| 1 | Ejercicio DNS: dig, parte 1 |
|---|
| 2 | |
|---|
| 3 | En este ejercicio usaremos la mquina "auth1" como su estacin de trabajo. |
|---|
| 4 | En realidad esto no es muy importante porque simplemente estaremos usando |
|---|
| 5 | el comando 'dig' |
|---|
| 6 | |
|---|
| 7 | DIG |
|---|
| 8 | --- |
|---|
| 9 | |
|---|
| 10 | 1. Haga peticiones de DNS usando 'dig': |
|---|
| 11 | |
|---|
| 12 | Nota: Asegrese de especificar explcitamente el servidor al que quiere interrogar |
|---|
| 13 | usando la sintaxis "@" en dig: |
|---|
| 14 | |
|---|
| 15 | $ dig @servidor |
|---|
| 16 | |
|---|
| 17 | Si no especifica la IP del servidor, entonces dig utilizar el servidor o servidores |
|---|
| 18 | configurados en su /etc/resolv.conf |
|---|
| 19 | |
|---|
| 20 | 1a. Ejecute cada comand, busque la seccin de respuesta (ANSWER) y anote el resultado. |
|---|
| 21 | Tome nota del TTL tambin. |
|---|
| 22 | |
|---|
| 23 | Repita el comando. El TTL es igual? Son autorizadas las respuestas? |
|---|
| 24 | |
|---|
| 25 | RESULTADO 1 RESULTADO 2 |
|---|
| 26 | ----------- ----------- |
|---|
| 27 | $ dig @10.10.0.254 su-dominio-favorito a |
|---|
| 28 | $ dig @10.10.0.254 www.google.com. a |
|---|
| 29 | $ dig @10.10.0.254 afnog.org. mx |
|---|
| 30 | $ dig @10.10.0.254 dominio-que-no-exista any |
|---|
| 31 | $ dig @10.10.0.254 tiscali.co.uk. txt |
|---|
| 32 | $ dig @10.10.0.254 www.afrinic.net aaaa |
|---|
| 33 | $ dig @10.10.0.254 ipv6.google.com aaaa |
|---|
| 34 | |
|---|
| 35 | 1b. Ahora enve peticiones a otro servidor recursivo. |
|---|
| 36 | |
|---|
| 37 | (Ejecute cada comando dos veces y anote el tiempo de respuesta en milisegundos) |
|---|
| 38 | |
|---|
| 39 | RESULTADO 1 RESULTADO 2 |
|---|
| 40 | ----------- ----------- |
|---|
| 41 | $ dig @8.8.8.8 news.bbc.co.uk. a |
|---|
| 42 | $ dig @208.67.222.222 yahoo.com. a |
|---|
| 43 | $ dig @<servidor-preferido> <dominio-preferido> a |
|---|
| 44 | |
|---|
| 45 | Cunto tiempo se tard en recibir cada respuesta? (en la primera peticin, y en la segunda?) |
|---|
| 46 | |
|---|
| 47 | 2. Bsquedas de DNS inverso |
|---|
| 48 | |
|---|
| 49 | Ahora, pruebe las siguientes peticiones - fjese que aqu no especificamos |
|---|
| 50 | qu servidor dig cuestionar. Cul servidor ser utilizado? |
|---|
| 51 | |
|---|
| 52 | $ dig -x 10.10.X.1 |
|---|
| 53 | $ dig -x 10.10.X.2 |
|---|
| 54 | $ dig -x 10.10.X.3 |
|---|
| 55 | |
|---|
| 56 | ... sustituya X por una direccin IP en el rango 1-25 |
|---|
| 57 | |
|---|
| 58 | Repita para cualquier IP de su preferencia, en la Internet. Recuerde que deber |
|---|
| 59 | utilizar 10.10.0.254 para poder enviar peticiones hacia la Internet. |
|---|
| 60 | |
|---|
| 61 | Ahora, pruebe: |
|---|
| 62 | |
|---|
| 63 | $ dig 1.X.10.10.in-addr.arpa. PTR |
|---|
| 64 | |
|---|
| 65 | ... sustituya X por una direccin IP en el rango 1-25. |
|---|
| 66 | |
|---|
| 67 | Qu observa? |
|---|
| 68 | |
|---|
| 69 | Ahora probemos con IPv6: |
|---|
| 70 | |
|---|
| 71 | $ dig -x 2001:42d0::200:2:1 |
|---|
| 72 | |
|---|
| 73 | Qu diferencias puede observar en los resultados, entre el DNS |
|---|
| 74 | inverso para IPv4 e IPv6 ? |
|---|
| 75 | |
|---|
| 76 | Nota: Es posible que no reciba una respuesta para la direccin de IPv6, |
|---|
| 77 | pero compare la seccin de pregunta para las direcciones IPv4 e IPv6. |
|---|
| 78 | |
|---|
| 79 | 3. DNSSEC y EDNS0 |
|---|
| 80 | |
|---|
| 81 | Repita algunas de las peticiones anteriores, pero esta vez |
|---|
| 82 | aada la opcin "+edns=0". |
|---|
| 83 | |
|---|
| 84 | Por ejemplo: |
|---|
| 85 | |
|---|
| 86 | $ dig @10.10.0.254 www.icann.org +edns=0 |
|---|
| 87 | |
|---|
| 88 | (quiz convenga usar "more" para limitar la salida del comando, una |
|---|
| 89 | pantalla a la vez) |
|---|
| 90 | |
|---|
| 91 | $ dig @10.10.0.254 www.icann.org +edns=0 | more |
|---|
| 92 | |
|---|
| 93 | |
|---|
| 94 | Fjese en la seccin de OPT PSEUDOSECTION, hacia la parte superior |
|---|
| 95 | |
|---|
| 96 | Qu observa acerca de la parte "flags:" de esta seccin? |
|---|
| 97 | |
|---|
| 98 | Vamos a activar explcitamente la opcin BUFSIZE, pero no EDNS0: |
|---|
| 99 | |
|---|
| 100 | $ dig @10.10.0.254 www.icann.org +bufsize=1024 | more |
|---|
| 101 | |
|---|
| 102 | Fjese que EDNS es activado automticamente, y observe la seccin |
|---|
| 103 | "udp: " en la pseudoseccin OPT. |
|---|
| 104 | |
|---|
| 105 | Ahora, probemos buscando rcords DNSSEC: |
|---|
| 106 | |
|---|
| 107 | $ dig @10.10.0.254 isoc.org DNSKEY | more |
|---|
| 108 | $ dig @10.10.0.254 www.isoc.org RRSIG | more |
|---|
| 109 | |
|---|
| 110 | Finalmente, digmosle a nuestro servidor que soportamos DNSSEC: |
|---|
| 111 | |
|---|
| 112 | $ dig @10.10.0.254 www.isoc.org A +dnssec |
|---|
| 113 | $ dig @10.10.0.254 isoc.org NS +dnssec |
|---|
| 114 | |
|---|
| 115 | Nota un nuevo campo en la seccin "flags:" de la respuesta ? |
|---|
| 116 | |
|---|
| 117 | $ dig @10.10.0.254 www.isoc.org A |
|---|
| 118 | $ dig @10.10.0.254 isoc.org NS |
|---|
| 119 | |
|---|
| 120 | Compare con dig SIN la opcin +dnssec: |
|---|
| 121 | |
|---|
| 122 | Si ya est ejecutando un demonio en su servidor local, qu |
|---|
| 123 | pasa si le enva peticiones con DNSSEC activado? |
|---|
| 124 | |
|---|
| 125 | $ dig @127.0.0.1 noc.ws.nsrc.org A +dnssec |
|---|
| 126 | $ dig @127.0.0.1 ws.nsrc.org NS +dnssec |
|---|
| 127 | |
|---|