Sistema de nombres de dominio

Ir a la navegaciónIr a la búsqueda
Domain Name System
(DNS)
Familia Familia de protocolos de Internet
Función Resolución de nombres de dominio
Puertos 53/UDP, 53/TCP
Ubicación en la pila de protocolos
Aplicación DNS
Transporte TCP o UDP
Red IP (IPv4, IPv6)
Estándares
RFC 881 (El Plan de los Nombres de Dominio y su Agenda, 1983)
RFC 1034 (1987)
RFC 1035 (1987)
[editar datos en Wikidata]
El sistema de nombres de dominio (Domain Name System o DNS, por sus siglas en
inglés)1 es un sistema de nomenclatura jerárquico descentralizado para dispositivos
conectados a redes IP como Internet o una red privada. Este sistema asocia
información variada con nombres de dominio asignados a cada uno de los
participantes. Su función más importante es "traducir" nombres inteligibles para
las personas en identificadores binarios asociados con los equipos conectados a la
red, esto con el propósito de poder localizar y direccionar estos equipos
mundialmente.2

El servidor DNS utiliza una base de datos distribuida y jerárquica que almacena
información asociada a nombres de dominio en redes como Internet. Aunque como base
de datos el DNS es capaz de asociar diferentes tipos de información a cada nombre,
los usos más comunes son la asignación de nombres de dominio a direcciones IP y la
localización de los servidores de correo electrónico de cada dominio.

La asignación de nombres a direcciones IP es ciertamente la función más conocida de

los protocolos DNS. Por ejemplo, si la dirección IP del sitio Google es
216.58.210.163, la mayoría de la gente llega a este equipo especificando
www.google.com y no la dirección IP. Además de ser más fácil de recordar, el nombre
es más fiable.3 La dirección numérica podría cambiar por muchas razones, sin que
tenga que cambiar el nombre del sitio web. Incluso, en el caso de que una página
web utilice una red de distribución de contenidos (Content delivery network o CDN,
por sus siglas en inglés) por medio del DNS el usuario recibirá la dirección IP del
servidor más cercano según su localización geográfica (cada CDN a su vez tiene sus
propios servidores DNS).

Índice
1 Historia
2 Componentes
3 Entendiendo las partes de un nombre de dominio
4 DNS en el mundo real
5 Jerarquía DNS
5.1 Tipos de servidores DNS
6 Tipos de resolución de nombres de dominio
7 Temas de Seguridad
8 Registros de recursos
8.1 Registros DNS comodín
9 Tipos de registros DNS
10 Registro de pegamento
11 Estándares del DNS
11.1 Seguridad
12 Véase también
12.1 Ataques
13 Referencias
14 Enlaces externos
Historia
Principalmente, el DNS nació de la necesidad de recordar fácilmente los nombres de
todos los servidores conectados a Internet. En un inicio, SRI (ahora SRI
International) alojaba un archivo llamado HOSTS que contenía todos los nombres de
dominio conocidos. 45

El crecimiento explosivo de la red causó que el sistema de nombres centralizado en

el archivo hosts no resultara práctico y en noviembre de 1983 Jon Postel publica el
planeamiento en el RFC 881 y luego junto a Paul Mockapetris publican los RFC 882 y
RFC 883 ese mismo año. En octubre de 1984 y tras largas discusiones emiten el RFC
920,6 definiendo lo que hoy en día ha evolucionado hacia el DNS moderno (estos RFC
882 y 883 fueron reemplazados en 1987 con los RFC 1034 y RFC 1035).7

De no existir los servidores DNS los usuarios tendrían que escribir la dirección IP
del sitio web en lugar de escribir la URL de este lo cual generaría confusiones y
la navegación en internet se tornaría muy complicada para los usuarios.

En esta etapa, la mejor forma de proveer "continuidad" era tener múltiples

servidores contestando múltiples consultas. Un servidor era el maestro y los demás
eran esclavos. Cada uno de los esclavos debía revisar con el maestro periódicamente
que los datos no hubieran cambiado.

Unos 10 años después, se hicieron algunos ajustes mayores al protocolo DNS. Esto
era una forma más dinámica de mantener los servidores al día, utilizando NOTIFY (en
español notificar) y las transferencias incrementales de zona (IXFR).8

NOTIFY fue un cambio clave. En vez de esperar a que un esclavo revisara, el maestro
podía mandar mensajes NOTIFY a los esclavos, instándolos a adquirir los nuevos
datos. Por su parte, IXFR significó un cambio en la forma en que la data se
comunicaba. Si cambiaba solamente uno de entre cientos de registros, la
especificación original enviaría cientos de mensajes. IXFR cambió el sistema,
permitiendo que el envío fuera de los registros que cambiaron solamente.8

La siguiente evolución de DNS vino cuando se definieron cambios dinámicos en RFC

2136. Esto permitió que los administradores de los servidores pudieran hacer
cambios en los registros de mejor forma. Más tarde, en el RFC 2671 se definieron
mecanismos de extensión de DNS (EDNS) que modernizó aún más el sistema.8

El interés por expandir los posibles nombres de los dominios para incluir
caracteres de otros idiomas se reflejó en los nombres de dominio
internacionalizados como fueron definidos en los RFC 5890 y RFC 5891 en 2010.

Componentes
Para la operación práctica del sistema DNS se utilizan tres componentes
principales:

Los Clientes fase 1: Un programa cliente DNS que se ejecuta en la computadora del
usuario y que genera peticiones DNS de resolución de nombres a un servidor DNS (Por
ejemplo: ¿Qué dirección IP corresponde a nombre.dominio?)
Los Servidores DNS: Que contestan las peticiones de los clientes. Los servidores
recursivos tienen la capacidad de reenviar la petición a otro servidor si no
disponen de la dirección solicitada.
Las Zonas de autoridad: Es una parte del espacio de nombre de dominios sobre la que
es responsable un servidor DNS, que puede tener autoridad sobre varias zonas. (Por
ejemplo: subdominio.Wikipedia.ORG, subdominio.COM, etc.)
Entendiendo las partes de un nombre de dominio
Un nombre de dominio usualmente consiste en dos o más partes (técnicamente
«etiquetas»), separadas por puntos cuando se las escribe en forma de texto. Por
ejemplo, www.ejemplo.com o es.wikipedia.org

A la etiqueta ubicada más a la derecha se le llama dominio de nivel superior (en

inglés top level domain). Como com en www.ejemplo.com u org en es.wikipedia.org
Cada etiqueta a la izquierda especifica una subdivisión o subdominio. Nótese que
"subdominio" expresa dependencia relativa, no dependencia absoluta. En teoría, esta
subdivisión puede tener hasta 127 niveles, y cada etiqueta puede contener hasta 63
caracteres, pero restringidos a que la longitud total del nombre del dominio no
exceda los 255 caracteres, aunque en la práctica los dominios son casi siempre
mucho más cortos.
Finalmente, la parte más a la izquierda del dominio suele expresar el nombre de la
máquina (en inglés hostname). El resto del nombre de dominio simplemente especifica
la manera de crear una ruta lógica a la información requerida. Por ejemplo, el
dominio es.wikipedia.org tendría el nombre de la máquina "es", aunque en este caso
no se refiere a una máquina física en particular.
El DNS consiste en un conjunto jerárquico de servidores DNS. Cada dominio o
subdominio tiene una o más zonas de autoridad que publican la información acerca
del dominio y los nombres de servicios de cualquier dominio incluido. La jerarquía
de las zonas de autoridad coincide con la jerarquía de los dominios. Al inicio de
esa jerarquía se encuentra los servidores raíz: los servidores que responden cuando
se busca resolver un dominio de primer y segundo nivel.

DNS en el mundo real

Los usuarios generalmente no se comunican directamente con el servidor DNS: la
resolución de nombres se hace de forma transparente por las aplicaciones del
cliente (por ejemplo, navegadores, clientes de correo y otras aplicaciones que usan
Internet). Al realizar una petición que requiere una búsqueda de DNS, la petición
se envía al servidor DNS local del sistema operativo. El sistema operativo, antes
de establecer alguna comunicación, comprueba si la respuesta se encuentra en la
memoria caché. En el caso de que no se encuentre, la petición se enviará a uno o
más servidores DNS,9 el usuario puede utilizar los servidores propios de su ISP,
puede usar un servicio gratuito de resolución de dominios o contratar un servicio
avanzado de pago que por lo general son servicios contratados por empresas por su
rapidez y la seguridad que estos ofrecen.

La mayoría de usuarios domésticos utilizan como servidor DNS el proporcionado por

el proveedor de servicios de Internet salvo quienes personalizan sus equipos o
enrutadores para servidores públicos determinados. La dirección de estos servidores
puede ser configurada de forma manual o automática mediante DHCP (IP dinámica). En
otros casos, los administradores de red tienen configurados sus propios servidores
DNS.

DNS en el mundo real.svg

En cualquier caso, los servidores DNS que reciben la petición, buscan en primer
lugar si disponen de la respuesta en la memoria caché. Si es así, sirven la
respuesta; en caso contrario, iniciarían la búsqueda de manera recursiva. Una vez
encontrada la respuesta, el servidor DNS guardará el resultado en su memoria caché
para futuros usos y devuelve el resultado.9

Típicamente el protocolo DNS transporta las peticiones y respuestas entre cliente y

servidor usando el protocolo UDP, ya que es mucho más rápido. Las ocasiones donde
se usa el protocolo TCP son: cuando se necesitan transportar respuestas mayores de
512 bytes de longitud (por ejemplo al usar DNSSEC) y cuando se intercambia
información entre servidores (por ejemplo al hacer una transferencia de zona), por
razones de fiabilidad.10
Jerarquía DNS

Árbol DNS
El espacio de nombres de dominio tiene una estructura arborescente. Las hojas y los
nodos del árbol se utilizan como etiquetas de los medios. Un nombre de dominio
completo de un objeto consiste en la concatenación de todas las etiquetas de un
camino. Las etiquetas son cadenas alfanuméricas (con '-' como único símbolo
permitido), deben contar con al menos un carácter y un máximo de 63 caracteres de
longitud, y deberá comenzar con una letra (y no con '-').11 Las etiquetas
individuales están separadas por puntos. Un nombre de dominio termina con un punto
(aunque este último punto generalmente se omite, ya que es puramente formal). Un
nombre de dominio correctamente formado (FQDN, por sus siglas en inglés), es por
ejemplo este: www.ejemplo.com. (incluyendo el punto al final).

Un nombre de dominio debe incluir todos los puntos y tiene una longitud máxima de
255 caracteres.

Un nombre de dominio se escribe siempre de derecha a izquierda. El punto en el

extremo derecho de un nombre de dominio separa la etiqueta raíz de la jerarquía.
Este primer nivel es también conocido como dominio de nivel superior (TLD, por sus
siglas en inglés).

Los objetos de un dominio DNS (por ejemplo, el nombre del equipo) se registran en
un archivo de zona, ubicado en uno o más servidores de nombres.

Tipos de servidores DNS

Estos son los tipos de servidores de acuerdo a su función:9

Primarios o maestros: guardan los datos de un espacio de nombres en sus ficheros.

Secundarios o esclavos: obtienen los datos de los servidores primarios a través de
una transferencia de zona.
Locales o caché: funcionan con el mismo software, pero no contienen la base de
datos para la resolución de nombres. Cuando se les realiza una consulta, estos a su
vez consultan a los servidores DNS correspondientes, almacenando la respuesta en su
base de datos para agilizar la repetición de estas peticiones en el futuro continuo
o libre.
Tipos de resolución de nombres de dominio
Un servidor DNS puede resolver un nombre de dominio de manera recursiva o
iterativa.12 En una consulta recursiva, un cliente solicita a un servidor DNS que
obtenga por sí mismo la respuesta completa (es decir, dado el dominio
mi.dominio.com, el cliente espera recibir la dirección IP correspondiente). Por
otro lado, dada una consulta iterativa, el servidor DNS no otorga una respuesta
completa: para el caso de mi.dominio.com, el primer servidor al que se le realiza
la consulta (un servidor raíz), retorna las direcciones IP de los servidores de
nivel superior (TDL) responsables del dominio .com. De este modo, el cliente ahora
debe realizar una nueva consulta a uno de estos servidores, el cual toma nota del
sufijo .dominio.com y responde con la IP del servidor DNS correspondiente, por
ejemplo dns.dominio.com. Finalmente, el cliente envía una nueva consulta a
dns.dominio.com para obtener la dirección IP de mi.dominio.com.

En la práctica, la consulta de un host a un DNS local es recursiva, mientras que

las consultas que realiza el DNS local son iterativas. Además, las consultas
iterativas sólo se realizan en caso de que el servidor DNS local no posea los datos
correspondientes en caché (o en caso de que estos hayan expirado). En resumen, el
proceso de resolución normal se lleva a cabo de la siguiente manera:

El servidor DNS local recibe una consulta recursiva desde el resolver del host
cliente.
El DNS local realiza las consultas iterativas a los servidores correspondientes.
El servidor DNS local entrega la resolución al host que solicitó la información.
El resolver del host cliente entrega la respuesta a la aplicación correspondiente.
Temas de Seguridad
Originalmente, las preocupaciones de seguridad no fueron consideraciones
importantes para el diseño en el software DNS o de cualquier otro software para
despliegue en la Internet temprana, ya que la red no estaba abierta a la
participación del público general. Sin embargo, la expansión de Internet en el
sector comercial en los 90s cambió los requisitos de las medidas de seguridad para
proteger la integridad de los datos y la autenticación de los usuarios.

Muchos temas de vulnerabilidades fueron descubiertos y explotados por usuarios

maliciosos. Uno de esos temas es el envenenamiento de caché DNS, en la cual los
datos son distribuidos a los resolvedores de caché bajo el pretexto de ser un
servidor de autoridad de origen, contaminando así el almacenamiento de datos con
información potencialmente falsa y largos tiempos de expiración (time-to-live).
Subsecuentemente, las solicitudes legítimas de las aplicaciones pueden ser
redirigidas a equipos de red operados con contenidos maliciosos.

Las respuestas DNS tradicionalmente no estaban firmadas criptográficamente,

permitiendo muchas posibilidades de ataque; las extensiones de seguridad del DNS
(DNSSEC) modifican el DNS para agregar la posibilidad de tener respuestas firmadas
criptográficamente. DNSCurve ha sido propuesto como una alternativa a DNSSEC. Otras
extensiones, como TSIG, agregan soporte para autenticación criptográfica entre
pares de confianza y se usan comúnmente para autorizar transferencias de zona u
operaciones dinámicas de actualización.

Algunos nombres de dominio pueden ser usados para conseguir efectos de engaño. Por
ejemplo, paypal.com y paypa1.com son nombres diferentes, pero puede que los
usuarios no puedan distinguir la diferencia dependiendo del tipo de letra que estén
usando. En muchos tipos de letras la letra l y el numeral 1 se ven muy similares o
hasta idénticos. Este problema es grave en sistemas que permiten nombres de dominio
internacionalizados, ya que muchos caracteres en ISO 10646 pueden aparecer
idénticos en las pantallas típicas de computador. Esta vulnerabilidad se explota
ocasionalmente en phishing.13

Técnicas como el FDNS inverso con confirmación adelantada pueden también usarse
para validar los resultados de DNS.

Registros de recursos
El Sistema de nombres de dominio especifica una base de datos de elementos de
información para recursos de red. Los tipos de elementos de información se
clasifican y organizan con una lista de tipos de registros de DNS: los registros de
recursos (RR). Cada registro tiene un tipo (nombre y número), una tiempo de
expiración (tiempo de vida), una clase, y datos específicos del tipo. Los registros
de recursos del mismo tipo se describen como un conjunto de registros de recursos
(RRset) y no tienen un orden específico. Los resolvedores de DNS devuelven el
conjunto completo tras la consulta, pero los servidores pueden implementar un
ordenamiento round-robin para lograr un balance de carga. Por el contrario, las
Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) funcionan en el
conjunto completo de registros de recursos en orden canónico.

Cuando se envían a través de una red de Protocolo de Internet, todos los registros
usan el formato común especificado en RFC 1035:14