Ejercicio DNS: dig, parte 1 En este ejercicio usaremos la m‡quina "auth1" como su estaci—n de trabajo. En realidad esto no es muy importante porque simplemente estaremos usando el comando 'dig' DIG --- 1. Haga peticiones de DNS usando 'dig': Nota: Asegśrese de especificar expl’citamente el servidor al que quiere interrogar usando la sintaxis "@" en dig: $ dig @servidor Si no especifica la IP del servidor, entonces dig utilizar‡ el servidor o servidores configurados en su /etc/resolv.conf 1a. Ejecute cada comand, busque la secci—n de respuesta (ANSWER) y anote el resultado. Tome nota del TTL tambiŽn. Repita el comando. El TTL es igual? Son autorizadas las respuestas? RESULTADO 1 RESULTADO 2 ----------- ----------- $ dig @10.10.0.254 su-dominio-favorito a $ dig @10.10.0.254 www.google.com. a $ dig @10.10.0.254 afnog.org. mx $ dig @10.10.0.254 dominio-que-no-exista any $ dig @10.10.0.254 tiscali.co.uk. txt $ dig @10.10.0.254 www.afrinic.net aaaa $ dig @10.10.0.254 ipv6.google.com aaaa 1b. Ahora env’e peticiones a otro servidor recursivo. (Ejecute cada comando dos veces y anote el tiempo de respuesta en milisegundos) RESULTADO 1 RESULTADO 2 ----------- ----------- $ dig @8.8.8.8 news.bbc.co.uk. a $ dig @208.67.222.222 yahoo.com. a $ dig @ a Cu‡nto tiempo se tard— en recibir cada respuesta? (en la primera petici—n, y en la segunda?) 2. Bśsquedas de DNS inverso Ahora, pruebe las siguientes peticiones - f’jese que aqu’ no especificamos quŽ servidor dig cuestionar‡. Cu‡l servidor ser‡ utilizado? $ dig -x 10.10.X.1 $ dig -x 10.10.X.2 $ dig -x 10.10.X.3 ... sustituya X por una direcci—n IP en el rango 1-25 Repita para cualquier IP de su preferencia, en la Internet. Recuerde que deber‡ utilizar 10.10.0.254 para poder enviar peticiones hacia la Internet. Ahora, pruebe: $ dig 1.X.10.10.in-addr.arpa. PTR ... sustituya X por una direcci—n IP en el rango 1-25. QuŽ observa? Ahora probemos con IPv6: $ dig -x 2001:42d0::200:2:1 QuŽ diferencias puede observar en los resultados, entre el DNS inverso para IPv4 e IPv6 ? Nota: Es posible que no reciba una respuesta para la direcci—n de IPv6, pero compare la secci—n de pregunta para las direcciones IPv4 e IPv6. 3. DNSSEC y EDNS0 Repita algunas de las peticiones anteriores, pero esta vez a–ada la opci—n "+edns=0". Por ejemplo: $ dig @10.10.0.254 www.icann.org +edns=0 (quiz‡ convenga usar "more" para limitar la salida del comando, una pantalla a la vez) $ dig @10.10.0.254 www.icann.org +edns=0 | more F’jese en la secci—n de OPT PSEUDOSECTION, hacia la parte superior QuŽ observa acerca de la parte "flags:" de esta secci—n? Vamos a activar expl’citamente la opci—n BUFSIZE, pero no EDNS0: $ dig @10.10.0.254 www.icann.org +bufsize=1024 | more F’jese que EDNS es activado autom‡ticamente, y observe la secci—n "udp: " en la pseudosecci—n OPT. Ahora, probemos buscando rŽcords DNSSEC: $ dig @10.10.0.254 isoc.org DNSKEY | more $ dig @10.10.0.254 www.isoc.org RRSIG | more Finalmente, dig‡mosle a nuestro servidor que soportamos DNSSEC: $ dig @10.10.0.254 www.isoc.org A +dnssec $ dig @10.10.0.254 isoc.org NS +dnssec Nota un nuevo campo en la secci—n "flags:" de la respuesta ? $ dig @10.10.0.254 www.isoc.org A $ dig @10.10.0.254 isoc.org NS Compare con dig SIN la opci—n +dnssec: Si ya est‡ ejecutando un demonio en su servidor local, quŽ pasa si le env’a peticiones con DNSSEC activado? $ dig @127.0.0.1 noc.ws.nsrc.org A +dnssec $ dig @127.0.0.1 ws.nsrc.org NS +dnssec