Consultas DNS: Diferencias Clave entre Recursivas, Iterativas e Inversas (con ejemplos en Linux)

Mauro Escalante
abril 5, 2025
12:51 pm
No hay comentarios

Una consulta DNS es una petición que realiza un cliente (resolver) para obtener información sobre un nombre de dominio.

El objetivo principal es traducir un nombre de dominio legible para humanos (por ejemplo, www.ejemplo.com) en una dirección IP (por ejemplo, 192.0.2.1) que pueda ser utilizada por los sistemas de red para establecer la comunicación.

Estas consultas son gestionadas a través del protocolo DNS, definido en múltiples RFCs como el RFC 1034 y el RFC 1035.

Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura

Ir al Test

Componentes clave en una consulta DNS

Antes de hablar de tipos, es importante comprender quién participa en el proceso:

Cliente DNS o Resolver Stub: normalmente es parte del sistema operativo del usuario (como Windows, Linux, Android, etc.).
Servidor Resolver Recursivo: realiza consultas en nombre del cliente hasta obtener la respuesta final.
Servidores de nombres autoritativos: contienen la información definitiva sobre los dominios (zonas).

Servidores raíz y TLD: puntos de entrada del sistema DNS jerárquico.

Clasificación de los tipos de consultas DNS

Las consultas DNS pueden clasificarse según el comportamiento del resolver en su proceso de obtención de información. Existen tres tipos principales de consultas DNS:

1. Consulta Recursiva (Recursive Query)

Definición

En una consulta recursiva, el cliente DNS espera que el servidor recursivo realice todo el trabajo necesario para devolver una respuesta final (ya sea exitosa o fallida). Si el servidor recursivo no tiene la respuesta, debe consultar a otros servidores hasta encontrarla.

Características

El cliente no realiza más consultas por su cuenta.
El servidor recursivo actúa como intermediario entre el cliente y toda la jerarquía DNS.
Muy común en resolvers como 8.8.8.8 de Google o 1.1.1.1 de Cloudflare.

Ejemplo

El navegador solicita www.ejemplo.com → el stub resolver consulta a 8.8.8.8 → este busca desde la raíz hasta encontrar el servidor autoritativo de ejemplo.com y devuelve la IP.

Ventajas

Transparencia para el usuario final.
Reduce la complejidad en el cliente.

Desventajas

Alta carga en el servidor recursivo.
Puede ser vulnerable a ataques si no está bien configurado (por ejemplo, DNS Amplification).

2. Consulta Iterativa (Iterative Query)

Definición

En una consulta iterativa, el servidor consultado no va más allá de su conocimiento actual. Si no sabe la respuesta exacta, proporciona una referencia (normalmente, la dirección IP de un servidor de nombres más cercano al objetivo).

Características

El cliente (o resolver que hace la iteración) debe consultar múltiples servidores.
Más control sobre el proceso.
Utilizada por los servidores recursivos al comunicarse con servidores raíz, TLD y autoritativos.

Ejemplo

El resolver pregunta a la raíz por www.ejemplo.com → la raíz responde “no sé, pero pregunta al TLD .com” → el resolver pregunta al TLD .com → y así sucesivamente hasta obtener la respuesta.

Ventajas

Menor carga en los servidores individuales.
Permite diseño más distribuido.

Desventajas

Mayor complejidad para el resolver.
Más tráfico de red y latencia si se compara con recursivas desde el punto de vista del cliente final.

3. Consulta Inversa (Reverse Query o PTR Lookup)

Definición

Las consultas inversas buscan el nombre de dominio asociado a una dirección IP. Es decir, realizan el proceso contrario al habitual.

Características

Se utilizan registros de tipo PTR (Pointer).
Comunes en servicios de correo electrónico, logs, autenticación, y detección de fraudes.
La dirección IP es convertida en una forma especial dentro del dominio in-addr.arpa (para IPv4) o ip6.arpa (para IPv6).

Ejemplo

Para la IP 192.0.2.1, se realiza una consulta a 1.2.0.192.in-addr.arpa.

Ventajas

Ayuda en la validación de servicios.
Es útil en seguridad, análisis forense, etc.

Desventajas

No siempre están disponibles.

Pueden generar falsos positivos si se malconfigura.

Tipos de consultas DNS según el tipo de registro solicitado

Además de las categorías anteriores, las consultas pueden clasificarse según el tipo de registro DNS que se desea obtener:

Tipo de registro	Significado	Usos
A	Dirección IPv4	Resolución de nombres estándar
AAAA	Dirección IPv6	Resolución con soporte IPv6
CNAME	Alias canónico	Redireccionamiento de nombres
MX	Mail Exchange	Dirección del servidor de correo
NS	Name Server	Delegación de zonas
TXT	Texto	SPF, DKIM, verificación de dominio
PTR	Pointer	Resolución inversa
SOA	Start of Authority	Información de la zona DNS
SRV	Service Locator	Servicios como VoIP, AD, etc.

Comportamiento híbrido: Recursiva + Iterativa

En muchos casos reales, las consultas combinan comportamientos. El cliente realiza una consulta recursiva a un servidor, y ese servidor recursivo realiza múltiples consultas iterativas para cumplir con la petición.

Implicaciones de seguridad

DNS Spoofing / Cache Poisoning: ocurre cuando se modifica maliciosamente la respuesta.
DNS Tunneling: se usa para evadir firewalls al encapsular datos en consultas DNS.
DNSSEC (DNS Security Extensions): mecanismo para asegurar la autenticidad de las respuestas.
Amplificación DNS: ataque DDoS que explota servidores recursivos mal configurados.

Resumen gráfico del flujo de consultas recursivas e iterativas

Cliente → Servidor recursivo (Consulta recursiva)
Servidor recursivo → Servidor raíz (Consulta iterativa)
Servidor raíz → Referencia al TLD
Servidor recursivo → TLD (Consulta iterativa)
TLD → Referencia al autoritativo
Servidor recursivo → Autoritativo (Consulta iterativa)
Autoritativo → Respuesta final
Servidor recursivo → Cliente (Respuesta completa)

Ejemplos prácticos con dig por tipo de consulta

1. Consulta recursiva

El comportamiento por defecto de dig es recursivo cuando consultas un servidor como Google (8.8.8.8):

dig @8.8.8.8 www.ejemplo.com

Explicación:

@8.8.8.8 indica que usarás el servidor DNS de Google.
www.ejemplo.com es el dominio objetivo.
El servidor realizará la resolución completa (consulta recursiva) y te devolverá la IP final.

Fragmento de salida esperada:

;; QUESTION SECTION:
;www.ejemplo.com.     IN A

;; ANSWER SECTION:
www.ejemplo.com.  3600 IN A 192.0.2.1

2. Consulta iterativa

Para forzar un comportamiento iterativo, usamos el flag +norecurse y consultamos directamente a un servidor que probablemente no tenga la respuesta:

dig @198.41.0.4 www.ejemplo.com +norecurse

198.41.0.4 es uno de los servidores raíz (Root Server A).

Resultado típico:

No se obtiene la IP final.
Se devuelve una referencia a los servidores .com, demostrando el comportamiento iterativo.

Fragmento de salida esperada:

;; AUTHORITY SECTION:
com. 172800 IN NS a.gtld-servers.net.

Esto indica que el servidor raíz no conoce www.ejemplo.com, pero sí sabe quién gestiona el dominio .com.

3. Consulta inversa (PTR)

Este tipo de consulta obtiene el nombre asociado a una IP. Usamos la estructura in-addr.arpa.

dig -x 192.0.2.1

Salida esperada:

;; QUESTION SECTION:
;1.2.0.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
1.2.0.192.in-addr.arpa. 3600 IN PTR servidor.ejemplo.com.

Si no hay configuración PTR para esa IP, la consulta retornará un SERVFAIL o NXDOMAIN.

Ejemplos adicionales por tipo de registro

Tipo	Descripción	Comando dig
A	IPv4	dig ejemplo.com A
AAAA	IPv6	dig ejemplo.com AAAA
MX	Servidor de correo	dig ejemplo.com MX
NS	Servidores autoritativos	dig ejemplo.com NS
CNAME	Alias	dig www.ejemplo.com CNAME
TXT	Verificaciones, SPF, etc.	dig ejemplo.com TXT
SOA	Inicio de autoridad de zona	dig ejemplo.com SOA
SRV	Servicios como SIP, LDAP	dig _sip._tcp.ejemplo.com SRV

Captura del tráfico DNS con Wireshark

Para complementar la parte visual de tu libro, puedes mostrar cómo lucen los paquetes DNS capturados en Wireshark.

Abre Wireshark.
Aplica un filtro:

dns

Realiza una consulta DNS desde tu terminal.
Observa:
- - El campo Transaction ID.
  - El campo Flags (recursiva o no).
  - La sección Questions, Answers, Authority, y Additional.

Puedes incluir una imagen explicando cada sección del paquete DNS. Este análisis puede enriquecer el capítulo donde hables de protocolos y seguridad.

Simulación de resolución paso a paso

Para mostrar cómo funciona la iteración de forma detallada (ideal para una ilustración en tu libro), puedes usar:

dig +trace www.ejemplo.com

Salida esperada:

Primero, pregunta a los servidores raíz.
Luego, a los TLD.
Finalmente, a los autoritativos del dominio.

Utilidad:

Demuestra cómo el DNS es jerárquico.
Útil para diagnosticar fallas de propagación.

Casos de uso específicos por tipo de consulta

Consulta	Uso práctico	Ejemplo
Recursiva	Resolución en navegadores, apps, etc.	Cargar sitios web, enviar correos
Iterativa	Diagnóstico, análisis de propagación, resolvers internos	Validar delegaciones
Inversa	Logs, verificación de email, servidores de red	mail.ejemplo.com verifica que 203.0.113.1 tenga PTR

Errores comunes al realizar consultas DNS

NXDOMAIN: el dominio no existe.
SERVFAIL: error en el servidor DNS.
REFUSED: el servidor rechaza la consulta (puede pasar con +norecurse).
No hay registros: el dominio existe pero no tiene el tipo de registro solicitado.
Problemas de propagación: cambios en zonas que aún no se han reflejado en todos los servidores.

Recomendaciones para configurar servidores DNS seguros (nivel experto)

Limitar consultas recursivas solo a IPs internas.
Activar DNSSEC y firmar zonas.
Evitar ser un “open resolver”.
Auditar consultas usando logs (querylog en BIND).
Implementar límites de tasa (rate-limit) en Bind o Unbound.

Conclusión

Los tipos de consultas DNS son un componente esencial del funcionamiento del internet moderno.

Entender la diferencia entre recursiva, iterativa e inversa, así como su relación con los tipos de registros y aspectos de seguridad, es fundamental para todo administrador de sistemas, especialista en redes y desarrollador de aplicaciones que interactúan con internet.