1 | Ejercicio DNS: dig, parte 2 |
---|
2 | ==================================================== |
---|
3 | |
---|
4 | No necesita ser root para hacer este ejercicio. NOTA: es buena idea |
---|
5 | poner un punto al final de cada dominio - esto evita que el dominio |
---|
6 | por defecto en `/etc/resolv.conf` sea agregado automticamente. |
---|
7 | |
---|
8 | Por ejemplo: probando __www.tiscali.co.uk.__ |
---|
9 | |
---|
10 | Para este ejercicio, necesitamos cambiar temporalmente su servidor |
---|
11 | por defecto, configurado en /etc/resolv.conf, a 10.10.0.254, as: |
---|
12 | |
---|
13 | # ee /etc/resolv.conf |
---|
14 | |
---|
15 | y configure el servidor como sigue: |
---|
16 | |
---|
17 | nameserver 10.10.0.254 |
---|
18 | |
---|
19 | Guarde el fichero y salga del editor. |
---|
20 | |
---|
21 | Nota: Esto es neceario, de lo contrario no podremos hacer |
---|
22 | peticiones hacia la Internet. |
---|
23 | |
---|
24 | 1. Haga una peticin comenzando por un servidor raz |
---|
25 | --------------------------------------------- |
---|
26 | |
---|
27 | Los servidores raz se llaman `[a-m].root-servers.net.` |
---|
28 | Elija cualquiera para empezar. |
---|
29 | |
---|
30 | $ dig +norec @f.root-servers.net. www.tiscali.co.uk. a |
---|
31 | |
---|
32 | ; <<>> DiG 9.7.2-P3 <<>> +norec @a.root-servers.net. www.tiscali.co.uk. a |
---|
33 | ; (2 servers found) |
---|
34 | ;; global options: +cmd |
---|
35 | ;; Got answer: |
---|
36 | ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8712 |
---|
37 | ;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 11, ADDITIONAL: 14 |
---|
38 | |
---|
39 | ;; QUESTION SECTION: |
---|
40 | ;www.tiscali.co.uk. IN A |
---|
41 | |
---|
42 | ;; AUTHORITY SECTION: |
---|
43 | uk. 172800 IN NS ns1.nic.uk. |
---|
44 | uk. 172800 IN NS ns2.nic.uk. |
---|
45 | uk. 172800 IN NS ns3.nic.uk. |
---|
46 | uk. 172800 IN NS ns4.nic.uk. |
---|
47 | uk. 172800 IN NS ns5.nic.uk. |
---|
48 | uk. 172800 IN NS ns6.nic.uk. |
---|
49 | uk. 172800 IN NS ns7.nic.uk. |
---|
50 | uk. 172800 IN NS nsa.nic.uk. |
---|
51 | uk. 172800 IN NS nsb.nic.uk. |
---|
52 | uk. 172800 IN NS nsc.nic.uk. |
---|
53 | uk. 172800 IN NS nsd.nic.uk. |
---|
54 | |
---|
55 | ;; ADDITIONAL SECTION: |
---|
56 | ns1.nic.uk. 172800 IN AAAA 2a01:40:1001:35::2 |
---|
57 | ns1.nic.uk. 172800 IN A 195.66.240.130 |
---|
58 | ns2.nic.uk. 172800 IN A 217.79.164.131 |
---|
59 | ns3.nic.uk. 172800 IN A 213.219.13.131 |
---|
60 | ns4.nic.uk. 172800 IN AAAA 2001:630:181:35::83 |
---|
61 | ns4.nic.uk. 172800 IN A 194.83.244.131 |
---|
62 | ns5.nic.uk. 172800 IN A 213.246.167.131 |
---|
63 | ns6.nic.uk. 172800 IN A 213.248.254.130 |
---|
64 | ns7.nic.uk. 172800 IN A 212.121.40.130 |
---|
65 | nsa.nic.uk. 172800 IN AAAA 2001:502:ad09::3 |
---|
66 | nsa.nic.uk. 172800 IN A 156.154.100.3 |
---|
67 | nsb.nic.uk. 172800 IN A 156.154.101.3 |
---|
68 | nsc.nic.uk. 172800 IN A 156.154.102.3 |
---|
69 | nsd.nic.uk. 172800 IN A 156.154.103.3 |
---|
70 | |
---|
71 | ;; Query time: 8 msec |
---|
72 | ;; SERVER: 198.41.0.4#53(198.41.0.4) |
---|
73 | ;; WHEN: Tue Feb 15 15:53:13 2011 |
---|
74 | ;; MSG SIZE rcvd: 497 |
---|
75 | |
---|
76 | |
---|
77 | Nota: Slo obtuvimos rcords NS (ms informacin relacionada - los records |
---|
78 | A que corresponden a estos servidores de nombres). Esto se conoce como una |
---|
79 | referencia (REFERRAL). |
---|
80 | |
---|
81 | En teora deberamos repetir esto con `b.root-servers.net`, |
---|
82 | `c.root-servers.net` ... y revisar todas las respuestas. Ocasionalmente |
---|
83 | usted _podra_ notar inconsistencias entre los servidores raz, pero sera |
---|
84 | muy raro. |
---|
85 | |
---|
86 | 2. Fjese en los 11 servidores que obtuvimos en la respuesta |
---|
87 | -------------------------------------------------------------- |
---|
88 | |
---|
89 | (Recuerde que DNS no distingue entre maysculas y minsculas. Adems, los |
---|
90 | recibimos en orden aleatorio; esto no importa porque vamos a probarlos todos |
---|
91 | de cualquier manera) |
---|
92 | |
---|
93 | ns1.nic.uk. |
---|
94 | ns2.nic.uk. |
---|
95 | ns3.nic.uk. |
---|
96 | ns4.nic.uk. |
---|
97 | ns5.nic.uk. |
---|
98 | ns6.nic.uk. |
---|
99 | ns7.nic.uk. |
---|
100 | nsa.nic.uk. |
---|
101 | nsb.nic.uk. |
---|
102 | nsc.nic.uk. |
---|
103 | nsd.nic.uk. |
---|
104 | |
---|
105 | 3. Repita la peticin para cada servidor NS |
---|
106 | ---------------------------------------------- |
---|
107 | |
---|
108 | $ dig +norec @ns1.nic.uk. www.tiscali.co.uk. a |
---|
109 | |
---|
110 | ; <<>> DiG 9.7.2-P3 <<>> +norec @ns1.nic.uk. www.tiscali.co.uk. a |
---|
111 | ; (1 server found) |
---|
112 | ;; global options: printcmd |
---|
113 | ;; Got answer: |
---|
114 | ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28452 |
---|
115 | ;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 1 |
---|
116 | |
---|
117 | ;; QUESTION SECTION: |
---|
118 | ;www.tiscali.co.uk. IN A |
---|
119 | |
---|
120 | ;; AUTHORITY SECTION: |
---|
121 | tiscali.co.uk. 172800 IN NS ns0.as9105.com. |
---|
122 | tiscali.co.uk. 172800 IN NS ns0.tiscali.co.uk. |
---|
123 | |
---|
124 | ;; ADDITIONAL SECTION: |
---|
125 | ns0.tiscali.co.uk. 172800 IN A 212.74.114.132 |
---|
126 | |
---|
127 | ;; Query time: 20 msec |
---|
128 | ;; SERVER: 195.66.240.130#53(195.66.240.130) |
---|
129 | ;; WHEN: Mon May 16 12:37:23 2005 |
---|
130 | ;; MSG SIZE rcvd: 97 |
---|
131 | |
---|
132 | |
---|
133 | $ dig +norec @ns2.nic.uk. www.tiscali.co.uk. a |
---|
134 | ... |
---|
135 | |
---|
136 | $ dig +norec @ns3.nic.uk. www.tiscali.co.uk. a |
---|
137 | ... |
---|
138 | ... etc |
---|
139 | |
---|
140 | *Revise que los resultados son consistentes!* |
---|
141 | |
---|
142 | Nota: Si un servidor es autorizado para el dominio como para el sub-dominio, |
---|
143 | retornar inmediatamente el resultado para el sub-dominio. Esto es normal. |
---|
144 | En este ejemplo, los mismos servidores son autorizados para ambos `.uk` y `.co.uk`, |
---|
145 | por lo tanto pueden referirnos inmediatamente a `tiscali.co.uk`, movendonos |
---|
146 | dos niveles hacia abajo en la jerarqua de un golpe. |
---|
147 | |
---|
148 | Puede ver aqu que estamos recibiendo otra delegacin, esta vez a otros |
---|
149 | dos servidores: |
---|
150 | |
---|
151 | > ns0.as9105.com |
---|
152 | > ns0.tiscali.co.uk |
---|
153 | |
---|
154 | 4. Repita la misma peticin con todos los servidores NS del paso 3 |
---|
155 | ------------------------------------------------------------------ |
---|
156 | |
---|
157 | $ dig +norec @ns0.tiscali.co.uk. www.tiscali.co.uk. a |
---|
158 | |
---|
159 | ; <<>> DiG 9.7.2-P3 <<>> +norec @ns0.tiscali.co.uk. www.tiscali.co.uk. a |
---|
160 | ; (1 server found) |
---|
161 | ;; global options: +cmd |
---|
162 | ;; Got answer: |
---|
163 | ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52841 |
---|
164 | ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 |
---|
165 | |
---|
166 | ;; QUESTION SECTION: |
---|
167 | ;www.tiscali.co.uk. IN A |
---|
168 | |
---|
169 | ;; ANSWER SECTION: |
---|
170 | www.tiscali.co.uk. 300 IN A 212.74.99.30 |
---|
171 | |
---|
172 | ;; AUTHORITY SECTION: |
---|
173 | tiscali.co.uk. 3600 IN NS ns0.tiscali.co.uk. |
---|
174 | tiscali.co.uk. 3600 IN NS ns0.as9105.com. |
---|
175 | |
---|
176 | ;; ADDITIONAL SECTION: |
---|
177 | ns0.as9105.com. 604800 IN A 212.139.129.130 |
---|
178 | ns0.tiscali.co.uk. 604800 IN A 212.74.114.132 |
---|
179 | |
---|
180 | ;; Query time: 322 msec |
---|
181 | ;; SERVER: 212.74.114.132#53(212.74.114.132) |
---|
182 | ;; WHEN: Tue Feb 15 16:01:04 2011 |
---|
183 | ;; MSG SIZE rcvd: 129 |
---|
184 | |
---|
185 | |
---|
186 | $ dig +norec @ns0.as9105.com. www.tiscali.co.uk. a |
---|
187 | ... |
---|
188 | ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 |
---|
189 | ... |
---|
190 | ;; ANSWER SECTION: |
---|
191 | www.tiscali.co.uk. 300 IN A 212.74.99.30 |
---|
192 | |
---|
193 | |
---|
194 | Esta vez, en lugar de recibir otra delegacin, hemos encontrado la respuesta |
---|
195 | que buscbamos. Fjese que amobos servidores estn dando respuestas autorizadas |
---|
196 | (`flags: aa`), y que los resultados son iguales. Tambin observe que la seccin |
---|
197 | 'AUTHORITY SECTION' en la respuesta tienen la *misma* lista de servidores que |
---|
198 | usamos para hacer la peticin. (Este segundo conjunto de servidores NS estn |
---|
199 | contenidos en los servidores autorizados, al contrario de la delegacin desde |
---|
200 | ms arriba) |
---|
201 | |
---|
202 | Pista: pruebe esto: |
---|
203 | |
---|
204 | $ dig + nssearch tiscali.co.uk |
---|
205 | |
---|
206 | 5. Lista de comprobacin |
---|
207 | ------------------------- |
---|
208 | |
---|
209 | * Pudo alcanzar todos los servidores? |
---|
210 | * Haba al menos dos servidores en subredes distintas? |
---|
211 | * Todos dieron o una referencia o una AA (Authoritative Answer)? |
---|
212 | * Fueron iguales todas las respuestas? |
---|
213 | * Los valores de TTL eran razonables? |
---|
214 | * Era igual la lista de servidores finales en la AUTHORITY SECTION que |
---|
215 | en la delegacin? |
---|
216 | |
---|
217 | 6. Ahora, revise los rcords NS! |
---|
218 | --------------------------------------- |
---|
219 | |
---|
220 | Recuerde que cada record NS contiene el nombre de un nodo, no una direccin |
---|
221 | IP. (No est permitido apuntar un NS record a una IP, no va a funcionar) |
---|
222 | |
---|
223 | Pero, cuando ejecutbamos algo como `dig @ns0.as9105.com ...`, estbamos |
---|
224 | depeniendo de que dig hiciera una bsqueda del rcord tipo A. De hecho, |
---|
225 | estbamos haciendo dos peticiones: |
---|
226 | |
---|
227 | - dig pregunta por la direccin IP de ns0.as9105.com, haciendo |
---|
228 | una bsqueda recursiva usando el servidor configurado en |
---|
229 | /etc/resolv.conf |
---|
230 | |
---|
231 | - Una vez encontrada la direccin IP, dig puede enviar la |
---|
232 | peticin a dicho servidor |
---|
233 | |
---|
234 | Por lo tanto, necesita empezar de nuevo y revise cada record NS entontrado, |
---|
235 | a partir de la raz, exatamente de la misma manera! Esto es tedioso, y |
---|
236 | generalmente los servidores raz estn correctos. Pero vale la pena revisar |
---|
237 | los records NS del pas y bajar hasta los suyos propios. |
---|
238 | |
---|
239 | Por ejemplo: revisar ns0.as9105.com |
---|
240 | |
---|
241 | $ dig +norec @a.root-servers.net. ns0.as9105.com. a |
---|
242 | ... referencia a [a-m].gtld-servers.net. |
---|
243 | |
---|
244 | $ dig +norec @a.gtld-servers.net. ns0.as9105.com. a |
---|
245 | ;; flags: qr; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1 |
---|
246 | ;; ANSWER SECTION: |
---|
247 | ns0.as9105.com. 172800 IN A 212.139.129.130 <==== |
---|
248 | |
---|
249 | ;; AUTHORITY SECTION: |
---|
250 | as9105.com. 172800 IN NS ns0.as9105.com. |
---|
251 | as9105.com. 172800 IN NS ns0.tiscali.co.uk. |
---|
252 | |
---|
253 | Fjese que obtuvimos una respuesta - peno no es autorizada! |
---|
254 | (Adems del faltante 'aa', observe que el servidor que interrogamos no |
---|
255 | es uno de los nodos listados en la 'authority section') |
---|
256 | |
---|
257 | Esto no es un error, siempre que la informacin sea correcta - se llama |
---|
258 | un "glue record" (record pegamento), que veremos ms tarde - pero necesitamos |
---|
259 | continuar camino abajo en la jerarqua: |
---|
260 | |
---|
261 | $ dig +norec @ns0.as9105.com. ns0.as9105.com. a |
---|
262 | ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1 |
---|
263 | |
---|
264 | ;; ANSWER SECTION: |
---|
265 | ns0.as9105.com. 2419200 IN A 212.139.129.130 <==== |
---|
266 | |
---|
267 | ;; AUTHORITY SECTION: |
---|
268 | as9105.com. 600 IN NS ns0.tiscali.co.uk. |
---|
269 | as9105.com. 600 IN NS ns0.as9105.com. |
---|
270 | |
---|
271 | ;; ADDITIONAL SECTION: |
---|
272 | ns0.tiscali.co.uk. 2419200 IN A 212.74.114.132 |
---|
273 | |
---|
274 | |
---|
275 | $ dig +norec @ns0.tiscali.co.uk. ns0.as9105.com. a |
---|
276 | ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1 |
---|
277 | |
---|
278 | ;; ANSWER SECTION: |
---|
279 | ns0.as9105.com. 2419200 IN A 212.139.129.130 <==== |
---|
280 | |
---|
281 | ;; AUTHORITY SECTION: |
---|
282 | as9105.com. 600 IN NS ns0.tiscali.co.uk. |
---|
283 | as9105.com. 600 IN NS ns0.as9105.com. |
---|
284 | |
---|
285 | ;; ADDITIONAL SECTION: |
---|
286 | ns0.tiscali.co.uk. 2419200 IN A 212.74.114.132 |
---|
287 | |
---|
288 | Ahora compruebe: |
---|
289 | |
---|
290 | * Fueron iguales todas las respuestas? (S: 212.139.129.130 en |
---|
291 | `a.gtld-servers.net` y los servidores autorizados) |
---|
292 | * Hubo concordancia entre los records NS de la delegacin y de |
---|
293 | los autorizados? (S: delegacin a `ns0.as9105.com` y |
---|
294 | `ns0.tiscali.co.uk`, y estos mismos records aparecen en la |
---|
295 | 'authority section' de la respuesta final) |
---|
296 | |
---|
297 | El significado de NOERROR |
---|
298 | -------------------------- |
---|
299 | |
---|
300 | Puede que se haya fijado en el campo de "status: " en la salida de |
---|
301 | dig: |
---|
302 | |
---|
303 | status: NXDOMAIN |
---|
304 | o |
---|
305 | status: NOERROR |
---|
306 | |
---|
307 | NXDOMAIN significa "dominio no-existente" (Non-eXistent Domain). Quiere |
---|
308 | decir: "Lo sentimos, no hay informacin acerca del nombre en cuestin". |
---|
309 | Por ejemplo: |
---|
310 | |
---|
311 | $ dig +norec @ns0.tiscali.co.uk. wibble.tiscali.co.uk. a |
---|
312 | |
---|
313 | É retornar NXDOMAIN. No hay nada en el dominio tiscali.co.uk con el |
---|
314 | nombre "wibble". Ningn rcord A, o AAAA, etcÉ |
---|
315 | |
---|
316 | Bien, puede que tambin haya notado que la seccin ANSWER puede contener |
---|
317 | 0 respuestas, pero an as, el servidor retorna "NOERROR", y no "NXDOMAIN". |
---|
318 | |
---|
319 | Por qu? |
---|
320 | |
---|
321 | Digamos, por ejemplo, que queremos saber la direccin IP de |
---|
322 | www.tiscali.co.uk: |
---|
323 | |
---|
324 | $ dig +norec @ns0.tiscali.co.uk. www.tiscali.co.uk. a |
---|
325 | |
---|
326 | Todo bien. Debera ver lo siguiente: |
---|
327 | |
---|
328 | status: NOERROR |
---|
329 | ANSWER: 1 |
---|
330 | |
---|
331 | Ahora, preguntemos por un tipo de record *diferente* (conocido como |
---|
332 | tipo de record de recurso, "resource record type", para ser precisos): |
---|
333 | |
---|
334 | $ dig +norec @ns0.tiscali.co.uk. www.tiscali.co.uk. txt |
---|
335 | |
---|
336 | Note que pedimos por un rcord TXT bajo el nombre "www.tiscali.co.uk." |
---|
337 | Qu obtenemos? |
---|
338 | |
---|
339 | status: NOERROR |
---|
340 | ANSWER: 0 |
---|
341 | |
---|
342 | Cmo puede ser? |
---|
343 | |
---|
344 | NOERROR en este caso significa "Lo sentimos, no existe informacin sobre |
---|
345 | el NOMBRE Y TIPO de record solicitado. Aj! Aqu nos estn diciendo que |
---|
346 | no existe un rcord tipo TXT para www.tiscali.co.uk - pero que puede haber |
---|
347 | informacin bajo otros tipos de records. |
---|
348 | |
---|
349 | De hecho, ya lo sabemos gracias a la solicitud anterior: |
---|
350 | |
---|
351 | $ dig +norec @ns0.tiscali.co.uk. www.tiscali.co.uk. a |
---|
352 | |
---|
353 | É que nos proporciona la direccin IP de tal nombre. |
---|
354 | |
---|
355 | Por lo tanto, un nombre no existente (NXDOMAIN) o una respuesta vaca |
---|
356 | (NOERROR + ANSWER: 0) es an una respuesta, y es necesario almacenar |
---|
357 | (cache) esto, como veremos ms abajo. |
---|
358 | |
---|
359 | Respuestas negativas |
---|
360 | -------------------- |
---|
361 | |
---|
362 | La no-existencia de un record tambin es informacin importante. La |
---|
363 | respuesta obtenida debera ser algo como: |
---|
364 | |
---|
365 | $ dig +norec @ns0.tiscali.co.uk. wibble.tiscali.co.uk. a |
---|
366 | ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 51165 |
---|
367 | ;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 |
---|
368 | |
---|
369 | ;; AUTHORITY SECTION: |
---|
370 | tiscali.co.uk. 3600 IN SOA ns0.tiscali.co.uk. hostmaster.talktalkplc.com. |
---|
371 | 2011012703 10800 3600 604800 3600 |
---|
372 | |
---|
373 | |
---|
374 | El bit AA est activado, pero no hay nada en la respuesta aparte del SOA. Los |
---|
375 | parmetros en el SOA se usan para saber qu tanto tiempo se pueden almacenar |
---|
376 | (cache) las respuestas negativas. |
---|
377 | |
---|
378 | |
---|
379 | Significado de las banderas (flags) (RFC 1034/RFC 1035) |
---|
380 | ----------------------------------------- |
---|
381 | |
---|
382 | QR Campo de un bit que especifica si este mensaje es una |
---|
383 | solicitud (0), o una respuesta (1). |
---|
384 | |
---|
385 | AA Respuesta Autorizada - este bit es vlido en respuestas, |
---|
386 | y especifica que el servidor que responde est autorizado |
---|
387 | para el nombre de dominio en la seccin de pregunta. |
---|
388 | |
---|
389 | RD Recursin Deseada - este bit se puede marcar en la solicitud |
---|
390 | y se copia en la respuesta. Si RD est activado, indica |
---|
391 | al servidor que haga la peticin de manera recursiva. |
---|
392 | El soporte para solicitudes recursivas es opcional. |
---|
393 | |
---|
394 | RA Recursin Disponible - este bit se marca en una respuesta |
---|
395 | e indica si existe soporte para recusin en el servidor. |
---|
396 | |
---|
397 | Adems del bit 'AA', una alternativa para descubrir si una respuesta |
---|
398 | est almacenada (en la cach) es repetir la solicitud varias veces y observar |
---|
399 | el valor del TTL decrementando: |
---|
400 | |
---|
401 | $ dig psg.com. |
---|
402 | ;; ANSWER SECTION: |
---|
403 | psg.com. 14397 IN A 147.28.0.62 |
---|
404 | ^^^^^ |
---|
405 | $ dig psg.com. |
---|
406 | ;; ANSWER SECTION: |
---|
407 | psg.com. 14384 IN A 147.28.0.62 |
---|
408 | ^^^^^ |
---|
409 | |
---|
410 | |
---|
411 | Otras opciones de dig |
---|
412 | ------------------ |
---|
413 | |
---|
414 | Otras opciones de dig que le sern tiles - utilce el manual (man dig) |
---|
415 | para saber qu hacen: |
---|
416 | |
---|
417 | dig +tcp |
---|
418 | dig +trace |
---|
419 | |
---|
420 | Y pruebe las otras opciones que aparecen en el manual! |
---|
421 | |
---|
422 | |
---|
423 | Para concluir |
---|
424 | ------------- |
---|
425 | |
---|
426 | Recuerde restaurar la configuracin de /etc/resolv.conf: |
---|
427 | |
---|
428 | nameserver 10.10.0.230 |
---|
429 | |
---|