¿Cómo funciona la resolución DNS — recursiva vs autoritativa?
Respuesta breve
Un resolutor stub pide un nombre a un resolutor recursivo. Si no está en caché, el resolutor recursivo recorre la jerarquía: consulta un servidor raíz (que apunta al TLD), el servidor TLD (que apunta a los servidores autoritativos del dominio) y finalmente el servidor autoritativo, que tiene el registro real. La respuesta se cachea por el camino según su TTL. El DNS usa el puerto 53 — UDP para la mayoría de las consultas, TCP para las grandes.
El DNS convierte nombres legibles para humanos en direcciones IP, y lo hace mediante una búsqueda distribuida y jerárquica que ningún servidor por sí solo podría responder. Entender la división recursivo-frente-a-autoritativo es el núcleo de la pregunta.
El recorrido de resolución
- El resolutor stub de tu dispositivo pregunta a su resolutor recursivo configurado (a menudo el de tu ISP o uno público como 1.1.1.1) por
www.example.com. - Si el resolutor recursivo no tiene la respuesta en caché, empieza por arriba. Consulta un servidor raíz, que no conoce la IP pero responde «pregunta a los servidores TLD
.com». - Consulta un servidor TLD
.com, que responde «pregunta a los servidores de nombres autoritativos de example.com». - Consulta el servidor autoritativo de example.com, que realmente tiene la zona y devuelve el registro A/AAAA.
- El resolutor recursivo cachea la respuesta durante su TTL y la devuelve a tu dispositivo.
Recursivo vs autoritativo
Un resolutor recursivo hace el trabajo en nombre del cliente, persiguiendo las derivaciones y cacheando los resultados. Un servidor autoritativo es la fuente de verdad de una zona concreta — responde de forma definitiva por los dominios de los que es responsable y nunca va a preguntar a otro lado.
Puertos y transporte
El DNS funciona en el puerto 53, usando UDP para las consultas pequeñas típicas (rápido, sin negociación) y recurriendo a TCP cuando una respuesta es demasiado grande para un solo datagrama o para las transferencias de zona.
Seguridad
Como el DNS clásico no está autenticado, es vulnerable al envenenamiento de caché — inyectar respuestas falsificadas. DNSSEC firma los registros para que los resolutores puedan verificar su autenticidad; DoH/DoT cifran la consulta en tránsito.
Los entrevistadores quieren la cadena raíz→TLD→autoritativo, la distinción recursivo/autoritativo, el puerto 53 e idealmente una palabra sobre el cacheo o el envenenamiento.
Posibles preguntas de seguimiento
- ¿Cuál es la diferencia entre un resolutor recursivo y un servidor autoritativo?
- ¿Cómo funciona el envenenamiento de caché DNS y cómo lo mitiga DNSSEC?
- ¿Cuándo pasa el DNS de UDP a TCP?