DNS

Funcionamiento DNS

DNS son las iniciales de Domain Name System (sistema de nombres de dominio) y es una tecnología basada en una base de datos que sirve para resolver nombres en redes, es decir, para conocer la dirección IP de la máquina donde está alojado el dominio al que queremos acceder.

El DNS suele compararse con una guía telefónica de Internet. Del mismo modo que buscamos el nombre de un contacto para encontrar su número de teléfono, el DNS nos permite buscar un nombre de dominio para encontrar su dirección IP correspondiente. Este proceso de traducción se lleva a cabo en segundo plano en cuestión de milisegundos, lo que permite a los usuarios disfrutar de una experiencia de navegación fluida.

Por lo tanto, el DNS es un sistema que sirve para traducir los nombres en la red, y está compuesto por tres partes con funciones bien diferenciadas:

• Cliente DNS: está instalado en el cliente (es decir, nosotros) y realiza peticiones de resolución de nombres a los servidores DNS.

• Servidor DNS: son los que contestan las peticiones y resuelven los nombres mediante un sistema estructurado en árbol. Las direcciones DNS que ponemos en la configuración de la conexión, son las direcciones de los Servidores DNS.

• Zonas de autoridad: son servidores o grupos de ellos que tienen asignados resolver un conjunto de dominios determinado (como los .es o los .org).

Al realizar las consultas de los DNS habrás podido observar que las respuestas que recibes son no autoritativas. Para saber quién tiene la autoridad, o sea, el SOA de un host, debemos hacer de la siguiente manera:

nslookup -type=SOA aliexpress.com

Cuando una respuesta DNS es no autoritativa, significa que el servidor DNS que proporcionó la respuesta no es el servidor autoritativo para el dominio consultado. En otras palabras, el servidor DNS que respondió no tiene control directo sobre el dominio, pero obtuvo la información de otro servidor, generalmente a través de un proceso de caché.

¿Cómo saber si una respuesta es autoritativa o no?

Con nslookup es mas sencillo ya que te lo indica directamente, pero con la herramienta dig, para verificar si una respuesta es autoritativa o no, puedes observar la sección de comentarios en la salida de la consulta:

• Si la respuesta es autoritativa, verás algo como:

  ;; flags: qr aa rd ra;

  La bandera aa (authoritative answer) indica que es una respuesta autoritativa.

• Si la respuesta es no autoritativa, el aa no estará presente:

  ;; flags: qr rd ra;

Más cosas, la dirección completa de dominio se llama FQDN (https://www.exampledomain.com), a continuación se explica:

En un servidor DNS hay dos zonas:

• Zona directa: Permite encontrar IP dando dominio.

• Zona inversa: Permite encontrar dominio dando IP.

Se puede poner un DNS master y otro slave (esclavo) en el que se replica el master por si falla.

Hay otro concepto importante, el TTL, que se refiere al Tiempo de Vida (Time To Live) que está esta información en la caché del DNS. Para saber cuánto tiempo se mantiene esta información en la caché utilizaremos la opción:

nslookup -debug aliexpress.com

Proceso

Cuando un usuario escribe una URL, por ejemplo sysxplore.com , en un navegador web, el navegador inicia un proceso para convertir el nombre de dominio en una dirección IP. Los pasos son:

1. Comprobación de la caché de DNS local

   Antes de acceder a servidores externos, el navegador comprueba primero su caché DNS local y la caché del sistema operativo en busca de la dirección IP correspondiente al nombre de dominio. Si la dirección IP se encuentra en la caché, el navegador la utiliza para conectarse directamente al sitio web, evitando más consultas DNS.

2. Consultar el servidor DNS del ISP

   El navegador envía una consulta DNS al servidor DNS configurado en la configuración de red, que normalmente proporciona el proveedor de servicios de Internet (ISP) del usuario. Este servidor se conoce como servidor DNS recursivo, ya que realiza varias consultas en nombre del usuario para resolver el nombre de dominio.

3. Comprobación de la caché del servidor DNS del ISP

   El servidor DNS del ISP primero verifica su propia caché para ver si tiene la dirección IP de sysxplore.com . Si la dirección IP está almacenada en caché, el servidor la devuelve al navegador del usuario.

4. Consultar el servidor de nombres raíz

   Si la dirección IP no se encuentra en la memoria caché del ISP, el servidor DNS recursivo consulta a un servidor de nombres raíz.

5. Referencia al servidor de nombres TLD

   Dado que el servidor de nombres raíz sabe qué servidor de nombres TLD es responsable de los dominios .com , devuelve la dirección del servidor de nombres TLD .com al servidor DNS del ISP. A continuación, el servidor del ISP envía una consulta al servidor de nombres TLD .com solicitando la dirección IP asociada a sysxplore.com .

6. Referencia al servidor de nombres autorizado

   El servidor de nombres TLD .com no tiene la dirección IP de sysxplore.com , pero sabe qué servidor autoritativo la tiene. Remite el servidor DNS recursivo al servidor de nombres autoritativo de sysxplore.com , que contiene los registros DNS definitivos para el dominio.

7. Consulta del servidor de nombres autorizado

   El servidor DNS recursivo del ISP consulta al servidor de nombres autorizado de sysxplore.com para obtener la dirección IP. El servidor de nombres autoritativo responde con la dirección IP, que luego el servidor DNS recursivo almacena en caché para futuras solicitudes.

8. Devolver la dirección IP al navegador

   Finalmente, el servidor DNS recursivo del ISP devuelve la dirección IP al navegador del usuario. Con la dirección IP en la mano, el navegador puede establecer una conexión con el servidor que aloja sysxplore.com y cargar el sitio web.

Esquema resumen funcionamiento DNS. Fuente: sysexplore

Tipos de DNS

Tal y como se ha hablado en el proceso de búsqueda, dentro de los DNS, nos vamos a poder encontrar tres versiones diferentes, estas son:

• DNS Recursivo: Este se encarga de realizar las búsquedas de las direcciones Ip correspondientes al nombre de un host. Se trata del tipo de DNS más común, y se utiliza en la gran mayoría de los hogares y empresas. Los servidores DNS recursivos, se encargan de seguir todas las consultas, hasta el punto donde encuentran la dirección IP correspondiente a esa consulta. Una vez localizada, trata de resolverla para mostrar el sitio.

• DNS Autoritativo: Este tipo de DNS, es el apartado que contiene la información definitiva sobre el dominio en cuestión. Es el encargado de das la resolución a las consultas que se hacen sobre él. Todos los servidores autoritativos, son los que tienen almacenada toda esa información sobre los nombres del host, y las direcciones IP correspondientes.

• DNS Raíz: Se trata del apartado que proporciona toda la lista de servidores DNS autoritativos para los dominios concretos. Es el primer punto de encuentro que se establece con el sistema de nombres de dominio, y también se encarga de proporcionar toda la información para encontrar los servidores DNS autoritativos de un dominio concreto.

Zona raiz

El contenido de la zona raiz lo tienen los servidores del dominio raiz. Esta información está disponible para su descarga en el archivo que se llama root.zone. Al descargarnos este archivo veremos la lista de todos los servidores de nombres de todos los TLD de Internet.

Ese fichero contiene una serie de líneas del estilo <dominio> NS <FQDN> con las que se indica la lista de servidores de nombres de cada TLD y las IPs.

Por ejemplo los del dominio .es:

a.nic.es.		172800	IN	A	194.69.254.1
a.nic.es.		172800	IN	AAAA	2001:67c:21cc:2000:0:0:64:41
c.nic.es.		172800	IN	A	194.0.34.53
c.nic.es.		172800	IN	AAAA	2001:678:44:0:0:0:0:53

Delegación DNS

Una de las caracteristicas del espacio de nombres de dominio es que se realiza una gestión independiente de cada dominio, esta gestión independiente está relacionada con el proceso de delegación. Que es el proceso por el cual el gestor de un determinado dominio delega la tarea de gestión de un dominio hijo a una entidad determinada, habitualmente el propietario del dominio.

ICANN delega la gestión del ccTLD .es a la empresa publica Red .ES, eso significa que el ICANN ya no se encargará de altas y bajas y, por lo tanto, los servidores DNS asociados a la raíz (servidores raíz) lo único que sabrán del dominio .es son las direcciones IP de los servidores DNS que Red .ES haya configurado. A cambio, Red .ES tendrá que configurar y mantener funcionano un grupo de servidores de nombres que conozcan más datos del dominio .es

Este proceso se puede repetir varias veces, como de hecho suele ocurrir. Una vez que el ICANN ha delegado el dominio .es, Red .ES deberá gestionar el alta del dominio "mi-empresa-sa.es" y, de hecho, lo hace para posteriormente traspasarle la delegación al dominio.

Tipos de registro DNS

Los registros DNS son diferentes cadenas de letras que se utilizan para indicar ciertas acciones al servidor DNS. Estas letras también son conocidas como sintaxis de DNS. A continuación, veremos una lista de las diferentes sintaxis de DNS que existen:

• A: Hace referencia a la dirección IPv4 de un servidor web.

• AAAA: Hace referencia a la dirección IPv6 de un host.

• CNAME: Hace referencia a un alias de otro dominio. Es decir, su función es hacer que un dominio sea un alias de otro dominio. Normalmente este tipo de registros se utilizan para asociar nuevos subdominios con dominios ya existentes del registro A.

• MX: Hace referencia a una lista de servidor de intercambio de correo que se debe utilizar para el dominio.

• PTR: Hace referencia a un punto de terminación de red. Es decir, que la sintaxis de DNS es la responsable del mapeo de una dirección IPv4 para el CNAME en el alojamiento.

• NS: Hace referencia a que servidor de nombres es el autorizado para el dominio.

• SOA: Hace referencia al comienzo de autoridad. Este registro es uno de los registros DNS más importantes porque guarda información esencial como la fecha de la última actualización del dominio, otros cambios y actividades.

• SRV: Hace referencia a un servicio. Es decir, se utiliza para la definición de un servicio TCP en el que opere en el dominio.

• TXT: Hace referencia a un texto. Es decir, permite que los administradores inserten texto en el registro DNS. Esto se utiliza para dejar notas sobre información del dominio.

• SPF: Hace referencia a qué servidores están autorizados para enviar correos electrónicos con nuestro dominio.

• LOC: Hace referencia a la ubicación física del servidor. Es decir, este tipo de registros se utilizan para indicar la latitud, longitud y altura sobre el nivel de mar de la ubicación física del servidor.

• MB: Hace referencia al nombre del dominio de correo electrónico. Actualmente este registro es experimental (Diciembre 2019).

• MG: Hace referencia a los miembros de un grupo de correo electrónico. Actualmente este registro es experimental (Diciembre 2019).

• MR: Hace referencia al renombre de un dominio de correo electrónico. Actualmente este registro es experimental (Diciembre 2019).

• NULL: Hace referencia a recurso nulo. Actualmente este registro es experimental (Diciembre 2019).

• HINFO: Hace referencia a los detalles sobre el hardware y el software del host.

• MINFO: Hace referencia a la información sobre un buzón de correo electrónico. Actualmente este registro es experimental. (Diciembre 2019).

• RP: Hace referencia a información sobre los encargados del dominio.

• ANY: Hace referencia a toda la información de todos los tipos que exista.

• AFSDB: Está pensado especialmente para clientes AFS.

• NAPTR: Hace referencia a una ampliación del registro A que permite usar patrones de búsqueda.

• KX: Hace referencia a Key Exchanger y permite gestionar claves criptográficas.

• CERT: Este registro guarda certificados.

• DNAME: Este indica alias para dominios enteros.

• OPT: Hace referencia a un pseudo registro del ámbito de los mecanismos de extensión de DNS más conocido como EDNS.

• APL: Hace referencia a “Address Prefix List” y sirve para enumerar rangos de direcciones en formato CIDR.

• DS: Hace referencia a “Delegation Signer” y sirve para identificar zonas con firma DNSSEC.

• SSHFP: Hace referencia a “SSH Public Key Fingerprint” y muestra la huella digital para las claves SSH.

• IPSECKEY: Este contiene una clave para IPsec.

• RRSIG: Este alberga una firma digital para DNSSEC.

• NSEC: Este interconecta zonas firmadas en DNSSEC.

• DNSKEY DNS: Este contiene una clave pública para DNSSEC.

• DHCID: Este enlaza nombres de dominio con clientes DHCP.

• TLSA: Este registro establece un enlace conocido como TLSA con un nombre de dominio.

• SMIMEA: Este registro establece un enlace conocido como S/MIME con un nombre de dominio.

• CDS: Este es una copia de un registro DS.

• CDNSKEY:Este es una copia de un registro DNSKEY.

• OPENPGPKEY: Este muestra claves públicas.

• TKEY: Este permite el intercambio de claves secretas.

• TSIG: Este sirve para la autenticación.

• URI: Este muestra la asignación de nombres de host a las URL.

• CAA: Este especifica las posibles autoridades de certificación (CA) para un dominio.

Quedate con los básicos y más comunes:

Esquemas con tipos de registros más comunes

Comandos de DNS

Aquí tienes alguna selección de comandos de Linux y Windows útiles para la resolución de nombres

Comando	Ejemplo	Explicación
nslookup	nslookup google.es	Una herramienta de línea de comandos versátil para consultas DNS. Proporciona información sobre nombres de dominio, direcciones IP y registros DNS
dig	dig A google.es	Se utiliza principalmente para resolver nombres de dominio y obtener información detallada sobre cómo los servidores DNS responden a estas consultas. Es más avanzada que nslookup o host.
host	host google.es	Provee información de IP y dominios
whois	whois google.es	Provee información sobre el nombre de dominio: registro, contacto y más.
nsupdate	nsupdate -k file.txt	Comando para realizar modificaciones de registros DNS
rndc	rndc reload	Comando para mandar al DNS de BIND
dnsmasq	dnsmasq --query-cache	Un reenviador DNS ligero y un servidor DHCP. Se puede utilizar para almacenar en caché las consultas DNS y proporcionar servicios DNS para una red local.
systemd-resolve	systemd-resolve --status	Sirve para resolver consultas DNS utilizando el resolutor de systemd. Proporciona información relacionada con DNS y opciones de solución de problemas.
tcpdump	tcpdump -i eth0 port 53	Un analizador de paquetes de red que se puede utilizar para capturar y analizar el tráfico DNS. Puede ayudar a la solución de problemas relacionados con DNS.

¿Quien gestiona los DNS?

La empresa encargada a nivel global del registro de dominios, dns y TLD es el ICANN.

Revisemos lo siguiente, y estos TLDs:

• .es ->

• .cat -> https://domini.cat/es/normativa-del-dominio-cat/

• .edu ->

• .gov ->

Herramientas online

A continuación, tienes algunas de las herramientas online de comprobación de DNS:

- https://ping.eu

- Dominios.es – whois

- https://centralops.net/co

- https://www.nslookup.io

- https://dnslookup.es

Práctica con Wireshark

Vamos a probar a ver los resultados en directo, para ello usaremos el software de Wireshark de captura de tramas para las siguientes operaciones:

ping facebook.com
#Abrir en el navegador aliexpress.com
nslookup lidl.de
nslookup -type=SOA www.ciber-bbn.es
pathping nypizzeria.com

Identificamos claramente SOLO las tramas DNS de cada uno de estos comandos. No deben de aparecer tramas que no correspondan al servicio DNS.

Revisa el resultado y preguntate:

1. ¿En qué puerto (tipo) se origina la petición y hacia qué puerto destino? (el 53)

2. ¿Qué protocolo? (IPv4, UDP)

3. ¿Cuál es el servidor de DNS?

4. Tiempo de vida o TTL

5. ¿Qué significa type A y class IN? (Registro de IP en Internet (IN) )

Comandos host y dig

El comando dig (Domain Information Groper) en Linux es una herramienta poderosa para consultar el Sistema de Nombres de Dominio (DNS). Se utiliza principalmente para resolver nombres de dominio y obtener información detallada sobre cómo los servidores DNS responden a estas consultas.

Comparación general:

Herramienta	Nivel de detalle	Uso típico	Ventajas
dig	Alto	Depuración y análisis DNS	Respuesta detallada, flexible y poderosa.
host	Medio	Consultas rápidas	Sintaxis simple, útil para obtener datos básicos.
nslookup	Medio	Consultas rápidas	Fácil de usar, interfaz interactiva, pero desactualizada.

Usos del comando dig en el contexto de DNS:

• Consulta de nombres de dominio: Traducir un nombre de dominio a una dirección IP (por ejemplo, dig google.com).

• Ver detalles de respuestas DNS: Proporciona mucha información detallada sobre la respuesta de los servidores DNS, como registros de tipo A (dirección IPv4), AAAA (IPv6), MX (correo), NS (servidores de nombres), y más.

• Depuración de problemas DNS: Muy útil para diagnosticar problemas de resolución de nombres, revisar tiempos de respuesta, y la jerarquía de los servidores DNS que se consultan.

• Realización de consultas DNS específicas: Permite hacer consultas a servidores DNS específicos y en distintos niveles de la jerarquía DNS (autoritativos, caché, etc.).

Ejemplo de uso:

dig google.com

Esto devolverá:

• Respuesta del servidor DNS: Incluyendo direcciones IP asociadas al dominio.

• Tiempo de respuesta.

• Servidor DNS que ha respondido.

• Detalles adicionales como el TTL (Tiempo de vida) de los registros, información sobre la pregunta, etc.

Diferencias entre dig y host:

1. dig:

   • Uso: Es la herramienta más detallada y avanzada de las tres. Se utiliza principalmente para depuración avanzada y análisis de respuestas DNS.

   • Detalles: Muestra una respuesta exhaustiva con toda la información que un servidor DNS devuelve, incluyendo las secciones de encabezado, pregunta, respuesta, autoridad, y adicional.

   • Flexibilidad: Soporta una variedad de opciones avanzadas y diferentes tipos de consultas, como registros de DNS específicos (A, MX, NS, etc.).

2. host:

   • Uso: Es una herramienta más simple y amigable en comparación con dig. Está diseñada específicamente para resolver nombres de dominio.

   • Detalles: Muestra solo la información esencial, como la dirección IP asociada al dominio o los registros solicitados.

   • Flexibilidad: Tiene menos opciones de configuración que dig y no muestra tantos detalles.

   • Sintaxis: Más sencilla de usar para consultas rápidas, pero menos flexible para depuración avanzada.

   Ejemplo:

   host google.com

   Salida típica:

   google.com has address 142.250.64.110

Ataques a DNS

A continuación te dejo una infografia sobre tipos de ataques que se producen sobre DNS

DNSSEC

DNSSEC (Domain Name System Security Extensions) es una serie de extensiones al protocolo DNS que añaden seguridad a las consultas DNS, asegurando la autenticidad y la integridad de las respuestas. Su principal propósito es proteger contra ataques como la suplantación o el envenenamiento de caché DNS (DNS cache poisoning), asegurando que las respuestas provienen de una fuente autorizada y no han sido alteradas durante el tránsito. Este ofrece:

• Autenticidad: DNSSEC asegura que la respuesta a una consulta DNS proviene del servidor autorizado para el dominio solicitado.

• Integridad: Garantiza que la respuesta no ha sido modificada en el camino (por ejemplo, mediante un ataque de man-in-the-middle o envenenamiento de caché).

• No encriptación: DNSSEC no encripta los datos DNS, simplemente asegura que los datos no han sido alterados. La encriptación de las consultas DNS puede lograrse con protocolos como DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT).

¿Cómo funciona DNSSEC?

DNSSEC utiliza firmas digitales y clave pública para verificar que las respuestas de DNS no han sido modificadas:

1. Firma digital: Cada conjunto de registros DNS (como los registros A, MX, NS, etc.) es firmado digitalmente por el servidor autoritativo usando una clave privada.

2. Clave pública: La clave pública correspondiente es publicada junto con los registros DNS en lo que se llama un registro DNSKEY. Los resolvers DNS que soportan DNSSEC utilizan esta clave pública para verificar la firma digital.

3. Cadena de confianza: La clave pública para un dominio puede ser verificada mediante una cadena de confianza que comienza en la zona raíz del DNS. Esta cadena de confianza permite validar que una clave pública específica es legítima y pertenece a la entidad autorizada del dominio. Cada nivel en el DNS tiene una firma, hasta llegar a la clave raíz, que es conocida y confiable.

4. Registros adicionales: DNSSEC introduce nuevos tipos de registros DNS:

   • DNSKEY: Contiene la clave pública que se usa para verificar las firmas.

   • RRSIG: Contiene la firma digital de un conjunto de registros DNS.

   • DS: Indica el hash de la clave pública del siguiente nivel en la jerarquía DNS.

   • NSEC/NSEC3: Se utiliza para negar la existencia de registros de forma autenticada (previniendo ataques como "zone-walking").

¿Como funciona DNSSEC?

Funcionamiento básico:

1. Consulta inicial: Cuando un cliente (resolver DNS) que soporta DNSSEC hace una consulta, obtiene no solo los registros solicitados (por ejemplo, un registro A para una dirección IP), sino también la firma digital de estos registros (RRSIG).

2. Verificación: El resolver utiliza la clave pública almacenada en el registro DNSKEY para verificar la firma digital de los registros recibidos. Si la firma es válida, el resolver acepta la respuesta como legítima.

3. Cadena de confianza: Si el resolver confía en la clave pública de la zona raíz del DNS, puede seguir la cadena de confianza para verificar cualquier dominio que utilice DNSSEC, desde la zona raíz, pasando por los TLDs (como .com, .org), hasta el dominio final.

DNSSEC en Linux

En Linux, DNSSEC puede configurarse y utilizarse en conjunto con un resolver DNS compatible, como BIND, Unbound, o systemd-resolved (dependiendo de la distribución), en nuestro caso usamos bind9 por lo que para configurar BIND para usar DNSSEC, hay que asegurarse de que se está validando la cadena de confianza.

Configuración en /etc/named.conf para habilitar DNSSEC:

options {
    dnssec-enable yes;
    dnssec-validation auto;
};

• dnssec-enable yes: Habilita el uso de DNSSEC.

• dnssec-validation auto: Habilita la validación automática de las firmas DNSSEC.

En esta configuración, el servidor descargará las claves necesarias (como la clave pública de la raíz) automáticamente.

Verificación de DNSSEC con dig

Puedes verificar si un dominio utiliza DNSSEC usando el comando dig. Para ello, realiza una consulta y busca los registros relacionados con DNSSEC (como RRSIG y DNSKEY):

dig +dnssec example.com

En la respuesta, verás información adicional sobre los registros RRSIG, que contienen las firmas digitales.

Ventajas y Limitaciones de DNSSEC:

Ventajas:

• Protección contra ataques de envenenamiento de caché: DNSSEC asegura que los registros DNS no sean alterados durante la consulta.

• Autenticación del origen de los datos: Los clientes pueden estar seguros de que los datos provienen del servidor autorizado.

Limitaciones:

• No cifra las consultas: DNSSEC no protege contra la interceptación de consultas DNS. Si necesitas encriptar las consultas, debes utilizar DoH (DNS sobre HTTPS) o DoT (DNS sobre TLS).

• Complejidad: La implementación de DNSSEC puede ser complicada, especialmente en grandes infraestructuras.

• Adopción limitada: Aunque ha ganado popularidad, no todos los dominios y servidores soportan DNSSEC aún.

Protocolo y registros SPF

Referencias:

• https://asir.readthedocs.io/es/latest/Tema_3_DNS/Index.html

• https://www.ionos.es/digitalguide/servidores/know-how/que-es-el-servidor-dns-y-como-funciona/

• https://www.redeszone.net/tutoriales/internet/que-es-registros-dns/