DNS RECURSIVO - Como Testar sua Eficiência e Segurança com dig e nslookup | AMS SOFT
No mundo digital de hoje, a velocidade e a segurança são essenciais. E quando se trata da infraestrutura do seu Provedor de Internet, o Sistema de Nomes de Domínios (DNS) é uma peça fundamental.
Mas você sabe como testar a eficácia e a segurança do seu DNS recursivo com cache e DNS-SEC?
Neste guia, vamos mergulhar nos comandos dig e nslookup, ferramentas poderosas para qualquer administrador de rede ou entusiasta de tecnologia.
O que é DNS Recursivo com Cache?
O DNS é o herói desconhecido que traduz nomes de sites para endereços IP. O DNS recursivo com cache melhora essa tradução, armazenando as respostas para que futuras solicitações sejam atendidas mais rapidamente. Este caching é uma faca de dois gumes, pois também requer verificações de segurança rigorosas.
Decifrando a Saída com o Comando DIG:
Ao usar no terminal Linux o comando dig nic.br @8.8.8.8 a saída desses comandos pode parecer um enigma. Mas não se preocupe, vamos explicar o que cada linha significa.
Aqui está o detalhamento de cada parte da saída:
O que é DNS Recursivo com Cache?
O DNS é o herói desconhecido que traduz nomes de sites para endereços IP. O DNS recursivo com cache melhora essa tradução, armazenando as respostas para que futuras solicitações sejam atendidas mais rapidamente. Este caching é uma faca de dois gumes, pois também requer verificações de segurança rigorosas.
Leia também:
1- DNS RECURSIVO COM CACHE E DNS-SEC NA REDE DO PROVEDOR: VANTAGENS E MELHORIAS
2- DESMISTIFICANDO O CACHE DE DNS RECURSIVO: ENTENDENDO O VERDADEIRO PROPÓSITO
2- DESMISTIFICANDO O CACHE DE DNS RECURSIVO: ENTENDENDO O VERDADEIRO PROPÓSITO
3- A IMPORTÂNCIA DO DNS-SEC PARA ISP: SEGURANÇA E CONFIANÇA NA RESOLUÇÃO DE DNS
Utilizando dig ou nslookup para Testar o DNS.
Quer verificar como está o desempenho do seu DNS?
Utilizando dig ou nslookup para Testar o DNS.
Quer verificar como está o desempenho do seu DNS?
Os comandos dig e nslookup são seus melhores amigos. Vamos usar no terminal o comando dig nic.br @8.8.8.8 para consultar diretamente o DNS do Google e ver como ele resolve esse domínio.
Se você tem DNS LOCAL, substitua o 8.8.8.8 pelo seu IP de DNS.
- Observação importante: É crucial notar que o comando dig é nativo em sistemas Linux e não está disponível por padrão no Windows. Se você é Provedor de Internet que operam com máquinas Linux, como aquelas que executam PROXMOX ou outras, podem utilizar o dig diretamente no terminal em modo SHELL para realizar os testes.
- Para verificar a implementação do DNSSEC de forma eficaz com o comando dig, é necessário escolher domínios que suportam esta tecnologia de segurança.
Não são todos os sites que é configurados para trabalhar com o DNSSEC.
Domínios como nic.br, registro.br e gov.br são exemplos que comumente têm o DNSSEC ativado, permitindo que a flag AD (Authenticated Data) seja retornada na resposta, confirmando a validação bem-sucedida da consulta DNSSEC.
Decifrando a Saída com o Comando DIG:
A seção "ANSWER" mostra os registros DNS do domínio consultado ou seja, foi resolvido o nome do site para o IP que ele pertence, enquanto "Query time" revela a rapidez da resposta, se você tem DNS local o Query time precisa ficar próximo a 1ms, mas isso depende da latência da sua rede.
Aqui está o detalhamento de cada parte da saída:
- Versão do dig: <<>> DiG 9.16.42-Debian <<>>: Indica a versão do dig que está sendo usada, neste caso, a versão 9.16.42 para Debian.
- Comando executado: nic.br @8.8.8.8: O comando que foi executado para consultar o registro DNS do domínio "nic.br" usando o servidor DNS 8.8.8.8, que é o servidor público do Google.
- Global options: ;; global options: +cmd: Mostra as opções globais utilizadas. O +cmd significa que os comentários de linha de comando serão incluídos na saída.
- Header da resposta: A seção HEADER contém detalhes técnicos da resposta, como:
opcode: Operação do pedido, geralmente QUERY.
status: Status da resposta, aqui NOERROR indica que não houve erro.
id: Identificador da consulta, útil para emparelhar respostas com consultas em tráfego DNS assíncrono. - Flags qr rd ra ad: Sinalizadores que são atributos da consulta:
qr (query response): Indica que a mensagem é uma resposta.
rd (recursion desired): Solicita que o servidor faça uma consulta recursiva.
ra (recursion available): Indica que o servidor pode fazer consultas recursivas.
ad (authenticated data): Mostra que a resposta tem dados autenticados pelo DNSSEC. - Seção de Pseudo-Header (OPT) do DNS: Detalhes adicionais como a versão do protocolo EDNS usado, tamanho do buffer UDP, entre outros.
- QUESTION SECTION: Mostra a pergunta feita ao DNS:
nic.br.: O domínio que foi consultado.
IN: Classe de internet.
A: Tipo de registro DNS solicitado, neste caso, um endereço IPv4, se fosse IPv6 ficaria AAAA. - ANSWER SECTION: Contém a resposta para a consulta feita:
nic.br.: Nome do domínio consultado.
21600: TTL (Time To Live), tempo em segundos que o registro pode ser armazenado em cache.
IN: Classe.
A: Tipo de registro, nesse caso é IPv4.
200.160.4.6: Endereço IP associado ao domínio. - Tempo da Consulta: Query time: 24 msec: O tempo que levou para a consulta ser realizada, 24 milissegundos neste caso.
- Servidor Utilizado: SERVER: 8.8.8.8#53(8.8.8.8): O servidor DNS que foi consultado (8.8.8.8 na porta 53).
- Timestamp: WHEN: Wed Jan 31 20:13:01 -03 2024: Data e hora em que a consulta foi realizada.
- Tamanho da Mensagem: MSG SIZE rcvd: 51: O tamanho da mensagem de resposta recebida, 51 bytes neste caso.
- Sobre o DNSSEC:
Usar dig para testar o DNSSEC é crucial para garantir que as respostas DNS não foram adulteradas. O domínio nic.br é frequentemente utilizado para esses testes, pois está configurado para trabalhar com o DNSSEC, permitindo verificar a presença da flag AD.
- Sobre o Query Time:
O query time é o termômetro do desempenho do seu DNS. Um tempo alto na primeira consulta sugere que a resposta veio diretamente do root server, enquanto um tempo baixo em consultas subsequentes indica que as informações foram recuperadas do cache.
- Cache e a Popularidade dos Sites:
Sites como Google e Facebook raramente saem do cache de um DNS, devido à sua alta frequência de acessos. Entretanto, sites menos visitados têm um TTL (Time To Live) que determina por quanto tempo ficam no cache. Sem novas solicitações, eles são removidos após o TTL expirar, necessitando de uma nova consulta ao root server.
O comando nslookup é uma ferramenta que pode ser usada em Windows ou no Linux nativamente, para consultar servidores de nomes de domínio (DNS) para obter informações sobre endereços IP de domínios e outros dados relacionados ao DNS.
Também é uma forma pratica e rápida para saber se o seu DNS local esta operando 100% na rede do provedor de internet.
Aqui está a explicação detalhada dos campos apresentados:
Também é uma forma pratica e rápida para saber se o seu DNS local esta operando 100% na rede do provedor de internet.
Aqui está a explicação detalhada dos campos apresentados:
- Comando Executado: nslookup nic.br 8.8.8.8
nslookup: O comando utilizado para iniciar a consulta DNS. - nic.br: O domínio que está sendo consultado.
- 8.8.8.8: O servidor DNS específico (neste caso, o DNS público do Google) utilizado para resolver o nome de domínio.
- Servidor: Servidor: dns.google
Este campo indica o nome do servidor DNS que respondeu à consulta. - Endereço do Servidor: Address: 8.8.8.8
Mostra o endereço IP do servidor DNS utilizado para a consulta. - Resposta Não Autoritativa: Não é resposta autoritativa.
Esta linha indica que a resposta recebida não é autoritativa, ou seja, o servidor DNS que respondeu não tem autoridade direta sobre o domínio consultado. Ele está fornecendo informações baseadas no cache ou em uma consulta recursiva. - Nome: nic.br
O nome do domínio que foi consultado. - Endereços: Addresses: 2001:12ff:0:4::6, 200.160.4.6
Este campo lista os endereços IP associados ao domínio nic.br. 2001:12ff:0:4::6: É um endereço IPv6 do domínio.
200.160.4.6: É um endereço IPv4 do domínio.
- Conclusão:
Entender e saber testar o seu DNS é mais do que uma habilidade técnica, é uma necessidade para manter a fluidez e segurança da sua navegação online. Com dig e nslookup, você tem o controle de verificar e otimizar a configuração do seu DNS.
Comentários
Postar um comentário