Skip to content

¿Cómo funciona la resolución DNS — recursiva vs autoritativa?

Respuesta breve

Un resolutor stub pide un nombre a un resolutor recursivo. Si no está en caché, el resolutor recursivo recorre la jerarquía: consulta un servidor raíz (que apunta al TLD), el servidor TLD (que apunta a los servidores autoritativos del dominio) y finalmente el servidor autoritativo, que tiene el registro real. La respuesta se cachea por el camino según su TTL. El DNS usa el puerto 53 — UDP para la mayoría de las consultas, TCP para las grandes.

El DNS convierte nombres legibles para humanos en direcciones IP, y lo hace mediante una búsqueda distribuida y jerárquica que ningún servidor por sí solo podría responder. Entender la división recursivo-frente-a-autoritativo es el núcleo de la pregunta.

El recorrido de resolución

  1. El resolutor stub de tu dispositivo pregunta a su resolutor recursivo configurado (a menudo el de tu ISP o uno público como 1.1.1.1) por www.example.com.
  2. Si el resolutor recursivo no tiene la respuesta en caché, empieza por arriba. Consulta un servidor raíz, que no conoce la IP pero responde «pregunta a los servidores TLD .com».
  3. Consulta un servidor TLD .com, que responde «pregunta a los servidores de nombres autoritativos de example.com».
  4. Consulta el servidor autoritativo de example.com, que realmente tiene la zona y devuelve el registro A/AAAA.
  5. El resolutor recursivo cachea la respuesta durante su TTL y la devuelve a tu dispositivo.

Recursivo vs autoritativo

Un resolutor recursivo hace el trabajo en nombre del cliente, persiguiendo las derivaciones y cacheando los resultados. Un servidor autoritativo es la fuente de verdad de una zona concreta — responde de forma definitiva por los dominios de los que es responsable y nunca va a preguntar a otro lado.

Puertos y transporte

El DNS funciona en el puerto 53, usando UDP para las consultas pequeñas típicas (rápido, sin negociación) y recurriendo a TCP cuando una respuesta es demasiado grande para un solo datagrama o para las transferencias de zona.

Seguridad

Como el DNS clásico no está autenticado, es vulnerable al envenenamiento de caché — inyectar respuestas falsificadas. DNSSEC firma los registros para que los resolutores puedan verificar su autenticidad; DoH/DoT cifran la consulta en tránsito.

Los entrevistadores quieren la cadena raíz→TLD→autoritativo, la distinción recursivo/autoritativo, el puerto 53 e idealmente una palabra sobre el cacheo o el envenenamiento.

Posibles preguntas de seguimiento

  • ¿Cuál es la diferencia entre un resolutor recursivo y un servidor autoritativo?
  • ¿Cómo funciona el envenenamiento de caché DNS y cómo lo mitiga DNSSEC?
  • ¿Cuándo pasa el DNS de UDP a TCP?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.