Google betreibt für die Öffentlichkeit unter den IP-Adressen 8.8.8.8 und 8.8.4.4 DNS-Server. Hierdurch ist ein Surfer nicht auf die DNS seines Providers angewiesen und Administratoren von eigenen DNS-Servern, z. B. für die eigenen Domänen, können überprüfen, ob Ihre Einträge korrekt ausgeliefert werden. Obwohl Google nur zwei IP-Adressen nennt, verbergen sich hinter jeder dieser Adressen anscheinen mehrere unabhängige Rechner. Anders ist das folgende Verhalten nicht zu erklären:

Es geht um einen DNS-A-Record für eine Domäne, nennen wir den Namen www.abcdef.de und die zugehörige IP-Adresse 1.2.3.4. Kurz vor dem Nachfolgenden wird die IP-Adresse des Namens zu 4.3.2.1 geändert. Der TTL-Wert liegt bei den klassischen 86400 Sekunden, also einem Tag. Nameserver, die also den Namen vor kurzem abgerufen haben, würden aus ihrem Cache noch die alte IP-Adresse 1.2.3.4 ausliefern, Nameserver, die die Adresse nicht im Cache haben, würden die Adresse neu holen und 4.3.2.1 ausliefern.

Von einem Rechner im Netz A in einer Stadt, angebunden über einen Provider wurde der Google-DNS-Server 8.8.8.8 nach einer Namensauflösung gefragt.Der Google-DNS lieferte 4.3.2.1. Google hatte die Adresse also nicht im Cache und neu vom originalzuständigen DNS geholt.

Kurz danach wurde der DNS 8.8.8.8 von einem anderen Rechner in einer anderen Stadt und über einen anderen Provider ein zweites Mal angefragt – und lieferte: 1.2.3.4 – als hätte er die Adresse gecached – und zwar vor der Änderung der IP-Adresse im Original-DNS. Dies beißt sich jedoch eindeutig mit der Antwort der vorherigen Anfrage.

Um dies zu verifizieren wurden die selben Anfragen erneut zu nahezu identischen Zeiten durchgeführt und lieferten wieder diese Ergebnisse. Ein Blick auf die in den Ergebnissen genannte noch verbleibende TTL-Zeit offenbarte ebenfalls Erstaunliches: Diese Zeiten waren nicht gleich, sondern unterschieden sich deutlich. Dieses Verhalten ist nur zu erklären, wenn sich hinter derselben IP-Adresse “8.8.8.8” unterschiedliche Rechner verbergen, die Ihre Daten unabhängig voneinander auswerten.

Ein solches Loadbalancing-Verhalten ist bei – laut Google – 70 Milliarden Anfragen pro Tag auf den DNS-Dienst sicherlich wahrscheinlich. Ärgerlich ist nur, dass dieses Loadbalancing zu unterschiedlichen Anfrageergebnissen führt. Interessant ist, dass dieses Verhalten über einen längeren Zeitraum verifizierbar war, also eine gewisse Wahrscheinlichkeit besteht, dass der Loadbalancer entweder sich die Adressen der Anfragenden merkt, um neue Anfragen dann wieder zum selbem Rechner weiterzuleiten um möglichst Konsistenz herzustellen – eine unwahrscheinliche Lösung, da hierfür ein erheblicher Verwaltungsaufwand notwendig ist. Oder dass der Loadbalancer geografisch oder netzbasiert arbeitet und deswegen die Anfragen immer wieder zum gleichen Rechner geschickt hat. Natürlich kann es sich auch um Zufall gehandelt haben. Bei der Anzahl der durchgeführten Versuche liegt die Wahrscheinlicheit hierfür jedoch bei unter 2%.