Para complementar el hilo sobre ciertas operadoras que pueden tener la mala costumbre de interceptar las peticiones DNS o bien no permitir cambiar los DNS en el router de la operadora, voy a aprovechar a hacer un pequeño aporte sobre la web DNSCheck.tools que nos da información sobre el DNS que nos está resolviendo.
Versión del documento: 30.01.2025
Introducción
En el caso de routers como los de Vodafone, sin pretender señalar a nadie, es solo un ejemplo, que pueden venir por defecto con la opción de "DNS Seguro" activada, es esa la opción que tendríamos que desactivar para que el router no nos intercepte las peticiones DNS. El router lo que intercepta son las peticiones DNS mediante par de IPs, no las peticiones DNS mediante DOH/DOT/DOQ. También hay routers de operadoras que lo que no permiten es cambiar los DNS.
Android a nivel de sistema operativo, en ajustes/redes, permite configurar DOT. En Windows 11, directamente en configuración de red, permite configurar DOH. Y para Windows 10, o configurar otros protocolos en Windows, se puede utilizar la aplicación YogaDNS. Si solo se desea utilizar en el navegador, se puede hacer en configuración de cada uno, la mayoría de los navegadores soportan DOH.
Si lo veo adecuado ya ampliaré un poco más este documento pero de momento hago lo que veo mínimo y necesario para entender lo que devuelve la web anterior. A continuación una captura para empezar a analizar cada apartado.
(1) IP y ubicación
Nuestra IP y ubicación. Aquí ojo un detalle, la ubicación va por base de datos, no tiene por que acertar dónde estamos realmente. Con estos sistemas de geolocalización hay gente que se piensa que realmente le están ubicando y no es así, lo que tienen es una gran base de datos con las ubicaciones de cada IP.
(2) Información sobre ECS
Información sobre el EDNS Client Subnet (ECS), es decir, el sistema que nos geolocaliza para aportar esa información a las webs en servidores distribuidos CDN/Akamai. Aquí hay cuatro variantes de operar esto, con más o menos privacidad. La ubicación de la resolución se usa para que nos resuelva hacia el servidor CDN/Akamai más próximo a nosotros. La idea de esto es que si, por ejemplo, nos conectamos a Facebook, nos resuelva hacia los servidores de Facebook en España y no a los servidores en otro país.
- Sin ECS: Esto lo hacen los DNS de las operadoras o bien algunos DNS públicos como Cloudflare. No hay información ECS así que para la resolución a servicios distribuidos se hará tomando de referencia la ubicación del servidor que nos está resolviendo. Los DNS de las operadoras no hay pega por que están en España. En el caso de servicios DNS como Cloudflare lo hacen así por que entienden que siempre habrá un servidor de Cloudflare en cada país. Comparado con los DNS sin ECS, que el DNS aporte información ECS es una optimización que puede mejorar tiempos en webs distribuidas pero necesariamente no siempre ni en todos los casos tiene que haber mejora.
- Con ECS pero devolviendo la subred del servidor DNS: Esto lo hacen algunos servicios DNS como ControlD. Para la resolución se envía la subred del servidor que nos resuelve. En el caso de DNS públicos hay que asegurarse de que tengan servidor en España.
- Subred próxima al usuario: Para proteger la privacidad el usuario hay DNS que utilizan una subred próxima al usuario, haciéndolo así argumentan que se protege mas la privacidad del usuario.
- IP del usuario: En este caso se envía la misma IP del usuario pero normalmente con un 0 de número final.
(3) Servidores DNS y su ubicación
Aquí directamente se muestran los hosts de los servidores DNS que nos estén resolviendo. Hay muchos servicios DNS que disponen de bastantes hosts para la resolución, dependiendo de la carga de usuarios que tengan.
Si el router nos está interceptando las peticiones DNS, aunque cambiemos el par de IPs DNS en cada dispositivo, es aquí donde tendríamos que mirar y comprobar que realmente salen los hosts del servicio DNS que queramos utilizar.
(4) Información del DNSSEC
Información del soporte para las resoluciones DNSSEC, lo normal es que esté todo con la flecha verde. Estos son los algoritmos de firma digital utilizados para la encriptación y seguridad de las respuestas DNS. Lo que se intenta con este sistema es que no se produzca un ataque por envenenamiento de DNS
(5) Velocidad media de resolución y resumen de información
En este apartado final se ofrece la velocidad media de resolución y la información de si está todo correcto en el soporte EDNS y DNSSEC. También se informa de si el DNS soporta IPv6. Esto tiene que estar todo en verde. Para el cálculo de velocidad media de resolución personalmente prefiero usar la aplicación DNSBech de Gibson.
Cuando se habla de velocidad de resolución no es solo el ping, un servicio DNS hay que medirlo también por lo que tarda en resolver, tiempo de resolución, a parte de los tiempos de ida y vuelta de petición y respuesta. En esto hay dos tiempos de respuesta, el tiempo a peticiones cacheadas y los tiempos a peticiones sin cachear. En el segundo caso los tiempos de respuesta aumentan considerablemente ya que el servicio DNS tiene que forzar una consulta a los servidores raíz.
Utilidades de interés
- DNSCheck - Web que se analiza este artículo.
- DNSBenchmark - Test de velocidad DNS de Gibson (Windows).
- DNS Speed Test - Test de velocidad DNS (Android).
- YogaDNS - Cliente DNS para Windows con soporte DOT, DOH DOH3, DOQ y DNSCrypt.
