, y ligeramente inferiores en cantidad respecto a los ofrecidos por Vodafone/ONO.
4º- Dyn
Host: resolver1.dyndnsinternetguide.com DNS primario: 216.146.35.35 DNS secundario: 216.146.36.36
Dyn es una empresa de infraestructura de red que quizás le suene por haber sido la causante de la caída que hace ya unos meses sufrieron varios grandes servicios de Internet (Twitter, WhatsApp, Facebook, Amazon…), y que acabó asociándose al ataque de la botnet Mirai, una de las primeras botnets de alto impacto creada a partir de dispositivos del internet de las cosas.
Pues es la que me aparece como sexto puesto (su DNS primaria), con 89,46ms, y, por tanto, un 41,8% más lenta que los tiempos que ofrecía la de mi operadora.
En todo caso, es una gran alternativa, habida cuenta de que como ocurría con Google, Dyn cuenta con servidores repartidos en lo ancho y largo del planeta, y además la compañía es dueña de parte de los cimientos que dan conectividad a la Red.
Además, ofrece algunas cosas curiosas como la capacidad de crear dominios para enmascarar IPs dinámicas en estáticas. Algo muy útil para cuando necesitamos montar un servidor de juego o un cloud local.
Tiene más información acerca de sus servicios en la página oficial (EN).
Aspectos finales a considerar
Como ya decía, es importante señalar que los resultados están supeditados al entorno de prueba (la fibra óptica que tengo instalada en mi casa, con todos los dispositivos conectados), y por ello, podrían haber sido ligeramente alterados.
Tampoco creo que haya que hacer un estudio pormenorizado para darse cuenta que las diferencias entre uno u otro DNS son prácticamente despreciables. Entre la más rápida y la más lenta de este top hay una diferencia de menos de 40ms. Es decir, algo «abstracto» al ojo humano.
El verdadero punto que debería preocuparnos está en el nivel de confianza que podemos depositar en este servicio. Y viendo lo visto, un servidor tiene claro que el DNS de la operadora no es una opción aceptable.
Seguiré por tanto utilizando las DNS de Google, que de hecho son las más rápidas en peticiones individuales, como demuestra la gráfica superior.
Espero que le haya gustado, y si le he animado a probar unas DNS distintas, sepa que por aquí tiene el tutorial sobre cómo cambiar las DNS en cada sistema operativo.
EDIT en 2018: CloudFlare acaba de presentar (EN) una nueva CDN que asegura ser la más rápida (y privada, ya que borran a las 24 horas todo dato del usuario) del mercado en el 72% de los países. Es una opción que este estudio no analiza, y que quizás le pueda interesar (1.1.1.1 y 1.0.0.1).
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si te merece la pena entrar en el Club Negocios Seguros y aprovecharte de todo el contenido exclusivo que publico para los miembros.
Que importancia tiene el hosting en el tema de las DNS yo tengo OVH y no se si cambiar a otro hosting con sede en España.
Gracias
Aquí estoy hablando sobre todo del impacto a nivel de usuario. A nivel de administradores de sites, como mucho, hay que considerar que si operamos desde aquí con hosting de nuestro país y proveedores de dominio de España, estamos sujetos a la legislación española y europea. Lo que significa que una web de descargas ilegales… es ilegal.
Lo que hacen muchos de estos administradores es montar el chiringuito en otros países menos controlados, dificultando el trabajo de las autoridades.
Es mucho mayor interesante usar algo como dnscrypt y evitar incluso que nuestro proveedor nos rastree ley peticiones DNS (que van en texto plano) o un firewall de turno nos bloqueé la petición.
Buen aporte Félix!