Dns caracteristicas-y-propiedades

DNS-CARACTERÍSTICAS Y PROPIEDADES
Ms. Ing. Jairo E. Márquez D.1
Internet es un sistema complejo de redes, configurado a nivel global que conecta
cientos de millones de equipos diferentes, permitiendo el intercambio de
información y la interacción entre ellos. Para lograr la conexión entre distintos
países se utilizan cables de fibra óptica, la mayoría en el fondo del mar. En los
nodos principales se encuentran los servidores DNS.
“Inicialmente, el DNS nació de la necesidad de recordar fácilmente los nombres de
todos los servidores conectados a Internet. Domain Name System o DNS (en
español: sistema de nombres de dominio) es un sistema de nomenclatura
jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o
a una red privada2
. Este sistema asocia información variada con nombres de
1
Este trabajo es una recopilación de trabajos relacionados al tema sobre DNS, el cual está sujeto a las
normas GNU Copyleft.
2
Es una red que usa el espacio de direcciones IP especificadas en el documento RFC 1918. A los terminales
puede asignársele direcciones de este espacio de direcciones cuando se requiera que ellas deban
comunicarse con otras terminales dentro de la red interna (una que no sea parte de Internet) pero no con
Internet directamente.
Las redes privadas son bastante comunes en esquemas de redes de área local (LAN) de oficina, pues muchas
compañías no tienen la necesidad de una dirección IP global para cada estación de trabajo, impresora y
demás dispositivos con los que la compañía cuente. Otra razón para el uso de direcciones de IP privadas es
la escasez de direcciones IP públicas que pueden ser registradas. IPv6 se creó justamente para combatir esta
escasez, pero aún no ha sido adoptado en forma definitiva. Hay plazo hasta el 2020 de su implementación
total. (NA)
Tomado de red privada. Consultado el 26 de septiembre de 2013. http://es.wikipedia.org/wiki/Red_privada

dominios asignado a cada uno de los participantes. Su función más importante, es
traducir (resolver) nombres inteligibles para las personas en identificadores
binarios asociados con los equipos conectados a la red, esto con el propósito de
poder localizar y direccionar estos equipos mundialmente.
El servidor DNS utiliza una base de datos distribuida y jerárquica que almacena
información asociada a nombres de dominio3
en redes como Internet. Aunque
como base de datos el DNS es capaz de asociar diferentes tipos de información a
cada nombre, los usos más comunes son la asignación de nombres de dominio a
direcciones IP y la localización de los servidores de correo electrónico de cada
dominio.
Direcciones de internet privadas
Nombre rango de direcciones IP
número de
IPs
descripción de la
clase
mayor bloque
de CIDR
4
bloque de 24
bits
10.0.0.0 –
10.255.255.255
16.777.216 clase A simple 10.0.0.0/8
bloque de 20
bits
172.16.0.0 –
172.31.255.255
1.048.576
16 clases B
continuas
172.16.0.0/12
bloque de 16
bits
192.168.0.0 –
192.168.255.255
65.536
256 clases C
continuas
192.168.0.0/16
bloque de 16
bits
169.254.0.0 –
169.254.255.255
65.536 clase B simple 169.254.0.0/16
3
Un dominio de Internet es una red de identificación asociada a un grupo de dispositivos o equipos
conectados a la red Internet.
4
Classless Inter-Domain Routing (enrutamiento entre dominios sin clases) representa la última mejora en el
modo de interpretar las direcciones IP. Su introducción permitió una mayor flexibilidad al dividir rangos de
direcciones IP en redes separadas. De esta manera permitió un uso más eficiente de las cada vez más
escasas direcciones IPv4, y un mayor uso de la jerarquía de direcciones (agregación de prefijos de red),
disminuyendo la sobrecarga de los enrutadores principales de Internet para realizar el encaminamiento.
CIDR. Consultado el 26 de septiembre de 2013. http://es.wikipedia.org/wiki/CIDR

La asignación de nombres a direcciones IP es ciertamente la función más
conocida de los protocolos DNS. Por ejemplo, si la dirección IP del sitio FTP de
prox.mx es 200.64.128.4, la mayoría de la gente llega a este equipo especificando
ftp.prox.mx y no la dirección IP. Además de ser más fácil de recordar, el nombre
es más fiable. La dirección numérica podría cambiar por muchas razones, sin que
tenga que cambiar el nombre.” 5
Dominios de nivel superior6
Existen dos categorías de TLD (Dominios de Nivel Superior):
 Los dominios que se conocen como "genéricos", llamados gTLD (TLD
genérico). Los gTLD son nombres de dominio de nivel superior genéricos que
ofrecen una clasificación de acuerdo con el sector de la actividad. Entonces
cada gTLD tiene sus propias reglas de acceso:
 gTLD historial:
 .arpa relacionado con equipos pertenecientes a la red original;
 .com inicialmente relacionado con empresas con fines comerciales.
Sin embargo, este TLD se convirtió en el "TLD predeterminado" y
hasta personas reales pueden adquirir dominios con esta extensión.
 .edu relacionado con las organizaciones educativas;
 .gov relacionado con las organizaciones gubernamentales;
 .int relacionado con las organizaciones internacionales;
 .edu relacionado con las organizaciones militares;
 .net inicialmente relacionado con las organizaciones que administran
redes. Con el transcurso de los años este TLD se ha convertido en un
TLD común, y hasta personas reales pueden adquirir dominios con
esta extensión.
 .org está normalmente relacionado con organizaciones sin fines de
lucro.
 nuevos gTLD presentado en noviembre de 2000 por ICANN:
 .aero relacionado con la industria aeronáutica;
 .biz (negocios) relacionado con empresas comerciales;
 .museum relacionada con los museos;
 .name relacionada con el nombre de personas reales o imaginarias;
 .info relacionado con organizaciones que manejan información;
5
Domain Name System. Consultado el 26 de septiembre de 2013.
http://es.wikipedia.org/wiki/Domain_Name_System
6
DNS (Sistema de nombre de dominio). Consultado el 27 de septiembre de 2013.
http://es.kioskea.net/contents/262-dns-sistema-de-nombre-de-dominio

 .coop relacionado con cooperativas;
 .pro relacionado con profesiones liberales.
 gTLD especial:
 .arpa relacionado con las infraestructuras para la administración de
redes. El arpa gTLD también sirve para la resolución inversa de
equipos en red y permite hallar el nombre relacionado con una
dirección IP.
 Los dominios que se conocen como "nacionales", se llaman ccTLD (código de
país TLD). El ccTLD está relacionado con los diferentes países y sus nombres
refieren a las abreviaturas del nombre del país definidas en la norma ISO 3166.
La tabla a continuación resume la lista de ccTLD.
Código País Código País
AC Islas Ascensión AM Armenia
AD Andorra AN Antillas Neerlandesas
AE
Emiratos Árabes
Unidos
AO Angola
AF Afganistán AQ Antártida
AG Antigua y Barbuda AR Argentina
AI Anguila AS Samoa Americana
AL Albania AT Austria
AU Australia BI Burundi
AW Aruba BJ Benin
AZ Azerbaiyán BM Bermudas
BA
Bosnia y
Herzegovina
BN Brunei
BB Barbados BO Bolivia
BD Bangladesh BR Brasil
BE Bélgica BS Bahamas
BF Burkina Faso BT Bhután
BG Bulgaria BV Isla Bouvet
BH Bahrein BW Botswana
BY Bielorrusia CK Islas Cook
BZ Belice CL Chile
CA Canadá CM Camerún
CC Islas Cocos CN China
CD
República
Democrática del
Congo
CO Colombia
CCM
República
Centroafricana
COM
Organización
comercial
CG Congo CR Costa Rica

CH Suiza CU Cuba
CI Costa de Marfil CV Cabo Verde
CX Islas Christmas EG Egipto
CY Chipre EH Sahara Occidental
CZ República Checa ER Eritrea
DE Alemania ES España
DJ Djibouti ET Etiopía
DK Dinamarca EU Europa
DM Dominica FI Finlandia
DO
República
Dominicana
FJ Fiji
DZ Argelia FK
Islas Falkland
(Malvinas)
EC Ecuador FM Micronesia
EDU
Organización con
enlaces
relacionados con la
educación
FO Islas Feroe
EE Estonia FR Francia
FX
Francia (Territorio
EEEE europeo)
GU Guam (USA)
GA Gabón GW Guinea Bissau
GB Gran Bretaña GY Guyana
GD Granada HK Hong Kong
GE Georgia HM
Islas Heard y
McDonald
GF Guayana Francesa HN Honduras
GG Guernsey HR Croacia
GH Ghana HT Haití
GI Gibraltar HU Hungría
GL Groenlandia ID Indonesia
GM Gambia IE Irlanda
GN Guinea IL Israel
GOV
Organización
gubernamental
IM Isla de Man
GP Guadalupe IN India
GQ Guinea Ecuatorial IO
Territorio Británico del
Océano Índico
GR Grecia IQ Iraq
GS Georgia del Sur IR Irán
GT Guatemala IS Islandia
IT Italia LR Liberia

JM Jamaica LS Lesotho
JO Jordania LT Lituania
JP Japón LU Luxemburgo
KE Kenya LV Letonia
KG Kirguistán LY Libia
KH Camboya MA Marruecos
KI Kiribati MC Mónaco
KM Comoras MD Moldova
KN Saint Kitts y Nevis MG Madagascar
KP Corea del Norte MH Islas Marshall
KR Corea del Sur MK Macedonia
KW Kuwait ML Malí
KY Islas Caimán MIL Organización militar
KZ Kazajstán MM Myanmar
LA Laos MN Mongolia
LB Líbano MO Macao
LC Santa Lucía MP
Islas Marianas del
Norte
LI Liechtenstein MQ Martinica
LK Sri Lanka MR Mauritania
MS Montserrat NT Zona Neutral
MU Isla Mauricio NU Isla Niue
MV Maldivas NZ Nueva Zelanda
MW Malawi OM Omán
MX México ORG
Organización no
específica
MY Malasia PA Panamá
MZ Mozambique PE Perú
NA Namibia PF Polinesia Francesa
NC Nueva Caledonia PG Papua Nueva Guinea
NE Níger PH Filipinas
NET
Organización con
enlaces
relacionados con
Internet
PK Pakistán
NF Isla Norfolk PL Polonia
NG Nigeria PM
San Pedro y
Miquelón
NI Nicaragua PN Isla Pitcairn
NL Países Bajos PR Puerto Rico (USA)
NO Noruega PS Territorios Palestinos
PT Portugal QA Qatar

PY Paraguay RE Reunión
PW Palau RO Rumania
RU
Federación de
Rusia
SJ
Islas Svalbard y Jan
Mayen
RW Rwanda SK República Eslovaca
SA Arabia Saudita SL Sierra Leona
SB Islas Solomón SM San Marino
SC Seychelles SN Senegal
SD Sudán SO Somalia
SE Suecia SR Suriname
SG Singapur ST
Santo Tomé y
Príncipe
SH Santa Elena SU Unión Soviética
SI Eslovenia SV El Salvador
SY Siria TF
Territorios Australes
Franceses
SZ Swazilandia TG Togo
TC
Islas Turcas y
Caicos
TH Tailandia
TD Chad TJ Tayikistán
TK Tokelau UK Reino Unido
TM Turkmenistán UM
Islas Periféricas
Menores de los
Estados Unidos
TN Túnez US Estados Unidos
TO Tonga UY Uruguay
TP Timor Oriental UZ Uzbekistán
TR Turquía VA Ciudad del Vaticano
TT Trinidad y Tobago VC
San Vicente y las
Granadinas
TV Tuvalu VE Venezuela
TW Taiwán VG
Islas Vírgenes
Británicas
TZ Tanzania VI
Islas Vírgenes de los
Estados Unidos
UA Ucrania VN Vietnam
UG Uganda VU Vanuatu
WF Islas Wallis y Futuna YT Mayotte
WS Samoa Occidental YU Yugoslavia
YE Yemen ZA Sudáfrica
ZM Zambia ZW Zimbabwe
ZR Zaire

Servidores DNS
Los servidores DNS son parte de la cadena que queda formada cuando se hace
una petición mediante el navegador de cualquier página web. Estos servidores son
computadoras que en sus discos duros almacenan enormes bases de datos.
Tienen registrada la relación que existe entre cada nombre de dominio y su
dirección IP correspondiente.
Para la operación práctica del sistema DNS se utilizan tres componentes
principales:7
 Los Clientes fase 1: Un programa cliente DNS que se ejecuta en la
computadora del usuario y que genera peticiones DNS de resolución de
nombres a un servidor DNS (Por ejemplo: ¿Qué dirección IP corresponde a
nombre.dominio?);
 Los Servidores DNS: Que contestan las peticiones de los clientes. Los
servidores recursivos tienen la capacidad de reenviar la petición a otro servidor
si no disponen de la dirección solicitada.
 La Zonas de autoridad, porciones del espacio de nombres raros de dominio
que almacenan los datos. Cada zona de autoridad abarca al menos un dominio
y posiblemente sus subdominios, si estos últimos no son delegados a otras
zonas de autoridad
Los sitios de internet se identifican mediante nombres, como son Google.com,
Yahoo.es, linkelin.com, etc. lo que los hace más fácil de recordar y de escribir,
estos nombres es lo que se conoce como nombres de dominio.
Las computadoras identifican los sitios web y se conectan a ellos utilizando el
formato numérico, algo parecido a la numeración telefónica, pero más complejo y
con más recursos, es lo que se conoce como las direcciones IP. Ahí es donde
entran en acción los servidores DNS, ellos son como enormes y complejas guías
telefónicas, que a petición del usuario traducen o convierten los nombres de
dominio que le solicite, en las direcciones IP que les corresponden.
Son equipos que almacenan la relación que existe entre cada nombre de dominio
y su dirección IP correspondiente (numérica) en internet.
7
Domain Name System.

El grafico base fue creado por Nicolas Rapp con datos de Geo-tel.com. Gráfico de
la red existente de cables de fibra óptica en el fondo del océano, que hacen
posible la conexión a internet entre los distintos países. También se muestra el
porcentaje de acceso a internet de cada área geográfica y la ubicación de los
principales servidores DNS.
Empleo de los servidores DNS en internet
1- Resolución de nombres: Convertir un nombre de host en la dirección IP
que le corresponde.

2- Resolución inversa de direcciones: Es el mecanismo inverso al anterior,
de una dirección IP obtener el nombre de host correspondiente.
3- Resolución de servidores de correo: Dado un nombre de dominio (por
ejemplo gmail.com), obtener el servidor a través del cual debe realizarse la
entrega del correo electrónico.
Los servidores DNS también guardan una serie de datos de cada dominio,
conocidos como DNS Record, incluyen información del propietario, fecha de
creación, vencimiento, etc.
Tipos de servidores DNS8
 Primarios o maestros: Guardan los datos de un espacio de nombres en sus
ficheros.
 Secundarios o esclavos: Obtienen los datos de los servidores primarios a
través de una transferencia de zona.
 Locales o caché: Funcionan con el mismo software, pero no contienen la
base de datos para la resolución de nombres. Cuando se les realiza una
consulta, estos a su vez consultan a los servidores DNS correspondientes,
almacenando la respuesta en su base de datos para agilizar la repetición de
estas peticiones en el futuro continuo o libre.
Tipos de registros DNS9
 A = Address – (Dirección) Este registro se usa para traducir nombres de
servidores de alojamiento a direcciones IPv4.
 AAAA = Address – (Dirección) Este registro se usa en IPv6 para traducir
nombres de hosts a direcciones IPv6.
 CNAME = Canonical Name – (Nombre Canónico) Se usa para crear nombres
de servidores de alojamiento adicionales, o alias, para los servidores de
alojamiento de un dominio. Es usado cuando se están corriendo múltiples
servicios (como ftp y servidor web) en un servidor con una sola dirección ip.
Cada servicio tiene su propia entrada de DNS (como ftp.ejemplo.com. y
www.ejemplo.com.). esto también es usado cuando corres múltiples servidores
http, con diferente nombre, sobre el mismo host. Se escribe primero el alias y
luego el nombre real. Ej. Ejemplo1 IN CNAME ejemplo2
8
Domain Name System.
9
Ibídem.

 NS = Name Server – (Servidor de Nombres) Define la asociación que existe
entre un nombre de dominio y los servidores de nombres que almacenan la
información de dicho dominio. Cada dominio se puede asociar a una cantidad
cualquiera de servidores de nombres.
 MX (registro)10
= Mail Exchange – (Registro de Intercambio de Correo) Asocia
un nombre de dominio a una lista de servidores de intercambio de correo para
ese dominio. Tiene un balanceo de carga y prioridad para el uso de uno o más
servicios de correo.
 PTR = Pointer – (Indicador) También conocido como 'registro inverso', funciona
a la inversa del registro A, traduciendo IPs en nombres de dominio. Se usa en
el archivo de configuración del Dns reversiva.
 SOA = Start of authority – (Autoridad de la zona) Proporciona información
sobre el servidor DNS primario de la zona.
 HINFO = Host INFOrmation – (Información del sistema informático)
Descripción del host, permite que la gente conozca el tipo de máquina y
sistema operativo al que corresponde un dominio.
 TXT = TeXT - (Información textual) Permite a los dominios identificarse de
modos arbitrarios.
 LOC = LOCalización - Permite indicar las coordenadas del dominio.
 WKS - Generalización del registro MX para indicar los servicios que ofrece el
dominio. Obsoleto en favor de SRV.
10
Un registro MX (Mail eXchange record, "registro de intercambio de correo") es un tipo de registro, un
recurso DNS que especifica cómo debe ser encaminado un correo electrónico en internet. Los registros MX
apuntan a los servidores a los cuales envían un correo electrónico, y a cuál de ellos debería ser enviado en
primer lugar, por prioridad.
Cuando un mensaje de correo electrónico es enviado, el remitente (el agente de transferencia de correo -
MTA Mail Transfer Agent) hace una petición al DNS solicitando el registro MX para los nombres de dominio
de destino. El nombre de dominio es la parte de la dirección de correo que va a continuación de la "@". Esta
consulta devuelve una lista de nombres de dominios de servidores de intercambio de correo que aceptan
correo entrante para dicho dominio, junto con un número de preferencia. Entonces el agente emisor (o
remitente) intenta establecer una conexión SMTP (Simple Mail Transfer Protocol - Protocolo Simple de
Transferencia de Correo) hacia uno de estos servidores, comenzando con el que tiene el número de
preferencia más pequeño, y enviando el mensaje al primer servidor con el cual puede establecer una
conexión. Si no hay registros MX disponibles, una segunda petición es solicitada al registro A (A Record) del
dominio en su lugar.
Tomado de MX (Registro). Consultado el 26 de septiembre de 2013.
http://es.wikipedia.org/wiki/MX_(registro)

 SRV = SeRVicios - Permite indicar los servicios que ofrece el dominio. RFC
2782. Excepto Mx y Ns. Hay que incorporar el nombre del servicio, protocolo,
dominio completo, prioridad del servicio, peso, puerto y el equipo completo.
Esta es la sintaxis correspondiente:
Servicio.Protocolo.Dominio-completo IN SRV Prioridad.Peso.Puerto.Equipo-Completo
 SPF11
= Sender Policy Framework - Ayuda a combatir el Spam. En este
registro se especifica cual o cuales hosts están autorizados a enviar correo
desde el dominio dado. El servidor que recibe, consulta el SPF para comparar
la IP desde la cual le llega con los datos de este registro.
 ANY = Toda la información de todos los tipos que existan.
Mecanismos de extensión de DNS
Los mecanismos de extensión para DNS (EDNS) es una especificación para la
ampliación del tamaño de varios parámetros del sistema de nombres de dominio
(DNS), el que tenía restricciones de tamaño que la comunidad de ingeniería de
Internet considera demasiado limitada para aumentar la funcionalidad del
protocolo. El primer conjunto de extensiones se publicó en 1999 por la Internet
Engineering Task Force como RFC 2671, también conocido como EDNS0.12
Dado que no se podían añadir nuevos parámetros en la cabecera del DNS, la
diferenciación del nuevo formato del protocolo se logró con la opción de registros
de pseudo-recursos, los registros de recursos OPT. Estos son registros de control
que no aparecen en los archivos de zona. Los elementos del sistema DNS
insertan estos registros opcionales en las comunicaciones entre compañeros para
avisar que están utilizando EDNS. Esto proporciona un mecanismo transparente y
compatible con implementaciones antiguas, ya que los clientes más antiguos sin
EDNS simplemente ignorarán el nuevo tipo de registro. Los participantes DNS sólo
deben enviar las solicitudes extendidas (EDNS) a los servidores DNS si están
11
SPF (Convenio de Remitentes, del inglés Sender Policy Framework) es una protección contra la
falsificación de direcciones en el envío de correo electrónico. Cnet news (25 de mayo de 2004). «Antispam
framework scores Microsoft endorsement». Consultado el 31 de mayo de 2012.
Identifica, a través de los registros de nombres de dominio (DNS), a los servidores de correo SMTP
autorizados para el transporte de los mensajes.
Este convenio puede significar el fin de abusos como el spam y otros males del correo electrónico.
12
P.Vixie (Agosto 1999). The Internet Society (ed.): RFC 2671, Extension Mechanisms for DNS (EDNS0) (en
inglés). Consultado el 6 de mayo de 2012.

preparados para manejar las respuestas EDNS; y los servidores DNS sólo deben
utilizar EDNS en las respuestas a las solicitudes que contienen registros con OPT.
El pseudo-registro OPT proporciona espacio para hasta 16 opciones adicionales
y extiende el espacio para los códigos de respuesta. El tamaño total del paquete
UDP y el número de versión (en la actualidad 0) figuran en el registro OPT. Un
campo de datos de longitud variable permite que se pueda incluir más información
en las futuras versiones del protocolo. El protocolo original de DNS proporcionaba
dos tipos de etiquetas, que se definen por los dos primeros bits de los paquetes
DNS:13
 00 (etiqueta estándar)
 11 (etiqueta comprimido)
EDNS introduce el tipo de etiqueta 01 como etiqueta ampliada. Los 6 bits menores
del primer byte pueden ser utilizados para definir hasta 63 etiquetas extendidos
nuevos.
Un ejemplo de un pseudo-registro OPT, como muestra la herramienta de utilidad
Domain Information Groper (DIG):
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
El resultado "EDNS: Versión: 0" indica la conformidad plena con EDNS014
El
resultado "flags: do" indica "DNSSEC OK"15
EDNS es esencial para la implementación de Extensiones de seguridad DNS
(DNSSEC).16
13
RFC 1035, Nombres de dominio - Implementación y especificación, P. Mockapetris (noviembre de 1987).
14
Grupo de Trabajo de Red de la IETF, Agosto de 1999, RFC 2671: Mecanismos de extensión para DNS
(EDNS0), página 3, Plena conformidad con esta especificación se indica con la versión "0".
15
Red Grupo de Trabajo de la IETF, Diciembre de 2001, RFC 3225: Apoyo a la resolución de indicación de
DNSSEC, página 3, El mecanismo elegido para la notificación expresa de la capacidad del cliente para aceptar
(si no entender) RR de seguridad DNSSEC es utilizando el bit más significativo del campo Z en la cabecera del
OPT EDNS0 en la consulta. Este bit se conoce como el bit "DNSSEC OK" (DO).
16
Las Extensiones de seguridad para el Sistema de Nombres de Dominio ( del inglés Domain Name System
Security Extensions, o DNSSEC) es un conjunto de especificaciones de la Internet Engineering Task Force
(IETF) para asegurar cierto tipo de información proporcionada por el sistema de nombre de dominio (DNS)
que se usa en el protocolo de Internet (IP). Se trata de un conjunto de extensiones al DNS que proporcionan
a los clientes DNS (o resolvers) la autenticación del origen de datos DNS, la negación autenticada de la
existencia e integridad de datos, pero no disponibilidad o confidencialidad.

“Cabe agregar, que existen ciertos problemas al utilizar el EDNS en cuanto a los
cortafuegos, ya que algunos de éstos suponen una longitud máxima de mensaje
de DNS de 512 bytes y bloquean paquetes DNS que sean más largos.
La introducción de EDNS hizo posible un nuevo tipo de ataque de denegación de
servicio, llamado amplificación de DNS, ya que EDNS facilita paquetes de
respuesta muy grandes en comparación con los paquetes de petición
relativamente pequeñas.
El grupo de trabajo IETF de Extensiones DNS (dnsext) está trabajando en un
refinamiento de EDNS0, llamado rfc2671bis.”17
“Las vulnerabilidades detectadas en el DNS, junto
con los avances tecnológicos, han reducido en
gran medida el tiempo que necesita un atacante
para forzar cualquier paso del proceso de
búsqueda del DNS y, por lo tanto, tomar el control
de una sesión para, por ejemplo, dirigir al usuario a
sus propios sitios fraudulentos con el objeto de
obtener los datos de su cuenta y contraseña. La
única solución a largo plazo para esta
vulnerabilidad es la implementación integral de un
protocolo de seguridad denominado Extensiones
de seguridad del DNS, o DNSSEC.
Cabe enfatizar, que DNSSEC es una tecnología
que se ha desarrollado, entre otras cosas, para brindar protección contra ataques
mediante la firma digital de los datos a fin de tener la seguridad de que son
válidos. Sin embargo, para eliminar esta vulnerabilidad de Internet, esta tecnología
se debe implementar en cada uno de los pasos del proceso de búsqueda, desde
la zona raíz hasta el nombre de dominio final (por ejemplo, www.icann.org).
La firma de la raíz (implementar la DNSSEC en la zona raíz) es un paso necesario
de este proceso general. Es importante destacar que no cifra los datos. Tan solo
certifica la validez de la dirección del sitio que se visita. La firma de la raíz también
DNSSEC trabaja firmando digitalmente estos registros para la búsqueda de DNS mediante criptografía de
clave pública. El registro DNSKEY correcto se autentica a través de una cadena de confianza, que comienza
en un conjunto de claves públicas de la zona raíz del DNS, que es la tercera parte de confianza.
Fuente. Domain Name System Security Extensions. Consultado el 28 de septiembre de 2013.
http://es.wikipedia.org/wiki/DNSSEC
17
Mecanismos de extension de DNS. Consultado el 28 de septiembre de 2013.
http://es.wikipedia.org/wiki/Mecanismos_de_extension_de_DNS

simplifica la implementación en las capas inferiores del DNS y, en consecuencia,
acelerará la implementación general de la tecnología DNSSEC.”18
Espacio de nombre19
La estructura del sistema DNS se basa en una estructura de arbórea en donde se
definen los dominios de nivel superior (llamados TLD, Dominios de Nivel Superior);
esta estructura está conectada a un nodo raíz representado por un punto.
Cada nodo del árbol se llama nombre de dominio y tiene una etiqueta con una
longitud máxima de 63 caracteres. Por lo tanto, todos los nombres de dominio
conforman una estructura arbórea inversa en donde cada nodo está separado del
siguiente nodo por un punto (".").
El extremo de la bifurcación se denomina host, y corresponde a un equipo o
entidad en la red. El nombre del ordenador que se provee debe ser único en el
dominio respectivo, o de ser necesario, en el sub-dominio. Por ejemplo, el dominio
del servidor Web por lo general lleva el nombre www.
La palabra "dominio" corresponde formalmente al sufijo de un nombre de
dominio, es decir, la recopilación de las etiquetas de nodo de la estructura
arbórea, con excepción del ordenador.
El nombre absoluto está relacionado con todas las etiquetas de nodo de una
estructura arbórea, separadas por puntos y que termina con un punto final que se
denomina la dirección FQDN (Nombre de Dominio totalmente calificado). La
profundidad máxima de una estructura arbórea es 127 niveles y la longitud
máxima para un nombre FQDN es 255 caracteres. La dirección FQDN permite
18
Tomado de DNSSEC – ¿Qué es y por qué es importante? Consultado el 28 de septiembre de 2013.
http://www.icann.org/es/about/learning/factsheets/dnssec-qaa-09oct08-es.htm
19
DNS (Sistema de nombre de dominio).

ubicar de manera única un equipo en la red de redes. Por lo tanto,
es.kioskea.net. es una dirección FQDN.
DNS rebinding
DNS rebinding es un ataque informático basado en DNS donde el atacante
aprovecha una vulnerabilidad para transformar el equipo en un proxy de red.20
Para esto utiliza código embebido en páginas web aprovechándose de la política
del mismo origen de los navegadores.
Normalmente las peticiones del código incorporado en las páginas web
(Javascript, Java, Flash.) están limitadas al sitio web desde el que se han
originado, lo que se conoce como "política del mismo origen". DNS rebinding
puede mejorar la habilidad de malware basado en javascript para penetrar en
redes privadas trastornando la política del mismo origen. Usando DNS rebinding
un atacante puede sortear firewalls, navegar en intranets corporativas, mostrar
documentos sensibles y comprometer máquinas internas sin parchear.21
Cómo funciona el DNS rebinding22
El atacante registra un dominio el cual delega a un servidor DNS que él controla.
El servidor está configurado para responder con un parámetro TTL muy corto, que
previene que la respuesta sea cacheada.
La primera respuesta contiene la dirección IP del servidor con el código malicioso.
Las consiguientes respuestas contienen direcciones IP de redes privadas falsas
(RFC 1918) presumiblemente detrás de un firewall que es la meta del atacante.
Dado que las dos son respuestas DNS completamente válidas, autorizan al script
el acceso a hosts dentro de la red privada. Devolviendo múltiples direcciones IP, el
servidor DNS habilita al script para escanear la red local o realizar actividades
maliciosas.
Las siguientes técnicas pueden ser utilizadas para prevenir ataques de DNS
rebinding:
 DNS pinning - fijando una dirección IP al valor recibido en la primera
respuesta DNS. Esta técnica puede bloquear algunos usos legítimos de DNS
dinámico23
.
20
Jackson, Collin; et al. (2009). Protecting Browsers from DNS Rebinding Attacks. ACM Transactions on the
Web (TWEB) 3 (1).
21
Ibid.
22
DNS rebinding. Consultado el 27 de septiembre de 2013. http://es.wikipedia.org/wiki/DNS_rebinding

 Bloqueando la resolución de nombres externos en direcciones internas en los
servidores de nombres locales de la organización.
 Los servidores pueden rechazar peticiones HTTP con una cabecera de Host
irreconocible.
Con el tiempo, los fabricantes han tomado medidas para proteger del problema.
 Flash player
 Firefox. Protección adicional con el plugin NoScript, desde la versión 2.0rc5.
DNS cache poisoning24
DNS cache poisoning / DNS Poisoning / Pharming es una situación creada de
manera maliciosa o no deseada que provee datos de un Servidor de Nombres de
Dominio (DNS) que no se origina de fuentes autoritativas DNS. Esto puede pasar
debido a diseño inapropiado de software, falta de configuración de nombres de
servidores y escenarios maliciosamente diseñados que explotan la arquitectura
tradicionalmente abierta de un sistema DNS. Una vez que un servidor DNS ha
recibido aquellos datos no autentificados y los almacena temporalmente para
futuros incrementos de desempeño, es considerado envenenado, extendiendo el
efecto de la situación a los clientes del servidor.
Ataques de Envenenamiento de Caché25
Normalmente, una computadora conectada a Internet utiliza un servidor DNS
proporcionado por el proveedor de servicios de Internet (ISP). Este DNS
generalmente atiende solamente a los propios clientes del ISP y contiene una
pequeña cantidad de información sobre DNS almacenada temporalmente por
usuarios previos del servidor. Un ataque de envenenamiento (poisoning attack) de
un solo servidor DNS de un ISP puede afectar a los usuarios atendidos
23
Es un sistema que permite la actualización en tiempo real de la información sobre nombres de dominio
situada en un servidor de nombres. El uso más común que se le da es permitir la asignación de un nombre
de dominio de Internet a un ordenador con dirección IP variable (dinámica). Esto permite conectarse con la
máquina en cuestión sin necesidad de tener que rastrear las direcciones IP.
El DNS dinámico hace posible, siendo de uso frecuente gracias a lo descrito, utilizar software de servidor en
una computadora con dirección IP dinámica, como la suelen facilitar muchos proveedores de Internet para
particulares (por ejemplo para alojar un sitio web en el ordenador de nuestra casa, sin necesidad de
contratar un hosting de terceros).
Otro uso útil que posibilita el DNS dinámico es poder acceder al ordenador en cuestión por medio del
escritorio remoto. Este servicio es ofrecido, incluso de forma gratuita, por No-IP, CDmon y FreeDNS.
Tomado de DNS Dinámico. Consultado el 26 septiembre.
http://es.wikipedia.org/wiki/DNS_din%C3%A1mico
24
DNS cache poisoning. Consultado el 26 septiembre. http://es.wikipedia.org/wiki/DNS_cache_poisoning
25
Ibid.

directamente por el servidor comprometido o indirectamente por los servidores
dependientes del servidor.
Para realizar un ataque de envenenamiento de caché, el atacante explota una
vulnerabilidad en el software de DNS que puede hacer que éste acepte
información incorrecta. Si el servidor no valido correctamente las respuestas DNS
para asegurarse de que ellas provienen de una fuente autoritativa, el servidor
puede terminar almacenando localmente información incorrecta y enviándola a los
usuarios para que hagan la misma petición.
Esta técnica puede ser usada para reemplazar arbitrariamente contenido de una
serie de víctimas con contenido elegido por un atacante. Por ejemplo, un atacante
envenena las entradas DNS de direcciones IP para un sitio web objetivo,
reemplazándolas con la dirección IP de un servidor que él controla. Luego, el
atacante crea entradas falsas para archivos en el servidor que él controla con
nombres que coinciden con los archivos del servidor objetivo. Estos archivos
pueden contener contenido malicioso, como un virus o un gusano. Un usuario
cuya computadora ha referenciado al servidor DNS envenenado puede ser
engañado al creer que el contenido proviene del servidor objetivo y sin saberlo
descarga contenido malicioso.
Como parte del proyecto Golden Shield, China, de forma regular hace uso de
envenenamiento de DNS para redes o sitios específicos que violan las políticas
bajo las cuales el proyecto opera.
Variantes
En las siguientes variantes, las entradas del servidor ns.wikipedia.org pueden ser
envenenadas y redirigidas al servidor de nombres del atacante en la dirección
w.x.y.z. Estos ataques asumen que el servidor para wikipedia.org es
ns.wikipedia.org.
Para conseguir éxito en el ataque, el atacante debe forzar que el servidor DNS
objetivo haga una petición hacia un dominio controlado por uno de los servidores
de nombres del atacante.
Redirección al servidor de nombres del dominio objetivo

La primera variante del envenenamiento de caché de DNS involucra redirigir el
nombre del servidor del atacante del dominio hacia el servidor de nombres del
dominio objetivo, luego se asigna a dicho servidor de nombres una dirección IP
especificada por el atacante.
Petición del servidor DNS: cuáles son los registros de direcciones para
subdominio.ejemplo.com?
subdominio.ejemplo.com. IN A
Respuesta del atacante:
Answer:
(no response)
Authority section:
example.com. 3600 IN NS ns.wikipedia.org
Additional section:
ns.wikipedia.org. IN A w.x.y.z
Un servidor vulnerable puede almacenar en caché el registro A adicional (la
dirección IP) para ns.wikipedia.org, permitiendo al atacante resolver consultas
para todo el dominio wikipedia.org.
Redirigir el registro DNS a otro dominio objetivo
La segunda variante de envenenamiento de caché DNS involucra redirigir el
servidor de nombres de otro dominio hacia otro dominio no relacionado a la
petición original de una dirección IP especificada por el atacante.
Petición del servidor DNS: cuáles son los registros de dirección para
subdominio.ejemplo.com?
subdominio.ejemplo.com. IN A
Respuesta del atacante:
Answer:
(no response)
Authority section:
wikipedia.org. 3600 IN NS ns.ejemplo.com.
Additional section:
ns.ejemplo.com. IN A w.x.y.z

Un servidor vulnerable puede almacenar la información de autoridad no
relacionada de los registros de servidor de nombres de wikipedia.org, permitiendo
al atacante resolver consultas para todo el dominio wikipedia.org.
Prevención y mitigación
Muchos ataques de envenenamiento de caché puede ser prevenidos simplemente
por servidores DNS siendo menos confiables que la información pasada por ello
por otros servidores DNS, e ignorando cualquier registro DNS retornado y que no
sea directamente relevante a la consulta. Por ejemplo, versiones recientes de
BIND ahora contienen código que evalúa estos casos. Como se mencionó
anteriormente, la selección aleatoria del puerto origen de consultas DNS,
combinadas con el uso de números aleatorios criptográficamente seguros para
elegir el puerto y el número identificador de 16 bits puede reducir grandemente la
probabilidad de ataques de carrera DNS exitosos.
DNSSEC (extensiones de nombres de dominio de seguridad del sistema) implementa la firma
digital de los datos de DNS (Domain Name System), que son vulnerables a los ataques. Los DNS
son vulnerables a una serie de amenazas y ataques, como el man-in-the-middle y envenenamiento
de la caché. Estas amenazas utilizar información falsa para redirigir a los usuarios a sitios
engañosos de Internet. Los registros DNSSEC introducen una firma digital en el DNS de
datos, verifica la fuente y confirma su autenticidad, mientras que se mueven dentro de
internet. Esto significa que cuando un usuario introduce una dirección con DNSSEC habilitado, la
respuesta recibida, es decir, el sitio en el que se redirige, tiene su autoridad verificado la
autenticidad. Figura tomada de. http://www.papaki.gr/en/dnssec-records.htm%20

Una versión segura de DNS, DNSSEC, utiliza firmas criptográficas electrónicas
validadas con un certificado digital confiable para determinar la autenticidad de los
datos. DNSSEC puede contener ataques de envenenamiento de caché, pero
hasta 2008 aún no estaba difundido ampliamente.
Este tipo de ataque puede ser mitigado también por las capas de transporte o
aplicación para conseguir validación extremo a extremo (end-to-end validation)
una vez que una conexión es establecida en extremo. Un ejemplo común de esto
es el uso de Seguridad de Capa de Transporte y firmas digitales. Por ejemplo,
usando la versión segura de HTTP, HTTPS, los usuarios pueden verificar si el
certificado digital es válido y pertenece al dueño esperado de un sitio web. De
manera similar, el programa de inicio de sesión remoto SSH verifica certificados
digitales en los extremos (si los conoce) antes de proseguir con una sesión. Para
aplicaciones que descargan actualizaciones automáticamente, la aplicación puede
alojar una copia local del certificado digital de los datos y validar el certificado
almacenado en la actualización de software contra el certificado alojado.
Domain Name System Security Extensions26
Profundizando más sobre este sistema, las Extensiones de seguridad para el
Sistema de Nombres de Dominio ( del inglés Domain Name System Security
Extensions, o DNSSEC) es un conjunto de especificaciones de la Internet
Engineering Task Force (IETF) para asegurar cierto tipo de información
proporcionada por el sistema de nombre de dominio (DNS) que se usa en el
protocolo de Internet (IP). Se trata de un conjunto de extensiones al DNS que
proporcionan a los clientes DNS (o resolvers) la autenticación del origen de datos
DNS, la negación autenticada de la existencia e integridad de datos, pero no
disponibilidad o confidencialidad.
DNSSEC trabaja firmando digitalmente estos registros para la búsqueda de DNS
mediante criptografía de clave pública. El registro DNSKEY correcto se autentica a
través de una cadena de confianza, que comienza en un conjunto de claves
públicas de la zona raíz del DNS, que es la tercera parte de confianza.
Registros
El DNS se implementa mediante el uso de varios registros de recursos. Para
implementar DNSSEC, varios de los nuevos tipos de registro DNS se han creado
o adaptado para su uso con DNSSEC:
 RRSIG
 DNSKEY
26
Domain Name System Security Extensions. Consultado el 26 septiembre.
http://es.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

 DS
 NSEC
 NSEC3
 NSEC3PARAM
Cuando se usa DNSSEC, cada respuesta a una búsqueda de DNS contendrá un
registro RRSIG DNS además del tipo de registro que se solicitó. El registro RRSIG
es una firma digital de la respuesta de DNS registro de recursos conjunto. La firma
digital puede ser verificada localizando la clave pública correcta se encuentra en
un registro DNSKEY. El registro DS se utiliza en la autenticación de DNSKEYs en
el procedimiento de búsqueda usando la cadena de confianza. Los registros
NSEC y NSEC3 se utilizan para una resistencia fuerte contra la suplantación de
identidad.
DNSSEC fue diseñado para ser extensible y para que cuando se descubran
ataques contra los algoritmos existentes, nuevos pueden ser introducidos en una
forma compatible con versiones anteriores. A julio de 2009, se definieron los
siguientes algoritmos de seguridad que son utilizados con mayor frecuencia:27
DNSSEC fue diseñado para ser extensible y para que cuando se descubran
ataques contra los algoritmos existentes, nuevos pueden ser introducidos en una
forma compatible con versiones anteriores. En la siguiente tabla se citan los
algoritmos de seguridad que son utilizados con mayor frecuencia:
Campo del Algoritmo Algoritmo Fuente
0 Reservado
RFC 4034
1 RSA/MD5
3 DSA/SHA-1
5 RSA/SHA-1
27
«Domain Name System Security (DNSSEC) Algorithm Numbers». IANA (12 de julio de 2010). Consultado el
17 de julio de 2010.

7
RSASHA1-NSEC3-
SHA1
RFC 5155
8 RSA/SHA-256
RFC 5702
10 RSA/SHA-512
12 GOST R 34.10-2001 RFC 5933
Nota: Se debe tener precaución con los servidores DNS que usamos: Es
recomendado regularmente verificar que los servidores DNS que se usan para
conexión de red, son los que se han configurado.
Existe malware en internet capaz de modificar la configuración de red y lograr que
inocentemente se esté usando servidores DNS diferentes, el objetivo es llevarnos
a sitios web diseñados específicamente para prácticas fraudulentas.
Si en algún momento se infesta el equipo con un virus informático, después de
eliminarlo con el programa antivirus, verifique inmediatamente los servidores DNS
asignados.
Use el archivo batch citado en este trabajo y úselo regularmente.
Tipos de registros28
Un DNS es una base de datos distribuida que contiene registros que se conocen
como RR (Registros de Recursos), relacionados con nombres de dominio. La
siguiente información sólo es útil para las personas responsables de la
administración de un dominio, dado que el funcionamiento de los servidores de
nombre de dominio es completamente transparente para los usuarios.
El sistema de memoria caché permite que el sistema DNS sea distribuido, los
registros para cada dominio tienen una duración de vida que se conoce como TTL
(Tiempo de vida). Esto permite que los servidores intermediarios conozcan la
fecha de caducidad de la información y por lo tanto que sepan si es necesario
verificarla o no.
28
DNS (Sistema de nombre de dominio). Consultado el 27 de septiembre de 2013.
http://es.kioskea.net/contents/262-dns-sistema-de-nombre-de-dominio

Recapitulando la temática tratada al inicio de este documento, por lo general, un
registro de DNS contiene la siguiente información:
Nombre de dominio (FQDN) TTL Tipo Clase RData
es.kioskea.net 3600 A IN 163.5.255.85
 Nombre de dominio: el nombre de dominio debe ser un nombre FQDN, es
decir, debe terminar con un punto. En caso de que falte el punto, el nombre de
dominio es relativo, es decir, el nombre de dominio principal incluirá un sufijo en
el dominio introducido;
 Tipo: un valor sobre 16 bits que define el tipo de recurso descrito por el registro.
El tipo de recurso puede ser uno de los siguientes:
 A: este es un tipo de base que hace coincidir el nombre canónico con la
dirección IP. Además, pueden existir varios registros A relacionados con
diferentes equipos de la red (servidores).
 CNAME (Nombre Canónico): Permite definir un alias para el nombre
canónico. Es particularmente útil para suministrar nombres alternativos
relacionados con diferentes servicios en el mismo equipo.
 HINFO: éste es un campo solamente descriptivo que permite la descripción
en particular del hardware del ordenador (CPU) y del sistema operativo
(OS). Generalmente se recomienda no completarlo para evitar suministrar
información que pueda ser útil a piratas informáticos.
 MX (Mail eXchange): es el servidor de correo electrónico. Cuando un
usuario envía un correo electrónico a una dirección (user@domain), el
servidor de correo saliente interroga al servidor de nombre de dominio con
autoridad sobre el dominio para obtener el registro MX. Pueden existir
varios registros MX por dominio, para así suministrar una repetición en
caso de fallas en el servidor principal de correo electrónico. De este modo,
el registro MX permite definir una prioridad con un valor entre 0 y 65,535:
es.kioskea.net. IN MX 10 mail.commentcamarche.net.
 NS: es el servidor de nombres de dominio con autoridad sobre el dominio.
 PTR: es un puntero hacia otra parte del espacio de nombres del dominio.
 SOA (Start Of Authority (Inicio de autoridad)): el campo SOA permite la
descripción del servidor de nombre de dominio con autoridad en la zona,

así como la dirección de correo electrónico del contacto técnico (en donde
el carácter "@" es reemplazado por un punto).
 Clase: la clase puede ser IN (relacionada a protocolos de Internet, y por lo
tanto, éste es el sistema que utilizaremos en nuestro caso), o CH (para el
sistema caótico);
 RDATA: estos son los datos relacionados con el registro. Aquí se encuentra la
información esperada según el tipo de registro:
 A: la dirección IP de 32 bits:
 CNAME: el nombre de dominio;
 MX: la prioridad de 16 bits, seguida del nombre del ordenador;
 NS: el nombre del ordenador; PTR: el nombre de dominio
 PTR: el nombre de dominio;
 SOA: varios campos.
DNS conexión a un sitio de internet
Primer ejemplo, conexión directa:
Consiste básicamente lo que hacemos normalmente, se escribe en el navegador
la dirección de una página web, por ejemplo: http://www.mamma.com
Si en otras ocasiones se ha entrado a esta página, en la cache del equipo o la del
servidor del que depende nuestra conexión, tenemos registrada la dirección IP que
le corresponde, por lo que la conexión será directa sin intermediarios.

Segundo ejemplo, solicitud a un servidor DNS:29
Se digita la dirección http://www.pagina.com/poco-comun/, que es una página
poco conocida, con escaso tráfico y que queda en un país remoto,
automáticamente nuestro servidor hace la petición al servidor DNS que tiene
configurada nuestra conexión.
Si ese servidor DNS no posee en su base de datos el nombre de dominio de esa
página (nombre de dominio es el dato que está antes de la primera barra, seria en
este caso www.pagina.com), hará la petición a otro servidor DNS y así
sucesivamente y devolverá al final la dirección IP solicitada con la demora lógica
que eso significa.
Conocer los servidores DNS
Los servidores DNS asignados a su conexión actualmente, fueron asignados al
crear dicha conexión por el proveedor de acceso a internet, su uso es opcional, se
pueden cambiar en cualquier momento por otros que considere más eficientes.
Hay varias formas de conocer cuáles son los establecidos en este momento.
Hay una aplicación en HTA que usa el navegador Internet Explorer que muestra
en pantalla los servidores DNS asignados actualmente a la conexión de red de
nuestro equipo. Así:
Conocer los servidores DNS usando la consola de CMD
- Ejecutar (WINDOWS+R), cmd, y pegar:
CMD /k ipconfig /all|FINDSTR /C:"Servidores DNS"
29
Ibid.

- También puede usar el comando NSLOOKUP, para eso abrir la consola de
CMD, y digitarlo:
La primera línea de la respuesta es el nombre del servidor asignado y la segunda
su dirección IP.
- Conocer los servidores DNS usando una aplicación o archivo batch
Al ejecutarlo la aplicación creará un archivo de texto
llamado: ServidoresDNS.txt, en su interior verá la dirección IP
correspondiente a los dos servidores DNS usados por el equipo. Guarde el
script para utilizarlo regularmente y así comprobar que su configuración de
red no ha sido afectada.
:: (c) Servidores DNS -2013
:: Seguridad en redes.
:: Guardar con extensión cmd
@echo off
WMIC /Output:ServidoresDNS.txt Path Win32_NetworkAdapterConfiguration
Where IPEnabled=TRUE Get DNSServerSearchOrder /format:LIST
msg * Hecho, lee el archivo: ServidoresDNS.txt
- Conocer los servidores DNS manualmente en tu conexión de red

Los servidores DNS aparecen en las propiedades del protocolo TCP/IP de
la conexión con la cual se conectas a internet. Para ver dicha opción
realizar los siguientes pasos:
• En el Panel de control abrir Centro de redes
• En el panel de la izquierda escoger: Cambiar configuración del adaptador.
• Dar un clic derecho en la red con la cual se conectas a internet y en el
menú escoger: Propiedades
• Seleccionar: Protocolo de internet versión 4 TCP/IPv4
• Usar el botón Propiedades
Verá la dirección IP de los dos servidores, el primario y el secundario.
Rendimiento y eficiencia de los servidores DNS
Algunas veces las conexiones entre los servidores están caídas o saturadas por el
tráfico, por lo que el navegador quede esperando la conexión, y que tras
determinado tiempo aparezca el mensaje que la página web solicitada no está
disponible.
Esto se debe a que el DNS al estar basado en UDP (protocolo de transporte, no
garantiza la recepción de la información enviada), tanto las consultas como las
respuestas pueden "perderse" (por ejemplo, a causa de congestionamiento en
algún enlace de la red).
Como podrá deducir no todos los mensajes que ofrece el navegador son ciertos,
simplemente se deben a errores en las conexiones y a servidores DNS
ineficientes.
Investigaciones sugieren que actualmente un 60% de los usuarios de internet, en
caso de cambiar sus servidores DNS por otros más eficientes, incrementarían el
rendimiento de su conexión en un 40%.30
Configuración manual de los servidores DNS
Para cambiar de forma manual sus servidores DNS siga los siguientes pasos:
Ante todo tenga precaución de anotar las direcciones de servidor actual y la
configuración.
• En el Panel de control abrir el "Centro de redes", en el panel de la
izquierda escoger: "Cambiar configuración del adaptador".
30
Ibídem.

• Dar un clic encima de la conexión que usa para conectarse a internet
y escoger "Propiedades".
• Seleccionar "Protocolo Internet versión 4 (TCP/IPv4)", clic en el
botón "Propiedades".
• Allí marcar la casilla "Usar las siguientes direcciones de servidor
DNS". Digite: 8.8.8.8 en el primer campo y 8.8.4.4 en el segundo.
• Presione Aceptar en todas las ventanas para guardar los cambios.
Ahora las peticiones se harán a los servidores DNS de Google, por lo que el
rendimiento de la conexión mejorará considerablemente. De una forma similar
puede configurar y usar cualquier otro servidor DNS. ¡Que es la tareíta entre
otras que deben hacer!
Direcciones de los servidores DNS más rápidos y eficientes de internet31
Los servidores asignados a nuestra conexión de forma predeterminada,
Generalmente no son los más eficientes. Se pueden sustituir por esa y por
muchas otras razones, como son:
31
Tomado de http://norfipc.com/redes/como-configurar-optimizar-servidores-dns-windows.html

Hacer la navegación más rápida. Usar servicios que ofrecen compañías que
poseen una red buena de comunicación, puede mejorar hasta un 40% la velocidad
a la que navegamos en la red. Se conocen por las mediciones y el monitoreo de
tráfico que realizan constantemente otros servicios especializados. Los que se
indican en este trabajo son públicos o gratuitos.
Hacer la navegación más segura. Se puede escoger servicios prestigiosos de
seguridad que filtran e impiden que se carguen páginas de sitios catalogados
como peligros porque tienen o están cargados de virus o malware que impiden
que se carguen páginas de sitios con contenido solo para adultos. Esta opción es
muy útil si nuestra conexión de internet la usan menores de edad.
Proteger la privacidad. Burlar la censura, o sea el acceso a determinados sitios o
países e impedir que quede registrado el historial de nuestra navegación web.
Errores de resolución. Acceder a dominios y sitios no registrados correctamente,
por lo que ocasionalmente se recibe mensajes de error al estilo de: "el sitio web no
está disponible", sabiendo que funciona perfectamente.
Con base en lo anterior, existen servicios gratis que permiten mejorar la calidad de
la navegación en internet, funcionando como puntos intermedios de resolución de
nombres de dominio y que al mismo tiempo filtran las direcciones IP que están
catalogadas como peligrosas o indeseables. Lo cual permite impedir que los niños
puedan entrar a páginas de contenido pornográfico, sexo, violencia u otro
contenido no adecuado.
Todo usuario al estar conectado a la red usa servidores DNS, que son servicios a
los que su navegador en segundo plano consulta la dirección IP de las páginas
que se solicita.

¿Cuándo utiliza Windows los servidores DNS?32
Windows se rige por una configuración estándar para manejar y administrar las
peticiones enviadas y las respuestas recibidas de los servidores DNS.
La optimización de estos dos factores, DNS-Windows representará un incremento
en el rendimiento de la navegación web en general.
En Windows al iniciarse el servicio Cliente DNS (Dnscache) la correspondencia
entre nombre de dominio/dirección IP que existen en el archivo hosts es cargada
en la cache, a esta se agregan los recursos obtenidos en las respuestas de
consultas DNS anteriores y se mantienen durante un periodo determinado.
Al introducir una dirección URL en el navegador web Windows tiene registrado que
hacer, donde buscar y con qué prioridad.
Optimizar estos pasos mejorará considerablemente el rendimiento de la
navegación web.
El objetivo y la razón de existir de los servidores DNS, es la de resolver los
nombres de host o nombres de dominio y entregar la dirección IP que les
corresponde al equipo. Pero estos servidores no son los únicos involucrados en
esta tarea, Windows de forma predeterminada tiene el orden de los factores
involucrados y la prioridad de cada uno, es la siguiente:
LocalPriority = 499, prioridad predeterminada (Cache de nombres local)
HostPriority = 500, prioridad predeterminada (El archivo hosts)
DnsPriority = 2000, prioridad predeterminada (Servidores DNS)
NetbtPriority = 2001, prioridad predeterminada (Resolución de nombres NetBT y
WINS)
32
Ibidem

Es posible optimizar estos valores lo que traerá consigo más rapidez en la carga
de las páginas web y mayor rendimiento en general en la navegación en la red. En
el siguiente ajuste se mantiene el mismo orden, pero se eleva considerablemente
la prioridad de la petición al servidor DNS configurado en la conexión, la diferencia
de algunos milisegundos parece insignificante pero representa un incremento en el
rendimiento general bastante significativo.
Para eso es necesario ajustar los valores correspondientes en la siguiente clave
del registro.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipService
Provider
LocalPriority= DWORD, 4 (Cache de nombres local)
HostsPriority= DWORD, 5 (El archivo hosts)
DnsPriority= DWORD, 6 (Servidores DNS)
NetbtPriority= DWORD, 7 (Resolución de nombres NetBT y WINS)
El ajuste anterior es posible hacerlo manualmente, pero si no se tiene la suficiente
experiencia y conocimiento, es recomendado descargar una clave y agregarla al
registro.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipServiceProvid
er]
"DnsPriority"=dword:00000006
"HostsPriority"=dword:00000005
"LocalPriority"=dword:00000004
"NetbtPriority"=dword:00000007
Guardar con extensión .reg
Nota: los espacios deben respetarse si quieren que funcione.
Configurar el tiempo que almacena Windows en cache las entradas DNS33
Windows almacena en cache las entradas de host DNS un tiempo determinado,
antiguamente este intervalo era de 24 horas pero en muchos casos esto es
demasiado tiempo. Durante este período, algunas entradas de host dejan de
funcionar debido al cambio de la dirección IP del servidor remoto que se resolvió
inicialmente.
33
Ibid.

En la actualidad el valor es de 24 minutos solamente, es decir pasado ese tiempo
si se hace la petición de la misma dirección web al navegador, Windows
nuevamente efectúa la petición al servidor DNS.
Es posible cambiar ese valor e incrementar o disminuir el tiempo que permanezca
la resolución de host en cache, modificando la clave del registro que lo establece.
El beneficio que proporcionaría el incremento del valor, es solo a usuarios que
naveguen de forma bastante activa en la red y que accedan a varios sitios
alternativamente. En ese caso se lograría un incremento efectivo en el rendimiento
de la navegación web, al no tener que estar consultando regularmente los
servidores DNS.
La clave del registro que establece el valor que se comenta es la siguiente:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet
Settings
Es necesario agregar un Nuevo valor DWORD de nombre: DnsCacheTimeout y
establece el Valor decimal del tiempo necesario en segundos. Ejemplos:
• Para configurar el tiempo de espera a 10 minutos, utiliza un valor de 600
segundos.
• Para configurar el tiempo de espera a 24 horas, utiliza un valor de 86400
segundos.
Reiniciar el equipo posteriormente.
Como vaciar la cache de resolución DNS almacenada en Windows
En caso de sitios que utilicen una dirección IP dinámica, por lo que no puedan ser
accedidos después de un corto intervalo de tiempo, es necesario en ese caso
liberar el cache, lo que se puede realizar utilizando el comando IPCONFIG.
Se hace de la siguiente forma.
Introducir en la consola de cmd: ipconfig /flushdns y Enter. Recibirá el siguiente
mensaje:

Puede hacerlo también de otra forma, para eso copie y pegue la siguiente línea de
código en el cuadro de Inicio y Enter:
cmd.exe /k ipconfig /flushdns
Es posible crear un acceso directo con el código anterior, en caso que se vaya a
utilizar frecuentemente. Se conoce que en ocasiones cuando la cache está muy
recargada, liberarla usando /flushdns puede acelerar la navegación.
Como ver la cache almacenada actualmente en Windows
Para ver la cache almacenada actualmente por Windows copie y pegue en cmd:
ipconfig /displaydns
O digite en Inicio y presione Enter:

cmd.exe /k ipconfig /displaydns
Este comando puede ser útil en ocasiones para conocer o verificar la dirección IP
almacenada de los sitios habituales a los que se accede. Es posible también usar
una línea de código, que permita guardar en un archivo de texto el contenido de la
cache para verlo de forma más detenida, para eso copie y pegue en el cuadro de
Inicio la siguiente línea y oprima Enter:
cmd.exe /c ipconfig /displaydns>%userprofile%Desktopcache.txt
Se creará en el escritorio un documento de texto de nombre "cache.txt" que entre
otros datos mostrará:
El Nombre de registro (la dirección web), el Periodo de vida cuyo valor
predeterminado es de 1440 segundos como se explicó anteriormente y registro
(host) que contiene la dirección IP del host.
Si por alguna razón necesita detener el servicio de Dnscache puede hacerlo
utilizando cualquiera de los siguientes comandos:
sc stop Dnscache
net stop dnscache
DNS en Linux
Para el caso de Linux o Unix, se procede a listar dentro del
archivo /etc/resolv.conf del siguiente modo:
$ vi /etc/resolv.conf
nameserver 80.58.0.33
No es necesario reiniciar la red para que los cambios surtan efecto. Simplemente
se tiene que hacer ping a un dominio para ver si el funcionamiento de resolución
de nombres es correcto:
$ ping google.com
PING google.com (74.125.53.100) 56(84) bytes of data.
64 bytes from pw-in-f100.1e100.net (74.125.53.100): icmp_seq=1 ttl=46
time=541 ms
64 bytes from pw-in-f100.1e100.net (74.125.53.100): icmp_seq=2 ttl=46
time=263 ms

Nota: Para instalar un servidor DNS más completo, se puede utilizar el paquete
bind9. Para ello, se hace con apt-get desde la consola de root:
// Instalación del servidor DNS bind
# apt-get install bind9
De esta forma se instalan los programas necesarios para disponer de un completo
servidor DNS con bind. Tan solo será necesario configurarlo y ponerlo en marcha.
Para ello, el servidor DNS bind admite tres modos de funcionamiento:
 Servidor DNS maestro
 Servidor DNS esclavo
 Servidor caché DNS
Servidor DNS maestro
En este modo de funcionamiento, el servidor se comporta como un auténtico
servidor DNS para nuestra red local. Atenderá directamente a las peticiones de
resolución de direcciones pertenecientes a la red local y reenviará a servidores
DNS externos las peticiones del resto de direcciones de Internet.
Servidor DNS esclavo
Un servidor esclavo actuará como un servidor espejo de un servidor DNS maestro.
Permanecerá sincronizado con el maestro. Se utilizan para repartir las peticiones
entre varios servidores aunque las modificaciones solo se realicen en el maestro.
En redes locales salvo por razones de disponibilidad, es raro que exista la
necesidad de tener dos servidores DNS ya que con uno será suficiente.
Servidor caché DNS34
En este modo de funcionamiento, el servidor se comporta como si fuera un
auténtico servidor DNS para nuestra red local aunque realmente no sea un
servidor DNS propiamente dicho. Cuando recibe una petición de DNS por parte de
un cliente de nuestra red, la trasladará a un DNS maestro que puede estar en
nuestra red o fuera, almacenará en una memoria caché la respuesta y a la vez la
comunicará a quien hizo la petición. Si un segundo cliente vuelve a realizar la
misma petición, como nuestro servidor tiene la respuesta almacenada en su
memoria caché, responderá inmediatamente sin tener que cursar la petición a
ningún servidor DNS de Internet.
Disponer de un servidor caché DNS en nuestra red local aumenta la velocidad de
la conexión a Internet pues cuando navegamos por diferentes lugares,
continuamente se están realizando peticiones DNS. Si nuestro caché DNS
almacena la gran mayoría de peticiones que se realizan desde la red local, las
34
Servidor DNS bind9. Consultado el 28 de septiembre de 2013.
http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m2/servidor_dns_bind9.html

respuestas de los clientes se satisfarán prácticamente de forma instantánea
proporcionando al usuario una sensación de velocidad en la conexión.
Es un modo de funcionamiento de sencilla configuración ya que prácticamente lo
único que hay que configurar son las direcciones IP de un DNS primario y de un
DNS secundario, equivalente a lo que se hace con windows. Muchos routers
ADSL ofrecen ya este servicio de caché, tan solo hay que activarlo y configurar
una o dos IPs de servidores DNS en Internet. En los PC de nuestra red local
podríamos poner como DNS primario la IP de nuestro router y como DNS
secundario una IP de un DNS de Internet.
Archivos de configuracion del DNS
El archivo de configuración del DNS es el archivo /etc/bind/named.conf, pero
este hace referencia a otros cuantos archivos como por ejemplo:
 Archivo named.conf: Archivo principal de configuración
 Archivo named.conf.options: Opciones genéricas
 Archivo named.conf.local: Especificación particular de este servidor DNS
 Archivo db.127:Especificación dirección de retorno
 Archivo db.root: DNSs de nivel superior
 Otros archivos: db.0, db.255, db.empty, db.local, rndc.conf, rndc.key,
zones.rfc1918
Configuración como caché DNS
Por defecto, al instalar el paquete bind está preconfigurado como servidor caché
DNS. Tan solo será necesario editar el archivo /etc/bind/named.conf.options y en
la sección forwarders añadir las IPs de dos servidores DNS donde redirigir las
peticiones DNS:
// Configuración como caché DNS
// Añadir IP de los DNS de nuestro proveedor en /etc/bind/named.conf.options
options {
forwarders {
80.58.0.33; 80.58.32.97;
};
};
Configuración DNS maestro
Por razones de acceso y organización se desea asignar un nombre a todos los
equipos de la red, se instala un servidor DNS privado con un dominio ficticio, por
ejemplo 'misitio.com'. Todos los PC de la red pertenecerán a dicho dominio
ficticio que funcionará solo en esta red interna, no en Internet. En tal caso el

nombre completo de los PC terminará con 'misitio.com', por ejemplo:
aula1pc5.misitio.com. Lo ideal en una situación así es disponer de un servidor
DNS que sea maestro del dominio, es decir, maestro del dominio interno
'misitio.com'.
El servidor DNS maestro para nuestro dominio ficticio interno 'misitio.com' será
capaz de resolver peticiones internas de nombres de este dominio, tanto de forma
directa como de forma inversa, es decir, si recibe una consulta acerca de quién es
aula1pc5.misitio.com deberá devolver su IP, por ejemplo 192.168.0.107. Si la
consulta es una consulta DNS inversa acerca de quién es 192.168.0.107, deberá
responder aula1pc1.misitio.com. Por ello se debe añadir en el archivo
/etc/bind/named.conf.local la especificación de maestro para el dominio y para la
resolución inversa, por ejemplo:
// Añadir en /etc/bind/named.conf.local
// Archivo para búsquedas directas
zone "misitio.com" {
type master;
file "/etc/bind/misitio.db";
};
// Archivo para búsquedas inversas
zone "0.168.192.in-addr.arpa" {
type master;
file "/etc/bind/192.rev";
};
Es claro que es necesario crear los archivos misitio.db y 192.rev que especificarán
la asociación entre nombres y direcciones IP de nuestra red en un sentido y en
otro respectivamente.
Archivo de zona de búsqueda directa
Supongamos que en nuestra red local tenemos un aula llamada aula5 con 12 PC
con IP que van desde la 192.168.0.101 hasta 112 y cuyos nombres van desde
aula5pc1 hasta aula5pc10, luego un servidor web (pc11) y un servidor de correo
electrónico que además es servidor DNS (pc12). El archivo de configuración DNS
de nuestro dominio podría ser así:
// Archivo /etc/bind/misitio.db
;
; BIND data file for misitio.com
;
@ IN SOA misitio.com. root. misitio.com. (

1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Default TTL
IN NS dns.misitio.com.
IN MX 10 mail.misitio.com.
aula5pc1 IN A 192.168.0.101
aula5pc2 IN A 192.168.0.102
aula5pc3 IN A 192.168.0.103
aula5pc4 IN A 192.168.0.104
aula5pc5 IN A 192.168.0.105
aula5pc6 IN A 192.168.0.106
aula5pc7 IN A 192.168.0.107
aula5pc8 IN A 192.168.0.108
aula5pc9 IN A 192.168.0.109
aula5pc10 IN A 192.168.0.110
www IN A 192.168.0.111
dns IN A 192.168.0.112
mail IN A 192.168.0.112
Las primeras líneas son unos parámetros relacionados con la actualización del
DNS (número de serie y periodos de actuación). Las dos siguientes líneas indican
quién es el servidor primario (NS = Name Server) y quien procesa el correo
electrónico del dominio (MX = Mail eXchange). Las siguientes líneas especifican
las IP de los distintos PC componentes del dominio (A = Address).
Si se olvida algún punto y coma, dará errores y no funcionará correctamente. Para
revisar los archivos se dispone de los comandos named-checkconf y named-
checkzone que analizan que esté correcta la sintaxis de los mismos.
Archivo de zona de búsqueda inversa
Para poder realizar consultas inversas (de IP a nombre) será necesario crear el
siguiente archivo:
// Archivo /etc/bind/192.rev
;
; BIND reverse data file for 192.168.0.0
;
@ IN SOA misitio.com. root. misitio.com. (
1 ; Serial

604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Default TTL
IN NS dns.v
101 IN PTR aula5pc1.misitio.com.
111 IN PTR www.misitio.com.
112 IN PTR dns.misitio.com.
112 IN PTR mail.misitio.com.
Una vez configurado nuestro servidor DNS, se debe indicar a nuestro servidor
Linux que el servidor DNS es él mismo, lo cual se especifica en el archivo
/etc/resolv.conf.
// Indicamos que nosotros mismos somos servidores DNS
// y por defecto buscamos en nuestro dominio
// Editar /etc/resolv.conf del servidor DNS
search misitio.com
En el resto de PC de la red, indicaremos que el servidor DNS es 192.168.0.112
// En el resto de PC de la red indicamos quién es el DNS
// Editar /etc/resolv.conf del resto de PCs de la red
Tan solo faltará poner en marcha el servidor de nombres ejecutando en el servidor
el script de inicio correspondiente:

// Arranque del servidor DNS
# /etc/init.d/bind9 restart
Mediante el comando host, el comando dig o el comando nslookup hacer alguna
consulta de prueba.
Configuración DNS esclavo
Si deseamos configurar nuestro servidor DNS para que actúe como esclavo de un
servidor DNS maestro, la configuración es mucho más sencilla que en el caso
anterior ya que únicamente será necesario indicar en el DNS esclavo quién es el
servidor DNS maestro, y en el DNS maestro, la IP del DNS esclavo.
Ejemplo, supongamos que el nombre del DNS maestro es dns.misitio.com (IP
192.168.0.112) y que el nombre del DNS esclavo es dns2.ieslapaloma.com. En el
archivo 'misitio.db' de zona de búsqueda directa añadiremos la línea del segundo
DNS justo debajo de donde está la del primero:
// Añadir línea en /etc/bind/ misitio.db del maestro
....
IN NS dns2.misitio.com. // Nueva línea
....
De esta forma se indicará que existen más servidores DNS para dicha zona. Lo
mismo se hace en el archivo '192.rev' de la zona inversa:
// Añadir línea en /etc/bind/192.rev del maestro
....
IN NS dns2.misitio.com. // Nueva línea
....
En el archivo /etc/bind/named.conf.local del servidor DNS esclavo debemos indicar
que se trata de un servidor esclavo y también debemos indicar quién es el
maestro:
// Añadir en /etc/bind/named.conf.local del esclavo
zone " misitio.com" {
type slave;
file "/etc/bind/ misitio.db";
masters { 192.168.0.112; };
};

type slave;
masters { 192.168.0.112; };
};
En el archivo /etc/bind/named.conf.local del servidor DNS maestro podemos
utilizar also-notify para mantener los DNS sincronizados. Con also-notify pasamos
los cambios de zonas en el maestro al esclavo:
// Archivo /etc/bind/named.conf.local del maestro
zone " misitio.com." {
type master;
file "/etc/bind/ misitio.db";
also-notify {ip_del_esclavo;}
};
type master;
also-notify {ip_del_esclavo;}
};
De esta forma dispondremos en la red de un servidor DNS esclavo que podrá
satisfacer las peticiones DNS al igual que lo haría el maestro. Es interesante si el
número de peticiones es muy elevado y se requiere distribuir la carga entre los dos
servidores, o si deseamos disponer de servicio DNS de alta disponibilidad de
forma que aunque el servidor maestro deje de funcionar, el servidor esclavo podrá
seguir ofreciendo el servicio.
Cada vez que se haga un cambio en los archivos /etc/bind/misitio.db y
/etc/bind/192.rev del maestro, debemos acordarnos de actualizar el parámetro
serial (incrementar en una unidad) para que los DNS dependientes del maestro
sepan que ha cambiado y actualicen su información para mantenerse
sincronizados.
Arranque y parada manual del servidor DNS
El servidor DNS, al igual que todos los servicios en Debian, dispone de un script
de arranque y parada en la carpeta /etc/init.d.
// Arranque del servidor DNS
sudo /etc/init.d/bind9 start
// Parada del servidor DNS
sudo /etc/init.d/bind9 stop

// Reinicio del servidor DNS
sudo /etc/init.d/bind9 restart
Arranque automático del servidor DNS al iniciar el sistema:
Para un arranque automático del servicio al iniciar el servidor, se crean los enlaces
simbólicos correspondientes tal y como se indica en el apartado Trucos >
Arranque automático de servicios al iniciar el sistema.
CAMBIAR LOS SERVIDORES DNS
De forma predeterminada nuestro ISP nos asigna los servidores DNS que usará
nuestra conexión, pero es opcional cambiarlos por otros más eficientes. No
obstante, en algunos casos pueden resultar más apropiados, dependiendo de
nuestra ubicación geográfica.
Servidores DNS más eficientes para la conexión de red
Existen algunos servicios y aplicaciones para buscar y probar servidores DNS
alternos. Permiten medir el tiempo de respuesta y saber el rendimiento de los
servidores DNS cuya dirección IP se introduzcan manualmente o las que se
encuentren en su base de datos.
Namebench
Esta aplicación está disponible gratis en el repositorio Google Code, la cual mide
los tiempos de respuesta de cada DNS que muestra en una base de datos, los
compara con los nuestros y sugiere la mejor opción que podemos adoptar.
Se puede descargar gratis, solo asegúrese que la versión es según su sistema
operativo, Windows, Linux o MaxOS e instálelo.
https://code.google.com/p/namebench/. Instale la aplicación, córrala y espere un
momento, luego arrojará la respuesta en la cual le aparecerá la mejor opción de
configuración de esta manera:

Namehelp
Namehelp es otra opción, es una aplicación disponible gratis en Aqualab para
encontrar los mejores DNS para nuestra conexión. Después de descargarla e
instalarla es necesario configurar nuestra conexión de red para usar como servidor
DNS la dirección: 127.0.0.1. De esta forma la aplicación hace de intermediario
entre nuestro equipo y la red. Acceda al panel de control usando la
dirección http://localhost:53533/ (guarde el vínculo en los marcadores).
Entonces vaya probando los servidores que la aplicación sugiere, haga
comparaciones hasta que se decida que servidor DNS usar. Namehelp puede
aumentar la velocidad de las peticiones hasta 10 veces.
http://www.northwestern.edu/projects/151-namehelp
Propagación de la dirección IP en los servidores DNS
Al cambiar los archivos de un sitio web de un hosting o compañía de alojamiento a
uno diferente, si se mantiene el nombre de dominio o sea la dirección URL
original, esto no traerá ninguna consecuencia dañina en su posicionamiento web,
ya que todos los links seguirán apuntando al mismo sitio.
El trauma consiste en la demora necesaria para actualizarse los servidores DNS,
con la nueva dirección IP. Es lo que se llama como Propagación, puede demorar
entre 24 y 72 horas.

En internet existen 13 servidores DNS raíz, de ellos se conectan y dependen todos
los restantes servidores locales.
¿Cómo saber cuándo es actualizada la dirección IP en los servidores DNS?
Para estar al tanto de la propagación de los nuevos datos en los servidores DNS,
se puede usar dos métodos, uno manual muy efectivo que se explicará a
continuación y el otro es usar el servicio en la red de Whatsmydns.
Para hacerlo manualmente es necesario hacer la petición al servidor DNS de
Google y después hacerlo al servidor DNS de la compañía de hosting que se va a
utilizar. Cuando coincidan las dos direcciones, significará que ya se ha propagado
correctamente.
En el siguiente ejemplo hipotético, se utiliza el dominio norfipc.com para conocer si
ya se ha propagado a los DNS, la nueva dirección del sitio que es la
209.190.61.44, para eso primero se hace la petición a los DNS de Google y
después a los que corresponden a la compañía. El resultado en este ejemplo,
indica que Google y los otros DNS, aún están enviando los visitantes a la dirección
IP 209.190.61.21, que es la anterior.
NSLOOKUP
server 8.8.8.8
sitio.com
209.190.61.21
server ns1.byethost36.org
sitio.com
209.190.61.44
Para el caso de tener una configuración predeterminada con el DNS de google,
arroja la siguiente data:
Verificar en Whatsmydns el estado de la propagación de una dirección IP.
Whatsmydns es un servicio fácil de usar, que da una perspectiva visual de la
propagación de una dirección IP en los principales servidores de internet.
Para usarlo acceder a: http://www.whatsmydns.net/ y digite el nombre de dominio.

A continuación se cargará una tabla y un mapa mostrando en ellos la dirección IP
que corresponde al nombre de dominio usado.
Nota: Pruebe esta aplicación con la URL de cinco metabuscadores.
Esta es la interfaz, en la que se digita el dominio, que en este caso particular el
metabuscador ixquick.
Otras herramientas en la red alternas a la anterior son:
• DNS traversal Checker: http://dns.squish.net/
• Network-tools.com
• www.internic.net:
Acelerar la propagación de la dirección IP en los servidores DNS
Los especialistas aconsejan antes de mover un sitio a otra dirección IP, disminuir
el valor de los TTL con la herramienta Edit DNS Zones, disponible en Cpanel, en
el caso que el servicio de hosting permita esta opción.
TTL (Time-To-Live) es el tiempo expresado en segundos, que será guardado en
cache el registro DNS en el cliente. Sustituya el valor predeterminado que puede
ser 86400 (24 horas) o aun superior, por 500 (5 minutos).
¿Cómo acceder a un sitio web antes de completarse la propagación DNS?
Inserte al final del archivo hosts la siguiente línea:
190.45.45.34 www.sitio.com
Sustituya:

• 190.45.45.34 = La dirección IP de los servidores DNS del sitio
• www.sitio.com = El nombre de dominio del sitio
El archivo hosts se encuentra en la siguiente ruta:
C:WindowsSystem32driversetc
LISTA DE DIRECCIONES IP DE LOS SERVIDORES DNS PÚBLICOS MÁS
EFICIENTES Y SEGUROS.35
Servidores públicos DNS de Google
Es el servicio DNS más popular actualmente. Usa
una vasta red de servidores distribuidos geográficamente en todo el mundo.
Desde Diciembre del 2009 en que comenzó a funcionar el servicio de los
servidores públicos DNS de Google, han contribuido a que internet sea más
rápido. Google presta dicho servicio de forma gratuita, a nivel mundial, en la que
actualmente sirven más de 70 peticiones diarias, de ese mismo servicio se valen
productos de Google como el navegador Google Chrome, lo que permite que sea
el más rápido disponible en la red.
Dirección IP de los servidores DNS de Google
La disponibilidad del servicio es prácticamente el 100%. Usar las siguientes
direcciones IP:
Para el protocolo IPv4 (actual)
➔ Servidor primario: 8.8.8.8
➔ Servidor secundario: 8.8.4.4
Para el protocolo IPv6 (nuevo protocolo)
➔ Servidor primario: 2001:4860:4860::8888
➔ Servidor secundario: 2001:4860:4860::8844
Puede utilizar cualquiera de los números como su servidor DNS primario o
secundario. También puede especificar ambos números y configurar las
35
Direcciones de los servidores DNS más rápidos y eficientes de internet. Consultado el 28 de septiembre de
2013. http://norfipc.com/redes/direcciones-servidores-dns-mas-rapidos-eficientes-internet.html

direcciones DNS públicas de google para conexiones IPv4 o IPv6, o ambas
cosas.36
Más información en Google: https://developers.google.com/speed/public-
dns/docs/using?hl=es&csw=1
https://developers.google.com/speed/public-dns/
Servicio de OpenDNS
Servicio tradicional muy confiable, de gran autoridad. Adicional a la velocidad,
tiene un filtro de phishing y un corrector ortográfico. Brinda la opción de instalar
dos servicios adicionales gratuitos en la PC: "OpenDNS Home" y "OpenDNS
FamilyShield", que revisan todas las peticiones hechas por el navegador y nos
ofrece estadísticas y protección contra sitios fraudulentos. Además está incluido el
Control parental para la protección a menores.
Descarga: http://www.opendns.com/home-solutions/parental-controls/
Hay que tener en cuenta que aunque este y otros servicios que se listan,
proporcionan protección contra contenido indeseado y peligroso, todas las
peticiones que se hacen en el navegador no llegan al servidor DNS. Algunas de
estas peticiones usan la cache que guarda Windows para hacer la navegación
más rápida.
Al instalar en la PC algunos de los servicios de OpenDNS, se tiene una protección
más efectiva.
208.67.222.222
208.67.220.220
36
NA.

Más información: http://www.opendns.com/
Norton ConnectSafe
Maneja "Norton ConnectSafe" un servicio que opera desde la nube ofreciendo
soluciones de seguridad y filtrado en sus servidores DNS. Quienes se conectan a
través de estos servidores, prácticamente pueden navegar a salvo en la red.
El servicio es gratis para el uso personal ya sea desde la PC, Laptop, pero
también desde el teléfono celular o tableta.
Ofrece tres tipos de servicios, para usarlos de acuerdo a la necesidad y propósito.
1- Seguridad. Bloqueo de sitios catalogados como malware, páginas que se
dedican al phishing y sitios web fraudulentos. Para eso use las siguientes
direcciones IP:
Servidor DNS primario = 198.153.192.40
Servidor DNS secundario = 198.153.194.40
2- Seguridad y pornografía. Adicionalmente a las funciones anteriores, se puede
bloquear sitios web de contenido de adultos.
198.153.192.50
198.153.194.50
3- Seguridad, pornografía y contenido no apto para la familia. Adicionalmente
a las funciones anteriores, se puede usar un filtro aún más restrictivo, bloqueando
las peticiones a páginas web catalogadas como "no aptas" para "ver en familia".

Se bloquea el contenido que trata sobre los abortos, alcohol, crímenes, cultos,
drogas, odio, orientación sexual, suicidio y violencia.
198.153.192.60
198.153.194.60
Más información: https://dns.norton.com/dnsweb/
Comodo Secure DNS
Comodo es otra empresa de seguridad informática que ofrece un servicio de
servidores DNS con protección contra el malware y la publicidad.
8.26.56.26
156.154.70.22
Más información: http://www.comodo.com/secure-dns/
Servidores DNS de Level 3 y Verizon
Level 3 Communications es una compañía de comunicaciones con una gran
infraestructura de redes de fibra óptica y cables submarinos en todo el mundo.
Provee a la mayoría de los ISP en los Estados Unidos el acceso a los principales
nodos de internet. Level 3 y Verizon (gtei.net) operan un conjunto de servidores
DNS que están entre los más rápidos de internet. Se pueden usar cualquiera de
los siguientes seis servidores DNS:
4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
4.2.2.5
4.2.2.6

Se dice que los siguientes servidores automáticamente redireccionan a los
servidores DNS más cercanos operados por Level 3:
209.244.0.3
209.244.0.4
Consultar http://www.level3.com/en/
OpenNIC
Es un proyecto alternativo al ICANN (Internet Corporation for Assigned Names and
Numbers), que es el organismo que administra los números IP y los TLD de
manera oficial. OpenNIC es mantenida y administrada por usuarios sin depender
de ningún país.
Ofrecen otros dominios como son: .dyn, .free, .ing, etc. Posee una serie de
servidores DNS libres, que no guardan los registros de las consultas que realizan
los usuarios (se borran a las 24 horas).
Para probar o usar el servicio acceder a la siguiente a la URL citada en la que se
indica automáticamente las direcciones IP del servidor más cercano, como se
muestra en la imagen: http://www.opennicproject.org/
Pueden buscar una aplicación que permite configurar la DNS directamente.
http://sourceforge.net/projects/opennicwizard/files/

DNSResolvers.com
Servidores públicos, gratuitos y seguros sin ningún tipo de filtrado ni limitación.
205.210.42.205
64.68.200.200
http://dnsresolvers.com/
Dyn Internet Guide
Dyn ofrece servidores DNS gratuitos con resultados de su funcionamiento muy
buenos. Los tiempos de respuesta están entre los mejores, de acuerdo a los
benchmarks realizados. Ofrece otros servicios adicionales.
Permite crear dominios para poderlos usar en una PC local que utilice una
dirección dinámica o sea que cambia regularmente su dirección.
Los servidores DNS son los siguientes:
216.146.35.35
216.146.36.36
Para probar si están configurados correctamente cargar la siguiente
página: http://dyn.com/

SmartViper (Servidores DNS públicos)
208.76.50.50
208.76.51.51
Más información: http://www.markosweb.com/free-dns/
Public-Root (Servidores públicos raíz)
Otra opción es establecer como servidor DNS uno de los 13 servidores raíz de
internet.Para eso acceder a la página donde se puede conocer la localización y

comprobar el estatus de cada servidor. Solo escoger el servidor más cercano
geográficamente: http://public-root.com/root-server-check/index.htm
Los usuarios más cercanos a Latinoamérica son los siguientes:
Chicago, Illinois, USA = 199.5.157.131
Des Moines, Iowa, USA = 208.71.35.137
Chimbote, Peru = 200.37.61.62
Los de España:
Paris, France = 46.244.10.70
London, UK = 80.252.121.2
Otros servicios DNS
puntCAT
Servidores DNS localizados en Barcelona, España.
109.69.8.51
http://www.servidordenoms.cat/
Securly
Filtrado 2.0 de contenido especialmente creado para escuelas. No bloquea
totalmente los sitios, pero filtra de forma inteligente páginas con contenido

inadecuado en los buscadores, las redes sociales, YouTube, etc.
Permite a los maestros o padres crear y administrar las reglas.
Es un servicio de pago. http://www.securly.com/
Censurfridns.dk
Servidor DNS independiente sin censura localizado en Dinamarca. Mantenido por
una persona que está totalmente en contra del filtrado de contenido en los DNS.
No se guarda información privada alguna del acceso.
Esta es la interfaz del portal, que como se notará al contrario de las citadas
anteriormente es prácticamente inexistente pero el servicio es bueno.

89.233.43.71
89.104.194.142
Consultar: http://www.censurfridns.dk/
Nota: Debemos cambiar los servidores DNS si no podemos navegar
correctamente, o si el computador tarda mucho en cargar páginas nuevas. Estas
son otras páginas alternativas a las ya citadas.
Arrakis
 212.59.199.2
 212.59.199.6

Arsys
 217.76.128.4
 217.76.129.4

Comunitel
 212.145.4.97
 212.145.4.98

Opendns
 208.67.222.222
 208.67.220.220

Euskatel
 212.55.8.132
 212.55.8.133
 212.142.144.66
 212.142.144.98

Jazztel
 87.216.1.65
 87.216.1.66

Metrored
 80.251.75.5
 80.251.75.6

Ono
 62.42.230.24
 62.42.63.52
 62.81.29.254

Ya.com
 62.151.2.8
Orange
 62.36.225.150
 62.37.228.20

Superbanda
 212.4.96.22
 212.4.96.21

Telefónica (Argentina)
 200.51.254.254
 200.51.254.251

Movistar (España)
 80.58.0.33
 80.58.61.250
 80.58.61.254
 194.179.1.100
 194.179.1.101
 194.224.52.36 (Terra)
 194.224.52.37 (Terra)
 195.235.113.3 (Terra)
 195.235.96.90 (Terra)
 217.76.128.4

Telefónica (Perú)
 200.48.225.130

Tiscali (mismas DNS que
Telefónica/Terra)
 194.224.52.36
 194.224.52.37

Uni2
 195.130.224.18
 195.130.225.129



62.151.4.21
Nota: Existen 13 servidores DNS raíz, guardan la información de los servidores
para cada una de las zonas de más alto nivel y constituyen el centro de la red. Se
identifican con las siete primeras letras del alfabeto, varios de ellos se encuentra
divididos físicamente y dispersos geográficamente (anycast), con el propósito de
incrementar el rendimiento. Solo están representados en el mapa algunos de los
123 servidores DNS funcionando a nivel mundial.

En el siguiente mapa se representan todos los servidores raíz, incluyendo los
servidores distribuidos, que usan anycast.
Mapa con los servidores raíz de internet
Tabla con datos de los servidores DNS raíz de internet
Los datos son de: Wikipedia y root-servers.org/

Principales servidores DNS de internet
Como se ha notado reiteradas veces, existen 13 servidores DNS en internet que
son conocidos como los servidores raíz, guardan la información de los servidores
para cada una de las zonas de más alto nivel y constituyen el centro de la red.
Se identifican con las siete primeras letras del alfabeto, varios de ellos se
encuentra divididos físicamente y dispersos geográficamente, técnica conocida
como "anycast", con el propósito de incrementar el rendimiento y la seguridad.
Para acceder a la página de información y chequeo de los 13 servidores raíz de
internet es: http://public-root.com/
Mapa de cables submarinos de internet
Consultar el sitio http://telegeography.com/, en la que puede encontrarse una serie
de mapas interactivos referidos a las comunicaciones, siendo posible aumentar y
desplazarse por cualquiera sección como si se tratara de Google Maps.
Dos de ellos son muy interesantes, Submarine Cable Map (Mapa de cables
submarinos de internet) y el mapa de comunicaciones de Latino América.

Los mapas tienen insertados otros gráficos, infografías e información relacionada
con la actividad de los cables.
Los mapas es posible comprarlos físicamente con todos los datos incluidos, pero
por una enorme suma de dinero. No obstante la navegación es gratis.
Usar el siguiente vínculo para cargar los mapas:
http://latin-america-map-2012.telegeography.com/
Taller.
1. Realizar un estudio breve sobre los algoritmos de encriptación
que emplea DNSSEC.
2. Probar todas y cada una de las herramientas citadas para la
gestión y/o administración del DNS (desde la página 26 en
adelante), que incluye probar los scripts dados para la gestión
del DNS.
3. Para el caso de Linux, realizar las mismas pruebas de
configuración de DNS, básico.

4. Realizar el análisis respectivo de cada herramienta de software
y adjuntar las respectivas pruebas de ello (pros y contras, etc).
5. Estudiar para la evaluación.

Dns caracteristicas-y-propiedades

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Dns caracteristicas-y-propiedades

Similar a Dns caracteristicas-y-propiedades (20)

Más de Universidad Militar Nueva Granada-Universidad de Cundinamarca

Más de Universidad Militar Nueva Granada-Universidad de Cundinamarca (20)

Último

Último (20)

Dns caracteristicas-y-propiedades