Dns, Qué es y Para Qué Sirve

¿Qué es DNS?

En esta ocasión os hemos preparado un completo documento sobre telecomunicaciones e informática sobre lo que se conoce como Domain Name System (DNS), pues se define como el protocolo que sostiene la arquitectura lógica de la Internet moderna.

Este documento no es solo una guía, sino una inmersión profunda en la infraestructura, la historia, la seguridad y la operatividad de lo que a menudo llamamos «la guía telefónica de las redes«.

Que lo disfrutéis y aprendáis mucho, que es muy interesante conocer los detalles de tan importante conocimiento técnico.

dns

La Historia del DNS

Para entender el DNS actual, debemos viajar a los albores de la red.
En los años 70 y principios de los 80, la ARPANET era una red pequeña donde la resolución de nombres se gestionaba mediante un único archivo de texto plano llamado HOSTS.TXT, que estaba mantenido centralmente por el Stanford Research Institute (SRI).

Cuando un nodo nuevo se conectaba, se debía actualizar este archivo y distribuirlo a todos los ordenadores de la red.

Con el crecimiento explosivo de los nodos, este sistema centralizado se volvió insostenible, pues el ancho de banda se consumía solo en actualizar el archivo y las colisiones de nombres eran frecuentes.

En 1983, el informático Paul Mockapetris, junto a Jon Postel, diseñaron un sistema de nomenclatura jerárquico, dinámico y distribuido: aquí justo había nacido el DNS.

Las especificaciones originales se plasmaron en los RFC 882 y 883, que posteriormente fueron refinados en los estándares actuales RFC 1034 y RFC 1035 en 1987.

Hoy, la gestión global del espacio de nombres recae en la ICANN (Corporación de Internet para la Asignación de Nombres y Números) y la IANA (Autoridad de Asignación de Números de Internet), asegurando la unicidad y estabilidad del sistema a nivel mundial.

qué es dns

Arquitectura y Modelos: La Jerarquía del Espacio de Nombres

El DNS no es un servidor central, sino una base de datos jerárquica y distribuida.

Su estructura se asemeja a un árbol invertido, donde cada nodo tiene una etiqueta, como veremos a continuación:

  • Dominio Raíz (Root): Representado por un punto final (.), aunque generalmente se omite en la navegación cotidiana. Es la cima de la jerarquía.
  • Dominios de Nivel Superior (TLD – Top Level Domains): Son las extensiones que todos conocemos, como .com, .org, .net (gTLDs) o los códigos de país como .es, .mx o .uk (ccTLDs).
  • Dominios de Segundo Nivel (SLD): Es el nombre que una organización o individuo registra bajo un TLD (por ejemplo, google en google.com).
  • Subdominios y Hosts: Subdivisiones del SLD (como blog.ejemplo.com) o nombres específicos de máquinas (como www o ftp).

Un FQDN (Fully Qualified Domain Name) es el nombre de dominio completo que identifica de forma inequívoca la ubicación de un recurso en este árbol, incluyendo el punto de la raíz al final (ej. www.google.com.).

historia del dns

La Anatomía de una Consulta: El Viaje de un Paquete DNS

Cuando introduces una URL en tu navegador, se desencadena un proceso que ocurre en milisegundos, pero que implica a múltiples actores, veamos cúales son los protagonistas:

Los Cuatro Servidores Críticos

Son cuatro los servidores que juegan un papel preponderante en este camino y son:

  1. Resolutor DNS (DNS Recursor): Es el servidor que recibe la petición inicial del cliente. Normalmente lo proporciona tu ISP o servicios públicos como los de Google (8.8.8.8) o Cloudflare (1.1.1.1). Su trabajo es «ir a buscar» la respuesta por ti.
  2. Servidor de Nombres Raíz: Existen 13 redes de servidores raíz (identificadas de la A a la M) gestionadas por diversas organizaciones bajo la supervisión de la ICANN. No conocen la IP final, pero saben quién gestiona cada TLD.
  3. Servidor de Nombres TLD: Gestiona la información de una extensión específica. Si buscas .com, el servidor raíz te enviará a este servidor.
  4. Servidor de Nombres Autoritativo: Es el destino final. Este servidor contiene los registros reales del dominio y tiene la «autoridad» para responder con la dirección IP correcta.
resolución de nombres dns

Tipos de Consultas (Resolución de Nombres)

Desde el punto de vista de las redes informáticas, distinguimos tres modos de operación, a saber:

  • Consulta Recursiva: El cliente exige que el servidor le dé la respuesta final o un error. El resolutor asume la carga de preguntar a otros servidores hasta obtenerla.
  • Consulta Iterativa: El servidor responde con «la mejor respuesta que tiene», que suele ser una referencia al siguiente servidor en la jerarquía. El cliente (el resolutor en este caso) debe hacer la siguiente pregunta por su cuenta.
  • Consulta No Recursiva: Ocurre cuando el servidor ya tiene la respuesta en su caché o es el autoritativo para ese dominio, respondiendo inmediatamente.
protocolos dns

Protocolos, Puertos y Dispositivos: La Capa de Transporte

El DNS opera principalmente en la Capa de Aplicación de la pila TCP/IP, utilizando el puerto 53.

  • UDP (User Datagram Protocol): Es el protocolo predilecto para las consultas estándar debido a su baja latencia. Los paquetes suelen ser pequeños (menos de 512 bytes), y UDP permite una resolución rápida sin el intercambio de saludos (handshake) de TCP.
  • TCP (Transmission Control Protocol): Se utiliza cuando la respuesta excede los 512 bytes, en transferencias de zona (AXFR/IXFR) entre servidores maestro y esclavo, o cuando se implementan extensiones de seguridad como DNSSEC que aumentan el tamaño del paquete.

A nivel de dispositivos de red, el DNS es configurado en routers y módems, que suelen actuar como intermediarios (forwarders) o servidores caché para la red local.
Los firewalls también desempeñan un papel vital, ya que deben estar configurados para permitir el tráfico en el puerto 53 para evitar el error común de «el servidor DNS no responde».

capa de transporte dns

Registros de Recursos (RR): El Diccionario Técnico de los Dominios

Cada zona DNS contiene una serie de archivos de texto con instrucciones específicas llamadas Registros de Recursos.
Como profesionales informáticos de redes, debemos dominar estos tipos para una correcta gestión de servicios, por ello os los dejamos detallados aquí:

  • Registro A (Address): Vincula un nombre de host a una dirección IPv4 de 32 bits. Es el registro más utilizado.
  • Registro AAAA (Quad-A): Cumple la misma función pero para direcciones IPv6 de 128 bits.
  • CNAME (Canonical Name): Crea un alias de un dominio a otro. No apunta a una IP, sino a otro nombre de host.  Es muy útil para servicios como CDN o subdominios que deben seguir al dominio principal.
  • MX (Mail Exchange): Especifica los servidores encargados de recibir correo electrónico para el dominio. Incluye un valor de prioridad; cuanto más bajo es el número, mayor es la prioridad del servidor de correo.
  • NS (Name Server): Indica qué servidores son los autoritativos para la zona DNS. Un dominio suele tener al menos dos por redundancia.
  • SOA (Start of Authority): Es el primer registro de cualquier zona. Contiene información administrativa como el correo del administrador, el número de serie de la zona y los tiempos de refresco para servidores secundarios.
  • TXT (Text): Permite añadir notas legibles por humanos y máquinas. Es fundamental para la seguridad del correo electrónico mediante registros SPF (Sender Policy Framework), DKIM y DMARC, que ayudan a prevenir el spam y el phishing.
  • SRV (Service): Define la ubicación (puerto y hostname) de servicios específicos, como telefonía IP (SIP) o mensajería instantánea (XMPP).
  • PTR (Pointer): Es el registro inverso. Traduce una IP en un nombre de dominio. Es crucial para que los servidores de correo verifiquen que el emisor es quien dice ser.
  • Glue Records (Registros de Pegamento): Son registros A/AAAA necesarios cuando un servidor de nombres está dentro del propio dominio que gestiona (ej. ns1.ejemplo.com para ejemplo.com), evitando un bucle circular de resolución.
registros dns

Mecanismos de Caché y el Factor TTL

El rendimiento de Internet depende directamente del almacenamiento en caché.

Sin él, cada clic requeriría una consulta completa a los servidores raíz, saturando la red mundial.

Por ello, el TTL (Time To Live) es un valor numérico en segundos que define cuánto tiempo debe un servidor intermedio o un equipo personal guardar un registro antes de pedirlo de nuevo.
Vamos a verlo con más detalle ahora:

  • Caché del Navegador: Los navegadores modernos como Chrome o Firefox guardan registros por unos minutos para acelerar la navegación inmediata.
  • Caché del Sistema Operativo: El componente llamado «solucionador stub» del SO gestiona su propia caché local.
  • Caché del ISP: El resolutor recursivo de tu proveedor almacena millones de consultas populares (ej. YouTube, Facebook) para ahorrar ancho de banda y reducir latencia.

Cuando realizamos cambios en una zona DNS, debemos considerar la propagación DNS, que es el tiempo que tardan los servidores de todo el mundo en actualizar sus cachés una vez que el TTL antiguo expira. Este proceso puede tardar hasta 24 o 48 horas.

caché dns

Seguridad en el DNS: Blindando la Infraestructura

El DNS fue diseñado originalmente en una red de confianza, por lo que carece de cifrado nativo, lo que lo hace vulnerable a ataques sofisticados.

Como técnicos informáticos, debemos implementar medidas preventivas robustas para evitar todo tipo de problemas en las redes, veamos cuáles son las más importantes:

Amenazas Principales

  1. Envenenamiento de Caché (DNS Spoofing): Un atacante inyecta datos falsos en la caché de un resolutor recursivo, redirigiendo a los usuarios a sitios maliciosos (ej. una web de banco falsa).
  2. Ataque de Amplificación DNS: Es un tipo de ataque DDoS donde el atacante envía miles de consultas pequeñas con la IP de origen suplantada (la IP de la víctima) a servidores DNS abiertos. El servidor responde con paquetes mucho más grandes a la víctima, saturando sus recursos.
  3. Secuestro de Dominios (Hijacking): Acceso no autorizado a la cuenta del registrador para cambiar los servidores de nombres y tomar control total del tráfico del dominio.
  4. Túnel DNS: Uso de consultas DNS para encapsular otros protocolos (como HTTP) y exfiltrar datos a través de firewalls que no inspeccionan profundamente el tráfico del puerto 53.

Protocolos de Blindaje DNS

Por ello, se han propuesto toda una serie de protocolos para blindar las dns y evitar este tipo de problemas que acabamos de ver, como son:

  • DNSSEC (Domain Name System Security Extensions): Añade firmas digitales criptográficas a los registros DNS. Esto no cifra los datos, pero asegura su integridad y autenticidad, garantizando que la respuesta que recibes viene realmente del dueño del dominio y no ha sido alterada.
  • DoH (DNS over HTTPS) y DoT (DNS over TLS): Estos protocolos cifran las consultas DNS para proteger la privacidad del usuario, evitando que terceros (como ISPs o gobiernos) espíen qué sitios web se visitan.

DNS Público vs. Privado

Desde la perspectiva de la informática, gestionamos dos entornos distintos, a saber:

  • DNS Público: Resolutores abiertos a Internet (Cloudflare, Google) y servidores autoritativos que sirven tus servicios externos al mundo.
  • DNS de Red (Privado): Son los servidores internos configurados detrás de firewalls corporativos. Gestionan nombres de recursos que no deben ser visibles desde el exterior (ej. contabilidad.local o servidor-ficheros.empresa.intranet). Suelen estar integrados con servicios de directorio como Active Directory para una gestión centralizada de identidades y recursos.
dns público vs dns privado

Herramientas de Diagnóstico y Gestión

Para cualquier técnico de telecomunicaciones, el dominio de la terminal es fundamental para solucionar problemas de conectividad y las herramientas para lograrlo son:

  • nslookup: Herramienta básica para consultar registros de forma rápida.
  • dig (Domain Information Groper): La herramienta estándar en entornos Linux/Unix que proporciona información detallada y técnica sobre las respuestas de los servidores [Información no detallada en fuentes, pero estándar en el sector].
  • ipconfig /displaydns & ipconfig /flushdns: Comandos esenciales en Windows para ver y vaciar la caché local cuando se experimentan errores de resolución.
  • Comprobadores de Propagación: Herramientas online como WhatsMyDNS que permiten verificar cómo se están difundiendo tus cambios a nivel global.

¿Nuevas DNS con el IPv6?

La llegada de IPv6 ha forzado al DNS a manejar registros AAAA mucho más complejos, eliminando la posibilidad de memorizar direcciones y haciendo al DNS más indispensable que nunca.

Además, el auge de las CDN (Content Delivery Networks) utiliza el DNS de forma inteligente: el servidor DNS de la CDN detecta tu ubicación geográfica y te devuelve la IP del servidor de contenidos más cercano a ti, optimizando la velocidad de carga de forma transparente.

Como profesionales informáticos que gestionamos las redes, nuestra responsabilidad es no solo asegurar que «Internet funcione», sino que el DNS sea la base de una red rápida, privada y, sobre todo, segura. Por eso el DNS es, sin duda, el corazón latente de la infraestructura digital global.