Salta el contingut

UD4. El servei DNS

Introducció

El sistema de noms de domini DNS (Domain Name System) proporciona un mecanisme eficaç per fer la resolució de noms de domini a adreces IP. Com a usuaris (humans) ens és més fàcil adreçar-nos a un nom de domini (de host, de web, de servidor de correu, etc.) utilitzant un text identificatiu (per exemple, www.marca.com) que no pas a l'adreça IP pertinent (per exemple, 213.73.40.230). El servei DNS no solament permet fer la resolució de noms de domini a adreces IP, sinó també la resolució inversa. És a dir, a partir d'una IP esbrinar el nom de domini.

El servei DNS proporciona independència del nom de domini respecte a la IP. Així un domini pot canviar d'IP de manera transparent per als usuaris del domini. Fins i tot és usual que un domini s'identifiqui amb més d'una IP com a mesura de redundància contra la caiguda del sistema o com a balanceig de càrregues. Altres serveis proporcionats pel DNS són la identificació dels servidors de correu d'un domini, de cada un dels hosts que pertanyen a la xarxa, servidors d'impressió, etc.

ARPANET

ARPANET és la xarxa de commutació de paquets que va desenvolupar el Departament de Defensa dels Estats Units i que va ser la predecessora d'Internet.

Un sistema de noms pla es basa en la utilització d'un fitxer de text que descriu cada host amb la seva corresponent adreça IP. Es pot usar per definir àlies per equips locals en xarxes petites, però no és escalable a xarxes grans i molt menys a Internet.

Sistemes de noms plans i jeràrquics

El problema d'identificar els equips es produeix des de bon principi de l'existència de les xarxes d'ordinadors i no és específic de les xarxes TCP/IP. Cal un mecanisme en "llenguatge humà" per identificar els equips de la xarxa. En especial els que proporcionen serveis als altres equips i usuaris. En la xarxa inicial ARPANET, els equips ja rebien un nom. Aquests noms es feien públics per mitjà d'un fitxer centralitzat que contenia els noms de tots els equips de la xarxa i la seva identificació. Aquest fitxer era el fitxer hosts.txt (en sistemes GNU/Linux, conegut com a /etc/hosts).

Exemple de fitxer de noms pla per descriure els àlies d'una xarxa local a casa

Bash
1
2
3
4
5
6
7
8
9
[root@portatil ~]# cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 localhost.localdomain localhost localhost
::1 localhost6.localdomain6 localhost6
192.168.1.1 router routerWF
192.168.1.31 server1 escriptori pare
192.168.1.32 estacio1 dormitori mare
192.168.1.33 estacio2 nen jocs supercrac

Posar noms als ordinadors de casa

El fitxer anterior pertany al PC anomenat portatil i posa noms "casolans" als altres ordinadors de la família. Així per exemple l'equip 192.168.1.33 es pot anomenar de les quatre maneres diferents que s'indiquen.

En una xarxa petita es pot generar un fitxer amb el nom i identificador IP de tots els hosts, centralitzat en un servidor, i encarregar-se de distribuir còpies d'aquest fitxer a tots els equips de la xarxa. Però aquest model de coneixement no és escalable. Si la xarxa creix és impossible de mantenir. Utilitzar aquest model significaria que hi ha un equip que centralitza els noms de tots els hosts d'Internet en un sol fitxer! D'altra banda, també significaria que aquest fitxer s'ha de repartir entre tots els equips d'Internet perquè sàpiguen com es diuen els altres equips cada cop que hi ha una actualització. Evidentment cal una altra solució.

Problemes d'actualització d'una xarxa

Imagineu els problemes que es presenten en voler fer arribar un mateix fitxer a tots els hosts. Hi haurà inconsistències amb equips que han rebut l'actualització i altres que no. El trànsit de copiar el fitxer en cada equip. Un nou equip a Internet vol dir escriure de nou el fitxer i tornar-lo enviar a tothom!

El 1983 sorgeix el Domain Name System (DNS) per aportar una solució escalable i pràctica. El DNS es basa en una base de dades de noms de domini jeràrquica i distribuïda:

  • Jeràrquica perquè cada node depén d' un element pare (domini superior), excepte el node arrel. És a dir s'organitza en una estructura de dominis que es poden compondre de subdominis que també es poden dividir en subdominis i així fins a 127 nivells (originàriament). Aquests dominis són gestionats per servidors DNS responsables de cada zona.
  • Distribuïda perquè la informació no està tota junta en un sol repositori central, sinó que la informació es troba repartida per parts en els servidors DNS d'Internet. Cada servidor DNS autoritari conté la base de dades de la seva zona.

Elements de l'espai de noms de domini

El servei DNS permet identificar qualsevol equip en la xarxa i assegurar-se que no hi ha col·lisions, és a dir, noms duplicats. Es basa en una estructura jeràrquica de noms en forma d'arbre on l'arrel és el node o domini arrel (.) del qual deriven tots els altres nodes. Aquest es divideix en altres dominis com, per exemple, .com, .edu, .org, .cat, etc. Al seu torn, cada domini es pot dividir en altres subdominis i així successivament. Les rutes s'indiquen començant pel subdomini més avall en la l'arbre cap al node arrel (www.serveisenxarxa.org).

Els nodes s'identifiquen per un text (el nom de domini) que no es pot repetir en el mateix nivell, però sí en altres llocs de l'arbre de l'espai de noms. El mateix passa amb els fitxers: no hi pot haver dos fitxers amb el mateix nom en el mateix directori, però sí en ubicacions diferents. Un domini és el node indicat i tota la resta de l'arbre que penja d'aquest node (penseu en l'exemple d'un directori: si es vol copiar un directori, s'entén que està format pel mateix directori i tots els subdirectoris que conté). S'entén per espai de noms el conjunt de tots els dominis que formen l'arbre DNS.

Dominis d'alt nivell

Els següents són exemples de dominis d'alt nivell d'alguns països:

  • FR: França.
  • AD: Andorra.
  • AQ: Antàrtida.
  • GB: Gran Bretanya.
  • UK: Regne Unit.
  • DE: Alemanya.
  • NL: Països Baixos.
  • AR: Argentina.
  • US: Estats Units.

L'estructura en arbre (jeràrquica) de l'espai de noms proporciona un mecanisme d'identificació únic d'un domini. No pot existir cap domini que tinga exactament el mateix nom absolut FQDN (Full Qualified Domain Name o nom de domini complet). Els dominis es llegeixen des del node a l'arrel. Així un domini que corresponga al departament d'administració de l'organització example.org dins del domini org s'identifica, per exemple, com a admin.example.org. Si ens fixem en el domini anterior, veurem que acaba en punt, és una manera d'indicar el domini arrel. El domini arrel es defineix com un domini sense etiqueta, o millor amb la cadena buida com a etiqueta. Això provoca que els dominis que s'indiquin de manera absoluta acabin amb el caràcter punt.

Un domini absolut o FQDN és el que inclou tots els nodes des del domini fins a l'arrel (inclosa en forma de punt final). Un domini relatiu no inclou l'arrel i pot ser relatiu al domini actual. Per exemple, dins del domini serveisenxarxa.org del domini moodle (de l'aula virtual) és un nom relatiu que fa referència al nom absolut moodle.serveisenxarxa.org.

Els noms de domini d'Internet

A Internet els noms de dominis segueixen una estructura basada en els seus inicis, però que ha anat evolucionant. El node arrel es va dividir en un conjunt de subdominis anomenats TLD (top level domains o dominis d'alt nivell). Aquests dominis eren com, edu, gov, mil, org, net i int. Posteriorment se'n van afegir d'altres com cat, name, biz, info, pro, aero, coop i museum. Es volien organitzar els dominis per funcionalitat posant les empreses en els .com, les organitzacions en els .org, etc. Es va veure, però, la necessitat de poder agrupar els dominis de manera geogràfica (ccTLD, country code top level domains) i van sorgit els famosos identificadors de país. Per a cada país es va generar un TLD de dos caràcters utilitzant el ja existent estàndard internacional ISO 3166 (els famosos .es, .fr, etc.).

Zones primàries i secundaries. Transferències de zona

Sabem que el sistema de noms de domini està basat en una arquitectura client-servidor en què els clients faran preguntes del tipus "quina IP té aquest domini?", i els servidors miraran de contestar-les. Els servidors de noms DNS són els programes que emmagatzemen i gestionen la informació en la base de dades d'una part de l'espai de noms anomenada zona.

Les zones

Una zona és part de l'espai de noms de domini gestionada per un (o més) servidors DNS. Els servidors que gestionen la zona tenen informació completa sobre la zona i es diu que tenen autoritat respecte a ella. Podríem pensar que un servidor DNS gestiona un domini i que una zona és el mateix que un domini, però això no ha de ser necessàriament així. Un domini es divideix en subdominis per facilitar-ne l'administració, i cada part administrada per un (o més) servidor DNS és una zona. El domini és l'arbre de l'espai de noms i la zona és la part de l'arbre administrada per un servidor de noms de domini concret. En la figura següent es pot veure un espai de noms amb quatre zones i catorze dominis.

Zones i dominis

En general, podem dir que una zona conté la informació completa dels equips que formen el domini corresponent a la zona i dels equips dels subdominis que no s'hagin delegat. Aquesta informació s'emmagatzema en la base de dades de zona.

Tipus de servidors

L'estàndard que defineix el DNS estableix que cal configurar dos o més servidors autoritaris per a cada zona anomenats servidor primari i servidor secundari. El motiu és proporcionar un mecanisme de redundància, robustesa, rendiment i còpia de seguretat. Si el servidor de noms falla i és únic possiblement la xarxa caurà, serà inoperativa.

Els servidors primari i secundari són autoritat. Només el primari té els fitxers de zona i és l'encarregat d'editar-los. El secundari n'obté una còpia per transferència de zona.

Servidor DNS caché

A banda dels servidors primaris (també anomenats mestres) i secundaris (esclaus) esmentats anteriorment hi ha també un altre tipus de servidors, els servidors DNS caché (cau). Els servidors DNS caché sols atenen consultes dels clients DNS sobre noms de domini. No conté cap informació sobre la zona i la seua utilitat principal és accelerar les consultes.

Resolució de noms

Tot sovint en les aplicacions d'usuari i de sistema s'accedeix a recursos pel seu nom de domini. Per exemple, un client web requereix una determinada pàgina web, un navegador de fitxers vol accedir a unes carpetes d'una màquina remota que s'identifiquen pel nom de domini, el sistema ha de validar l'usuari contra un servidor LDAP remot, etc. En cada un d'aquests casos caldrà resoldre una pregunta del tipus aquest domini a quina adreça IP correspon? Aquesta pregunta no la responen les aplicacions individualment (el navegador web, el client d'autenticació...), sinó que utilitzen el resolver per fer-ho.

El resolver és la part client de l'arquitectura client-servidor del DNS. Ell ha d'atendre les necessitats de les aplicacions, confeccionar una consulta o query, fer-la a un servidor DNS, obtenir la resposta i passar-la a l'aplicació pertinent.

LA RESOLUCIÓ

El mecanisme de resolució de noms DNS consta d'un client o resolver que realitzarà les consultes (o querys) a resoldre a uns servidors DNS.

Si el servidor disposa de la informació perquè forma part de la base de dades de la seva zona, emetrà una resposta autoritativa. Si disposa de la resposta perquè la té emmagatzemada temporalment (en un procés anomenat cache) també emetrà la resposta però aquest cop de manera no autoritativa. Si no té informació del domini buscat, el servidor pot fer a altres servidors la mateixa consulta en un procés que pot ser recursiu o iteratiu. Sempre existeix un camí per trobar el domini buscat, que és preguntar als nodes arrel (root servers) de l'espai de noms de domini. Partint dels nodes arrel i recorrent l'arbre cap avall, es pot arribar al domini buscat, si és que existeix.

Sempre hi ha un camí a un domini existent partint del node arrel. Quan un servidor és consultat sobre un domini que desconeix (no és de la seva zona ni té la resposta en la cache) pot escalar la pregunta a un servidor de l'arrel (root name server). Això significa que els servidors arrel són crucials per al funcionament del DNS.

Consulta iterativa

Mitjançant l'eina de consulta DNS dig amb les opcions @servidordns i +trace realitza la consulta del domini wikipedia.org substituint servidordns per 3 servidors diferents (8.8.8.8, 1.1.1.1, Servidor DNS local).

Determina la seqüència de les consultes realitzades en els tres casos i compara-les.

Sempre consulta els mateixos servidors? Per què? Quina ha estat més ràpida? Justifica les respostes.

Servidors arrel

Un servidor arrel de noms és un servidor de noms que respon directament les peticions de registres de la zona arrel i respon altres consultes tornant una llista de servidors acreditats de noms del domini de primer nivell adient (TLD). Els servidors arrel de noms són una part crítica de la infraestructura de l'Internet, ja que són el primer pas en la traducció (resolució) dels noms de servidors entenedors pels humans en adreces IP que s'utilitzen entre amfitrions d'Internet.

Actualment disposem de 13 servidors arrels.

Consulta servidors arrel

L'execució del comandament dig sense paràmetres ens torna la llista completa de servidors arrel.

El protocol DNS

El servei de noms de domini utilitza el protocol DNS per fer les consultes i les respostes. Es tracta d'un protocol de capa d'aplicació que pot utilitzar tant UDP com TCP en la capa de transport. Usualment, tant les consultes del client com les respostes del servidor es poden encabir en un datagrama (512 bytes) i s'utilitza UDP (de fet, generalment es diu que el DNS usa UDP). Però si la informació a transmetre és àmplia (per exemple, una resposta amb una llista amb molta informació), la comunicació es passa a TCP automàticament. Un altre cas en què la informació és TCP és quan es realitza la transferència d'informació d'una zona entre servidors primaris i secundaris. El servidor DNS utilitza el port privilegiat 53.

El protocol DNS és usualment UDP, però pot ser TCP i UDP. Es tracta d'un protocol de capa d'aplicació i utilitza el port 53.

La comunicació DNS és un mecanisme de consulta/resposta entre el client i el servidor. Els datagrames, doncs, seran de query (consulta) o answer (resposta).

Els apartats que componen un missatge DNS són:

  • HEADER. Capçalera del missatge indicant si és una consulta o una resposta. Conté l'id (identificador) del missatge, flags i un resum de quines seccions del missatge porten informació i quanta.
  • QUESTION. Aquesta secció conté la consulta que s'ha efectuat. És a dir, quina dada s'ha demanat al servidor. Pot ser una resolució d'adreça IP a un domini, demanar la llista de servidors d'impressió, etc.
  • ANSWER. Secció que conté la resposta obtinguda del servidor. S'entén que aquesta secció conté la resposta no autoritativa. A vegades en les utilitats de consulta aquesta secció es mostra com a non-autority answer.
  • AUTHORITY. Aquesta secció conté les respostes que són autoritatives per a la consulta efectuada. Evidentment pot ser buida.
  • ADDITIONAL. Conté informació addicional per completar la resposta. En l'exemple s'observa que completa la resolució dels noms de màquina que hi ha a la secció answer tot indicant la seva adreça IP corresponent.

Tipus de registres

El sistema de noms de domini és una base de dades jeràrquica i distribuïda en què cada servidor de noms gestiona la informació corresponent a la zona de la qual és autoritari. Cada zona conté informació dels hosts que la formen. La informació de zona s'emmagatzema en forma de registre de recurs o resource record (RR). Hi ha la informació que permet identificar cada nom de domini amb l'adreça IP corresponent, anomenat forward mapping o resolució directa. També conté la informació per identificar cada adreça IP amb el nom de domini corresponent, anomenat reverse mapping o resolució inversa. La informació de zones conté altres informacions que permeten identificar els servidors DNS autoritaris per la zona, els servidors de correu, etc.

Base de dades de zona

La configuració d'una zona s'emmagatzema en un conjunt de fitxers anomenat fitxers de zona. L'especificació del DNS diu com han de ser aquests fitxers de zona i com s'hi han de descriure els registres de recurs (descripció de cada element que pertany a la zona).

Registre SOA

El registre de recurs SOA o start of authority (inici de definició de zona amb autoritat) diu que el fitxer de zona on es troba és la millor font de dades per a la zona, que el servidor de noms és autoritari per a la zona. Acostuma a ser el primer RR que hi ha en el fitxer de zona, tot i que no és obligatori. Per cada fitxer de zona hi ha d'haver només un registre SOA.

Registre NS

El registre de recurs NS o name server (servidor de noms) defineix un servidor de noms autoritatiu per a la zona. Hi haurà tantes entrades NS com servidors de noms autoritatius hi ha en la zona. L'estàndard DNS en recomana almenys dos (un de primari o master i un de seguretat secundari o slave).

Registre A o AAA

Un registre de recurs A o address (adreça) associa un nom de host a una adreça IP (resolució directa). Per cada nom de host de la xarxa caldrà disposar d'una entrada on s'associï el nom del host a la seva adreça IP.

Registre CNAME

Els registres de recurs CNAME o canonical name (nom canònic) associen un àlies a un nom canònic.

Altres registres

Registre MX

Un registre MX mail echanger (servidor de correu electrònic) defineix un servidor de correu. Es pot posar una entrada MX per a cada servidor de correu, però no és obligatori que n'hi hagi cap.

Resgistre PTR

Un registre de recurs PTR o pointer (punter) associa una adreça IP al nom de host pertinent (resolució inversa). Cal una entrada PTR per a cada interfície de xarxa de la zona.

Altres

Hi ha altres tipus de registres de recurs que no són tan utilitzats i que es mencionen a continuació:

  • HINFO: (Host Information) informació sobre el tipus d'ordinador.
  • MB: (Mail Box) informació sobre una bústia de correu.
  • MG: (Mailgroup) informació sobre un grup de correu.
  • MR: nom nou d'una bústia de correu.
  • WKS (Well Known Services) llista de serveis del host.
  • TXT: (Text) text descriptiu.
  • NULL: (Null) registre buit.
  • AAAA () corresponent a una adreça de host usant Ipv6.

Evolució del protocol i seguretat

Els protocols DNS han evolucionat molt gràcies a les noves necessitats provocades per l'increment exponencial de les xarxes. Una de les principals vies en evolució és el DDNS o dinàmic DNS i el DNSSEC o DNS segur.

DDNS

El protocol DDNS (dynamic DNS) permet que les dades del servidor DNS s'actualitzin en temps real. El principal ús és permetre que clients amb adreces IP dinàmiques d'interval puguin disposar d'un nom de domini (a pesar que la seva adreça IP varia d'una sessió a una altra). Un mecanisme consisteix a permetre que els servidors DHCP es comuniquin amb els servidors DNS i els notifiquin les actualitzacions a la base de dades de DNS que cal fer. En funció de les configuracions de xarxa que els servidors DHCP proporcionen als seus clients es fan les actualitzacions al DNS.

DNSSEC

Man in the middle

S'anomena man-in-the-middle aquells equips que es fan passar per altres en una connexió de xarxa. El client creu connectar amb el seu banc, però de fet està connectant amb un "atacant" situat entremig. Aquest atacant rep el trànsit del client i el transfereix al banc, rep la resposta del banc i la passa al client. En aquest procés està en disposició de "manipular" tot aquest trànsit a la seva conveniència.

DNSSEC o Domain Name System Security Extensions (extensions de seguretat per a DNS) són un conjunt d'especificacions de seguretat per permetre una comunicació DNS segura, de manera que el client pugui estar plenament segur que qui li respon les consultes és el seu servidor DNS i no un impostar (el man-in-the-middle). També garanteix la integritat de les dades tant de les consultes com de les respostes i a més a més està dissenyat per prevenir atacs de denegació de servei.

Servidors DNS enverinats

Un dels principals problemes del protocol DNS (com de tots els primers protocols d'Internet) és la falta de seguretat. Va ser dissenyat en una època de 'bon rotllo' on es confiava amb els altres integrants de la xarxa. Això avui en dia no és massa sensat.

Imagineu que un atacant aconsegueix el control d'un servidor DNS o aconsegueix fer passar el seu servidor DNS fals com a servidor d'un conjunt d'usuaris. Cada vegada que aquests clients fan una consulta a Internet, per exemple al seu banc (posant el nom de la web), el servidor DNS enverinat proporciona una adreça IP no del banc real sinó d'una web falsa amb la finalitat de...

Cada cop que accedim a una web, un servei, un host, etc. per mitjà del seu nom de domini, confiem que el servidor DNS proporcioni l'adreça IP correcta. Som confiats, eh?

Mapa conceptual

Mapa conceptual - Servei DNS

Vicent Jordà. Mapa conceptual - Servei DNS (CC BY-NC-SA)

Activitats i Pràctiques

Butlletí d'activitats
  1. Quina és la funció principal del servei DNS?
  2. Quines característiques té el servei DNS?
  3. Explica què són els fitxers plans per a l'assignació de noms. On estan emmagatzemats?
  4. Les bases de dades DNS es defineixen com jerarquitzades i distribuïdes. ¿Què signifiquen estos conceptes? ¿Quina informació emmagatzemen?
  5. Quins avantatges té l'ús de servidors DNS locals respecte als externs.
  6. Quins tipus de mecanismes de resolució de noms (consultes) existeixen? Explica el procés d'un d'ells. És aconsellable recolzar-se en dibuixos i esquemes.
  7. Què és l'espai de noms de domini? Com s'estructura? Pots fer dibuixos i esquemes.
  8. Què és una zona? Quina relació té amb el concepte de delegació?
  9. Què vol dir que un servidor de noms és autoritatiu respecte a un domini? Quina diferència hi ha entre un servidor primari i un secundari?
  10. Nomena els tipus de registres que hi ha i quina utilitat tenen.
  11. Busca la pàgina web de ICAAN i explica amb les teues paraules quina és la seua funció.
  12. Explica amb les teues paraules com funciona un servidor cau (caché).
P1. Resolució de noms de dominim amb nslookup

nslookup és una eina que permet fer consultes DNS per resoldre noms de domini i obtenir informació sobre els servidors DNS.

Resolució bàsica d'un domini:

  • Obre una terminal i executa:

    Bash
    1
    nslookup google.com

  • Anàlisi dels resultats: Observa com el nom de domini es resol en una adreça IP. L'IP és necessària perquè els ordinadors puguin trobar els servidors web correctes. També observa quin servidor DNS ha estat utilitzat per a la consulta.

Consulta de servidors de correu (MX records):

  • Els registres MX (Mail Exchange) indiquen els servidors responsables de gestionar el correu electrònic per un domini. Executa:
Bash
1
nslookup -query=mx gmail.com
  • Anàlisi dels resultats: Quins servidors són els responsables de gestionar el correu de gmail.com?

Canvi de servidor DNS per a la consulta:

Per defecte, nslookup utilitza el servidor DNS configurat en el sistema. Podem utilitzar altres servidors, com ara el DNS de Google (8.8.8.8):

Bash
1
nslookup google.com 8.8.8.8
  • Anàlisi dels resultats: Comprova si els resultats són diferents quan utilitzem un servidor DNS diferent.
P2. Investigació de registres DNS amb dig

dig (Domain Information Groper) és una eina potent per fer consultes DNS i obtenir informació detallada dels registres associats a un domini. És especialment útil per a l'anàlisi de registres específics.

Consulta d'un domini:

  • Obre la terminal i executa:
Bash
1
dig google.com
  • Anàlisi dels resultats: Analitza la informació de les seccions "Question Section" i "Answer Section". Quina IP retorna el servidor DNS?

Consulta de registres específics:

  • Registres A (IPv4):
Bash
1
dig google.com A
  • Registres MX (correu):
Bash
1
dig gmail.com MX
  • Registres NS (servidors de noms):
Bash
1
dig google.com NS
  • Registres TXT (informació textual):
Bash
1
dig google.com TXT
  • Anàlisi dels resultats: Quins són els resultats per a cada tipus de registre? Quins servidors de noms gestiona google.com? Quins servidors de correu s'associen a gmail.com?

Canvi de servidor DNS per a la consulta:

  • Executa la mateixa comanda utilitzant un servidor DNS diferent, com el de Cloudflare (1.1.1.1):
Bash
1
dig google.com @1.1.1.1
  • Anàlisi dels resultats: Hi ha alguna diferència en els resultats?

Annex I: dig amb +trace

La comanda dig amb l'opció +trace realitza una consulta de DNS (Domain Name System) que segueix la cadena de servidors DNS des del root fins al servidor autoritatiu per al domini sol·licitat. Això permet veure com el sistema de noms de domini resol el nom de domini, pas a pas, començant des dels servidors arrel i passant per cada nivell d'autoritat en el sistema DNS.

Exemple de sortida de dig +trace

Suposem que executem:

1
dig +trace example.com

L'eixida típica podria veure's així:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
; <<>> DiG 9.16.1-Ubuntu <<>> +trace example.com
;; global options: +cmd
.                       518400  IN  NS  a.root-servers.net.
.                       518400  IN  NS  b.root-servers.net.
.                       518400  IN  NS  c.root-servers.net.
.                       518400  IN  NS  d.root-servers.net.
.                       518400  IN  NS  e.root-servers.net.
.                       518400  IN  NS  f.root-servers.net.
.                       518400  IN  NS  g.root-servers.net.
.                       518400  IN  NS  h.root-servers.net.
.                       518400  IN  NS  i.root-servers.net.
.                       518400  IN  NS  j.root-servers.net.
.                       518400  IN  NS  k.root-servers.net.
.                       518400  IN  NS  l.root-servers.net.
.                       518400  IN  NS  m.root-servers.net.
;; Received 108 bytes from 192.168.1.1#53(192.168.1.1) in 3 ms

com.                    172800  IN  NS  a.gtld-servers.net.
com.                    172800  IN  NS  b.gtld-servers.net.
com.                    172800  IN  NS  c.gtld-servers.net.
com.                    172800  IN  NS  d.gtld-servers.net.
com.                    172800  IN  NS  e.gtld-servers.net.
com.                    172800  IN  NS  f.gtld-servers.net.
;; Received 397 bytes from 198.41.0.4#53(198.41.0.4) in 50 ms

example.com.            172800  IN  NS  ns1.example.net.
example.com.            172800  IN  NS  ns2.example.net.
;; Received 118 bytes from 192.5.6.30#53(192.5.6.30) in 65 ms

example.com.            86400   IN  A   93.184.216.34
;; Received 56 bytes from 192.0.2.1#53(192.0.2.1) in 42 ms

Desglossament de l'eixida:

  1. Consultes als servidors arrel:

    • Primer, la comanda consulta un dels servidors arrel (a.root-servers.net, b.root-servers.net, etc.). La resposta inclou els servidors de noms del domini de primer nivell (com, en aquest cas), indicant que example.com pertany al domini .com.

  2. Consulta als servidors de domini de primer nivell (TLD):

    • Després, consulta un dels servidors TLD (a.gtld-servers.net, b.gtld-servers.net, etc.) per al domini .com. Els servidors TLD proporcionen els servidors de noms autoritaris per al domini example.com.

  3. Consulta als servidors autoritaris:

    • Després, es realitza una consulta als servidors autoritaris per a example.com, en aquest cas ns1.example.net i ns2.example.net. Aquests són els servidors que contenen la informació final sobre el domini sol·licitat.

  4. Resposta final:

    • Finalment, un dels servidors autoritaris retorna l'adreça IP associada amb example.com (en aquest cas, 93.184.216.34).

Aspectes clau en l'eixida:

  • NS (Name Server): Indica els servidors de noms que responen pel domini en cada nivell.
  • A (Address): L'adreça IP associada amb el domini sol·licitat.
  • Temps de resposta: El temps en mil·lisegons (ms) indica quant de temps va trigar a rebre la resposta des del servidor corresponent.
  • Pas a pas: La comanda mostra cada consulta que es realitza i com es resol, permetent veure la cadena completa de servidors DNS.

Per què usar +trace?

Usar +trace és útil per depurar problemes amb la resolució de noms, ja que permet veure exactament quins servidors estan involucrats i quines respostes estan retornant. Això és útil per detectar problemes de configuració, com si un servidor DNS autoritari no està responent correctament o si hi ha un error en els registres DNS.

Presentació

Presentació