1 | Ejercicio DNS: dig, parte 1 |
---|
2 | |
---|
3 | En este ejercicio usaremos la mquina "auth1" como su estacin de trabajo. |
---|
4 | En realidad esto no es muy importante porque simplemente estaremos usando |
---|
5 | el comando 'dig' |
---|
6 | |
---|
7 | DIG |
---|
8 | --- |
---|
9 | |
---|
10 | 1. Haga peticiones de DNS usando 'dig': |
---|
11 | |
---|
12 | Nota: Asegrese de especificar explcitamente el servidor al que quiere interrogar |
---|
13 | usando la sintaxis "@" en dig: |
---|
14 | |
---|
15 | $ dig @servidor |
---|
16 | |
---|
17 | Si no especifica la IP del servidor, entonces dig utilizar el servidor o servidores |
---|
18 | configurados en su /etc/resolv.conf |
---|
19 | |
---|
20 | 1a. Ejecute cada comand, busque la seccin de respuesta (ANSWER) y anote el resultado. |
---|
21 | Tome nota del TTL tambin. |
---|
22 | |
---|
23 | Repita el comando. El TTL es igual? Son autorizadas las respuestas? |
---|
24 | |
---|
25 | RESULTADO 1 RESULTADO 2 |
---|
26 | ----------- ----------- |
---|
27 | $ dig @10.10.0.254 su-dominio-favorito a |
---|
28 | $ dig @10.10.0.254 www.google.com. a |
---|
29 | $ dig @10.10.0.254 afnog.org. mx |
---|
30 | $ dig @10.10.0.254 dominio-que-no-exista any |
---|
31 | $ dig @10.10.0.254 tiscali.co.uk. txt |
---|
32 | $ dig @10.10.0.254 www.afrinic.net aaaa |
---|
33 | $ dig @10.10.0.254 ipv6.google.com aaaa |
---|
34 | |
---|
35 | 1b. Ahora enve peticiones a otro servidor recursivo. |
---|
36 | |
---|
37 | (Ejecute cada comando dos veces y anote el tiempo de respuesta en milisegundos) |
---|
38 | |
---|
39 | RESULTADO 1 RESULTADO 2 |
---|
40 | ----------- ----------- |
---|
41 | $ dig @8.8.8.8 news.bbc.co.uk. a |
---|
42 | $ dig @208.67.222.222 yahoo.com. a |
---|
43 | $ dig @<servidor-preferido> <dominio-preferido> a |
---|
44 | |
---|
45 | Cunto tiempo se tard en recibir cada respuesta? (en la primera peticin, y en la segunda?) |
---|
46 | |
---|
47 | 2. Bsquedas de DNS inverso |
---|
48 | |
---|
49 | Ahora, pruebe las siguientes peticiones - fjese que aqu no especificamos |
---|
50 | qu servidor dig cuestionar. Cul servidor ser utilizado? |
---|
51 | |
---|
52 | $ dig -x 10.10.X.1 |
---|
53 | $ dig -x 10.10.X.2 |
---|
54 | $ dig -x 10.10.X.3 |
---|
55 | |
---|
56 | ... sustituya X por una direccin IP en el rango 1-25 |
---|
57 | |
---|
58 | Repita para cualquier IP de su preferencia, en la Internet. Recuerde que deber |
---|
59 | utilizar 10.10.0.254 para poder enviar peticiones hacia la Internet. |
---|
60 | |
---|
61 | Ahora, pruebe: |
---|
62 | |
---|
63 | $ dig 1.X.10.10.in-addr.arpa. PTR |
---|
64 | |
---|
65 | ... sustituya X por una direccin IP en el rango 1-25. |
---|
66 | |
---|
67 | Qu observa? |
---|
68 | |
---|
69 | Ahora probemos con IPv6: |
---|
70 | |
---|
71 | $ dig -x 2001:42d0::200:2:1 |
---|
72 | |
---|
73 | Qu diferencias puede observar en los resultados, entre el DNS |
---|
74 | inverso para IPv4 e IPv6 ? |
---|
75 | |
---|
76 | Nota: Es posible que no reciba una respuesta para la direccin de IPv6, |
---|
77 | pero compare la seccin de pregunta para las direcciones IPv4 e IPv6. |
---|
78 | |
---|
79 | 3. DNSSEC y EDNS0 |
---|
80 | |
---|
81 | Repita algunas de las peticiones anteriores, pero esta vez |
---|
82 | aada la opcin "+edns=0". |
---|
83 | |
---|
84 | Por ejemplo: |
---|
85 | |
---|
86 | $ dig @10.10.0.254 www.icann.org +edns=0 |
---|
87 | |
---|
88 | (quiz convenga usar "more" para limitar la salida del comando, una |
---|
89 | pantalla a la vez) |
---|
90 | |
---|
91 | $ dig @10.10.0.254 www.icann.org +edns=0 | more |
---|
92 | |
---|
93 | |
---|
94 | Fjese en la seccin de OPT PSEUDOSECTION, hacia la parte superior |
---|
95 | |
---|
96 | Qu observa acerca de la parte "flags:" de esta seccin? |
---|
97 | |
---|
98 | Vamos a activar explcitamente la opcin BUFSIZE, pero no EDNS0: |
---|
99 | |
---|
100 | $ dig @10.10.0.254 www.icann.org +bufsize=1024 | more |
---|
101 | |
---|
102 | Fjese que EDNS es activado automticamente, y observe la seccin |
---|
103 | "udp: " en la pseudoseccin OPT. |
---|
104 | |
---|
105 | Ahora, probemos buscando rcords DNSSEC: |
---|
106 | |
---|
107 | $ dig @10.10.0.254 isoc.org DNSKEY | more |
---|
108 | $ dig @10.10.0.254 www.isoc.org RRSIG | more |
---|
109 | |
---|
110 | Finalmente, digmosle a nuestro servidor que soportamos DNSSEC: |
---|
111 | |
---|
112 | $ dig @10.10.0.254 www.isoc.org A +dnssec |
---|
113 | $ dig @10.10.0.254 isoc.org NS +dnssec |
---|
114 | |
---|
115 | Nota un nuevo campo en la seccin "flags:" de la respuesta ? |
---|
116 | |
---|
117 | $ dig @10.10.0.254 www.isoc.org A |
---|
118 | $ dig @10.10.0.254 isoc.org NS |
---|
119 | |
---|
120 | Compare con dig SIN la opcin +dnssec: |
---|
121 | |
---|
122 | Si ya est ejecutando un demonio en su servidor local, qu |
---|
123 | pasa si le enva peticiones con DNSSEC activado? |
---|
124 | |
---|
125 | $ dig @127.0.0.1 noc.ws.nsrc.org A +dnssec |
---|
126 | $ dig @127.0.0.1 ws.nsrc.org NS +dnssec |
---|
127 | |
---|