Befehl "dig"

Der Befehl dig stellt eine Reihe von Abfrageoptionen bereit, mit denen beeinflusst werden kann, wie Suchen durchgeführt und Ergebnisse angezeigt werden. Einige dieser Optionen setzen Flag-Bits im Abfrageheader bzw. setzen diese zurück, einige bestimmen, welche Abschnitte der Antwort gedruckt werden, und andere bestimmen die Zeitlimit- und Wiederholungsstrategien. Jede Abfrageoption ist durch ein Schlüsselwort gekennzeichnet, dem ein Pluszeichen (+) vorangestellt ist. Einige Schlüsselwörter setzen eine Option fest oder setzen sie zurück. Diesen kann die Zeichenfolge no vorangestellt werden, um die Bedeutung dieses Schlüsselworts zu negieren. Andere Schlüsselwörter weisen Optionen Werte zu, wie z. B. das Zeitlimitintervall. Sie haben die Form " +keyword=value. Die Abfrageoptionen sind im Folgenden beschrieben:

+[no]tcp

Gibt an, ob TCP beim Abfragen von Namensservern verwendet wird. Standardmäßig wird UDP verwendet, sofern keine AXFR- oder IXFR-Abfrage angefordert wird, die eine TCP-Verbindung erfordert.

+[no]vc

Gibt an, ob TCP beim Abfragen von Namensservern verwendet wird. Diese alternative Syntax zu " +[no]tcp wird aus Gründen der Abwärtskompatibilität bereitgestellt. vc steht für Virtual Circuit (virtuelle Verbindung).

+[no]ignore

Ignoriert die Verkürzung in UDP-Antworten, anstatt eine Wiederholung mit TCP durchzuführen. Standardmäßig werden TCP-Wiederholungen durchgeführt.

+domain=somename

Legen Sie die Suchliste so fest, dass sie die einzelne Domäne somename enthält, wie in einer Domänenanweisung in der Datei /etc/resolv.conf angegeben, und aktivieren Sie die Verarbeitung der Suchliste, als ob die Option ' +search angegeben wäre.

+[no]search

Gibt an, ob die definierte Suchliste oder die Domänenanweisung in der Datei /etc/resolv.conf (sofern vorhanden) verwendet werden soll. Die Suchliste wird nicht standardmäßig verwendet.

+[no]defname

Veraltet, wird als Synonym für ' +[no]search behandelt.

+[no]aaonly oder +[no]aaflag

Definiert das Flag "aa" in der Abfrage.

+[no]adflag

Gibt an, ob das AD-Bit (authentische Daten) in der Abfrage gesetzt wird. Mit dieser Abfrage wird der Server aufgefordert, anzugeben, ob alle Antwort- und Autoritätsabschnitte gemäß der Sicherheitsrichtlinie des Servers als sicher validiert wurden. AD=1 zeigt an, dass alle Datensätze als sicher validiert wurden und die Antwort nicht aus einem OPT-OUT-Bereich stammt. AD=0 zeigt an, dass ein Teil der Antwort unsicher oder nicht validiert war. Dieses Bit ist standardmäßig gesetzt.

+[no]cdflag

Gibt an, ob das CD-Bit (Checking Disabled, Überprüfung inaktiviert) in der Abfrage gesetzt wird. Damit wird der Server angewiesen, keine DNSSEC-Validierung der Antworten durchzuführen.

+[no]class

Gibt an, ob die Klasse bei der Ausgabe des Datensatzes angezeigt werden soll.

+[no]ttlid

Gibt an, ob die TTL (Time-to-Live, Lebensdauer) bei der Ausgabe eines Datensatzes angezeigt werden soll.

+[no]recursive

Aktiviert bzw. inaktiviert das RD-Bit (recursion desired, Rekursion erwünscht) in der Abfrage. Dieses Bit ist standardmäßig gesetzt, d. h., dig sendet normalerweise rekursive Abfragen. Die Rekursion wird automatisch deaktiviert, wenn die Abfrageoptionen " +nssearch oder " +trace verwendet werden.

+[no]nssearch

Wenn diese Option gesetzt ist, versucht der Befehl dig die maßgeblichen Namensserver für die Zone zu finden, die den gesuchten Namen enthalten, und den SOA-Datensatz anzuzeigen, den jeder Namensserver für die Zone besitzt. Die Adressen von Servern, die nicht geantwortet haben, werden ebenfalls gedruckt.

+[no]trace

Aktiviert oder inaktiviert das Tracing des Delegierungspfads von den Stammnamensservern für den gesuchten Namen. Das Tracing ist standardmäßig inaktiviert. Wenn das Tracing aktiviert ist, führt der Befehl dig iterative Abfragen aus, um den gesuchten Namen aufzulösen. Er folgt den Verweisen von den Stammservern und zeigt die Antwort jedes Servers an, der zum Auflösen der Suche verwendet wurde.

Wenn @server ebenfalls angegeben wird, wirkt sich dies nur auf die erste Abfrage für die Nameserver der Root-Zone aus. +dnssec wird auch gesetzt, wenn +trace gesetzt ist, um die Standardabfragen von einem Nameserver besser zu emulieren.

+[no]cmd

Aktiviert oder inaktiviert die Ausgabe des anfänglichen Kommentars in der Ausgabe, der die Version von dig und die angewendeten Abfrageoptionen enthält. Diese Option hat immer eine globale Wirkung. Sie kann nicht global festgelegt und dann auf der Basis von einzelnen Suchabfragen überschrieben werden. Dieser Kommentar wird standardmäßig ausgegeben.

+[no]short

Gibt eine kurze Antwort aus. Standardmäßig wird die Antwort in einer ausführlichen Form ausgegeben. Diese Option wirkt sich immer global aus; sie kann nicht global eingestellt und dann für jede einzelne Suche überschrieben werden.

+[no]identify

Die IP-Adresse und die Portnummer, die die Antwort geliefert haben, anzeigen oder nicht anzeigen, wenn die Option " +short aktiviert ist. Wenn kurze Antworten angefordert werden, werden die Quellenadresse und die Portnummer des Servers angezeigt, von dem die Antwort stammt, nicht angezeigt.

+[no]comments

Schaltet die Anzeige von Kommentarzeilen in der Ausgabe mit Informationen über den Paketkopf und den Options-Pseudoabschnitt sowie die Namen des Antwortabschnitts ein. Die Kommentare werden standardmäßig angezeigt. Andere Arten von Kommentaren in der Ausgabe werden von dieser Option nicht beeinflusst, können aber mit anderen Befehlszeilenschaltern gesteuert werden, wie +[no]cmd, ' +[no]question, ' +[no]stats und ' +[no]rrcomments.

+[no]stats

Aktiviert oder inaktiviert die Ausgabe von Statistiken: wann die Abfrage durchgeführt wurde, die Größe der Antwort usw. Standardmäßig werden die Abfragestatistiken ausgegeben.

+[no]qr

Gibt an, ob die Abfrage ausgegeben werden soll, wenn sie gesendet wird. Standardmäßig wird die Abfrage nicht ausgegeben.

+[no]question

Gibt an, ob der Fragenabschnitt einer Abfrage ausgegeben werden soll, wenn eine Antwort zurückgegeben wird. Standardmäßig wird der Fragenabschnitt als Kommentar ausgegeben.

+[no]answer

Gibt an, ob der Antwortabschnitt einer Antwort angezeigt wird. Standardmäßig wird er angezeigt.

+[no]authority

'Gibt an, ob der Berechtigungsabschnitt einer Antwort angezeigt werden soll. Standardmäßig wird er angezeigt.

+[no]additional

Gibt an, ob der zusätzliche Abschnitt einer Antwort angezeigt werden soll. Standardmäßig wird er angezeigt.

+[no]all

Gibt an, ob alle Anzeigeflags gesetzt oder gelöscht werden sollen.

+[no]badcookie

Wiederholt den Suchvorgang mit einem neuen Server-Cookie, wenn eine BADCOOKIE-Antwort empfangen wird.

+[no]cookie=####

Legt eine COOKIE-EDNS-Option mit einem optionalen Wert fest oder nicht fest. Die Wiederholung eines COOKIE aus einer früheren Antwort ermöglicht es dem Server, einen früheren Kunden zu identifizieren. Der Standardwert ist +cookie. +cookie wird auch gesetzt, wenn " +trace gesetzt ist, um die Standardabfragen eines Namenservers besser zu emulieren.

+Bufsize[=B]

Setzt die Puffergröße der angekündigten UDP-Nachricht unter Verwendung von EDNS0 auf B Bytes. Die maximale und minimale Größe dieses Puffers beträgt 65535 und 0. Die Abfrage " +bufsize=0 deaktiviert die Erweiterungsmechanismen für DNS(EDNS). Verwenden Sie ' +bufsize=0 +edns, um eine EDNS-Nachricht mit einer angekündigten Größe von 0 Byte zu senden. Die Abfrage " +bufsize stellt die Standardpuffergröße wieder her.

+time=T

Setzt das Zeitlimit für eine Abfrage auf T Sekunden. Das Standardzeitlimit sind 5 Sekunden. Ein Versuch, den Parameter T auf einen kleineren Wert als 1 zu setzen, bewirkt, dass ein Abfragezeitlimit von 1 Sekunde angewendet wird.

+tries=A

Setzt die Anzahl der Wiederholungen von UDP-Abfragen an den Server auf den Wert des Parameters A anstelle des Standardwerts 3. Wenn der Wert des Parameters A kleiner-gleich null ist, wird die Anzahl der Wiederholungen automatisch auf 1 aufgerundet.

+retry=T

Setzt die Anzahl der Wiederholungen von UDP-Abfragen an den Server auf den Wert des Parameters T anstelle des Standardwerts 2. Anders als bei +tries wird die erste Abfrage nicht eingerechnet.

+ndots=D

Setzt die Anzahl der Punkte, die im Namen vorhanden sein müssen, auf den mit dem Parameter D angegeben Wert, da dieser als absolut betrachtet wird. Der Standardwert ist der Wert, der mit der Anweisung ndots in der Datei /etc/resolv.conf definiert ist, bzw. 1, wenn keine Anweisung ndots vorhanden ist. Namen mit weniger Punkten werden als relative Namen interpretiert und in den Domänen gesucht, die in der Such- oder Domänenanweisung in der Datei /etc/resolv.conf angegeben sind.

+bufsize=B

Setzt die UDP-Nachrichtenpuffergröße für EDNS0 auf die B Bytes. Die maximale und die minimale Größe dieses Puffers sind 65535 bzw. 0 Bytes. Werte außerhalb dieses Bereichs werden entsprechend auf- oder abgerundet. Werte ungleich null bewirken, dass eine EDNS-Abfrage gesendet wird.

+edns=#

Gibt die EDNS-Version für die Abfrage an. Die gültigen Werte sind 0 bis 255. Die Einstellung der EDNS-Version bewirkt, dass eine EDNS-Abfrage gesendet wird. +noedns löscht die gespeicherte EDNS-Version.

+[no]multiline

Gibt Datensätze wie SOA-Datensätze in einem ausführlichen mehrzeiligen Format mit lesbaren Kommentaren aus. Standardmäßig wird jeder Datensatz in einer einzigen Zeile ausgegeben, um das maschinelle Parsen der dig-Ausgabe zu vereinfachen.

+[no]fail

Bewirkt, dass der nächste Server nicht abgefragt wird, wenn SERVFAIL ausgegeben wird. Standardmäßig wird der nächste Server entgegen dem normalen Verhalten des Stub-Resolvers nicht abgefragt.

+[no]besteffort

Bewirkt, dass versucht wird, den Inhalt fehlerhafter Nachrichten anzuzeigen. Standardmäßig werden fehlerhaften Antworten nicht angezeigt.

+[no]dnssec

Bewirkt, dass DNSSEC-Datensätze gesendet werden, indem das DNSSEC-OK-Bit (DO) im OPT-Datensatz des zusätzlichen Abschnitts der Abfrage gesetzt wird.

+[no]sigchase

Verfolgt DNSSEC-Signaturketten. Der Befehl dig muss mit -DDIG SIGCHASE kompiliert werden.

+trusted-key=####

Gibt eine Datei an, die vertrauenswürdige Schlüssel enthält, die mit +sigchase verwendet werden sollen. Jeder DNSKEY-Datensatz muss in einer eigenen Zeile stehen. Wenn keine Datei angegeben ist, sucht der Befehl dig nach der Datei /etc/trusted-key.key und dann nach der Datei trusted-key.key im aktuellen Verzeichnis. Der Befehl dig muss mit -DDIG SIGCHASE kompiliert werden.

+[no]topdown

Bewirkt, dass bei der Verfolgung von DNSSEC-Signaturketten eine Top-Down-Validierung durchgeführt wird. Der Befehl dig muss mit -DDIG SIGCHASE kompiliert werden.

+[no]crypto

Schaltet die Anzeige von kryptographischen Feldern in DNSSEC-Einträgen um. Der Inhalt dieser Felder ist für die Fehlersuche bei den meisten DNSSEC-Validierungsfehlern nicht erforderlich. Wenn Sie die kryptografischen Felder entfernen, können Sie die allgemeinen Fehler leicht erkennen. Die kryptografischen Felder werden standardmäßig angezeigt. Wenn diese kryptografischen Felder weggelassen werden, werden sie durch die Zeichenfolge [omitted] ersetzt, oder im Falle von DNSKEY wird die Schlüssel-ID angezeigt. Zum Beispiel: [key id = value].

+dscp=Wert

Legt den DSCP-Codepunkt fest, der beim Senden der Abfrage verwendet werden muss. Gültige DSCP-Codepunkte liegen im Bereich von 0 bis 63. Standardmäßig wird kein Codepunkt explizit festgelegt.

+[no]edns[=#]

Gibt die abzufragende EDNS-Version an. Gültige Werte liegen im Bereich von 0 bis 255. Die Einstellung der EDNS-Version bewirkt, dass eine EDNS-Abfrage gesendet wird. +noedns löscht die gespeicherten EDNS-Versionsinformationen. EDNS ist standardmäßig auf 0 eingestellt.

+[no]ednsflags[=#]

Setzt die EDNS-Flaggenbits (Z-Bits), die auf Null gesetzt werden müssen, auf den angegebenen Wert. Dezimale, hexadezimale und oktale Kodierung werden akzeptiert. Das Setzen eines benannten Flags (z. B. DO) wird stillschweigend ignoriert. Standardmäßig sind keine Z-Bits gesetzt.

+[no]ednsnegotiation

Aktiviert oder deaktiviert die Aushandlung der EDNS-Version. Standardmäßig ist die EDNS-Versionsaushandlung aktiviert.

+[no]ednsopt[=code[:value]]

Gibt die EDNS-Option mit Codepunkt und einer optionalen Nutzlast mit Wert als hexadezimale Zeichenfolge an. code kann entweder ein EDNS-Optionsname (z. B. NSID oder ECS) oder ein beliebiger numerischer Wert sein. +noednsopt löscht die EDNS-Optionen.

+[no]expire

Sendet eine EDNS Expire Option.

+[no]header-only

Sendet eine Anfrage mit einem DNS-Header ohne Frageteil. Der Abschnitt "Fragen" wird standardmäßig hinzugefügt. Der Abfragetyp und der Abfragename werden ignoriert, wenn diese Option gesetzt ist.

+[no]idnin

Verarbeitet IDN-Domänennamen je nach Eingabe oder nicht. Diese Option erfordert, dass IDN SUPPORT zur Kompilierungszeit aktiviert ist. Standardmäßig wird die IDN-Eingabe verarbeitet, wenn die Standardausgabe ein tty ist. Die auf der Eingabe basierende IDN-Verarbeitung wird deaktiviert, wenn die Ausgabe des Befehls " dig in Dateien, Pipes und andere Nicht-TTY-Dateideskriptoren umgeleitet wird.

+[no]keepalive

Sendet eine EDNS-Keepalive-Option oder sendet sie nicht.

+[no]keepopen

Hält den TCP-Socket zwischen den Abfragen offen oder nicht und verwendet ihn wieder, anstatt für jeden Suchvorgang einen neuen TCP-Socket zu erstellen. Der Standardwert ist +nokeepopen.

+[no]mapped

Erlaubt oder verbietet die Verwendung von gemappten IPv4-over-IPv6 für DNS-Lookup. Der Standardwert ist +mapped.

+[no]nsid

Wenn diese Option aktiviert ist, wird beim Senden einer Abfrage eine EDNS-Nameserver-ID abgefragt.

+[no]onesoa

Wenn diese Option aktiviert ist, wird bei der Durchführung einer AXFR-Abfrage nur ein (beginnender) SOA-Datensatz gedruckt. Standardmäßig werden sowohl der Anfangs- als auch der End-SOA-Datensatz gedruckt.

+[no]opcode=Wert

Wenn diese Option aktiviert ist, wird der DNS-Nachrichten-Opcode auf den angegebenen Wert gesetzt oder wiederhergestellt. Der Standardwert ist QUERY (0).

+Padding=Wert

Füllt die Größe des Abfragepakets unter Verwendung der EDNS-Padding-Option auf Blöcke von Wertbytes auf. Zum Beispiel bewirkt ' +padding=32, dass eine 48-Byte-Abfrage mit 64 Bytes aufgefüllt wird. Die Standardblockgröße ist 0, wodurch das Auffüllen deaktiviert wird; der Höchstwert ist 512. In der Regel wird erwartet, dass die Werte Zweierpotenzen sind, z. B. 128; dies ist jedoch nicht zwingend erforderlich. Antworten auf aufgefüllte Abfragen können ebenfalls aufgefüllt werden, aber nur, wenn die Abfrage TCP oder DNS COOKIE verwendet.

+[no]raflag

Setzt das RA-Bit (Rekursion verfügbar) in der Abfrage oder lässt es deaktiviert. Der Standardwert ist +noraflag. Dieses Bit wird vom Server für QUERY ignoriert.

+[no]rdflag

Ähnlich wie ' +[no]recurse.

+[no]recurse

Schaltet die Einstellung des Bits RD (recursion desired) in der Abfrage um. Dieses Bit ist standardmäßig gesetzt, was bedeutet, dass der Befehl " dig normalerweise rekursive Abfragen sendet. Die Rekursion wird automatisch deaktiviert, wenn die Abfrageoption " +nssearch oder " +trace verwendet wird.

+[keine]rrKommentare

Schaltet die Anzeige von Kommentaren pro Datensatz in der Ausgabe um (z. B. von Menschen lesbare Schlüsselinformationen zu DNSKEY-Datensätzen). Standardmäßig werden Datensatzkommentare gedruckt, es sei denn, der Mehrzeilenmodus ist aktiviert.

+[no]showsearch

Führt eine Suche mit Zwischenergebnissen durch oder nicht.

+split=W

Teilt lange hex- oder base64-formatted Felder in Ressourcendatensätzen in Abschnitte von W Zeichen auf (wobei W auf das nächste Vielfache von 4 aufgerundet wird). +nosplit oder +split=0 bewirkt, dass Felder nicht aufgeteilt werden. Der Standardwert beträgt 56 Zeichen bzw. 44 Zeichen, wenn der Mehrzeilenmodus aktiviert ist.

+[no]subnet=addr[/prefix-length]

Sendet eine EDNS CLIENT-SUBNET-Option mit der angegebenen IP-Adresse oder dem Netzpräfix oder nicht.

dig +subnet=0.0.0.0/0 oder kurz " dig +subnet=0 sendet eine EDNS CLIENT-SUBNET-Option mit einer leeren Adresse und einer Quell-Präfix-Länge von Null, die einem Resolver signalisiert, dass die Adressinformationen des Clients bei der Auflösung dieser Anfrage nicht verwendet werden dürfen.

+[no]tcflag

Setzt das TC-BitTrunCation) in der Abfrage oder nicht. Der Standardwert ist +notcflag. Dieses Bit wird vom Server für QUERY ignoriert.

+Zeitüberschreitung=T

Setzt den Timeout-Wert für eine Abfrage auf T Sekunden. Der Standardwert für die Zeitüberschreitung beträgt 5 Sekunden. Ein Versuch, T auf weniger als 1 zu setzen, wird stillschweigend auf 1 gesetzt.

+Versuche=T

Setzt die Anzahl der Versuche für UDP- und TCP-Anfragen auf einem Server auf T statt der Standardeinstellung 3. Wenn T kleiner oder gleich Null ist, wird die Anzahl der Versuche stillschweigend auf 1 aufgerundet.

+[no]ttlunits

Zeigt die TTL in den Zeiteinheiten s, m, h, d und w an oder nicht, die für Sekunden, Minuten, Stunden, Tage und Wochen stehen. Dies impliziert " +ttlid.

+[nein]unerwartet

Akzeptiert Antworten aus unerwarteten Quellen oder lehnt sie ab. Standardmäßig akzeptiert der Befehl " dig keine Antwort von einer anderen Quelle als der, an die er die Abfrage gesendet hat.

+[kein]unbekanntes Format

Druckt alle RDATA im unbekannten RR-Typ-Präsentationsformat (RFC 3597). Standardmäßig wird RDATA für bekannte Typen im Präsentationsformat des Typs gedruckt.

+[no]yaml

Wenn diese Option aktiviert ist, werden die Antworten (und, falls +qr verwendet wird, auch die ausgehenden Abfragen) in einem detaillierten YAML-Format ausgegeben.

+[no]zflag

Setzt das Flag für den letzten nicht zugewiesenen DNS-Header in einer DNS-Abfrage oder nicht. Dieses Kennzeichen ist standardmäßig auf ' off gesetzt.

Es kann auch ein globaler Satz von Abfrageoptionen, der auf alle Abfragen angewendet werden muss, angegeben werden. Diese globalen Abfrageoptionen müssen vor dem ersten Tupel von Name, Klasse, Typ, Optionen, Flags und Abfrageoptionen in der Befehlszeile stehen. Alle globalen Abfrageoptionen (mit Ausnahme der Option +[no]cmd) können durch einen abfragespezifischen Satz von Abfrageoptionen überschrieben werden. Beispiel:

dig +qr www.isc.org any -x 127.0.0.1 isc.org ns +noqr

Diese dig-Befehlszeichenfolge zeigt, wie der Befehl dig über die Befehlszeile verwendet werden kann, um drei Suchen durchzuführen: eine ANY-Abfrage für www.isc.org, eine umgekehrte Suche für 127.0.0.1 und eine Abfrage für die NS-Datensätze von isc.org. Die globale Abfrageoption +qr wird angewendet, damit der Befehl dig die erste Abfrage für jede Suche anzeigt. Die letzte Abfrage hat die lokale Abfrageoption +noqr, die bewirkt, dass der Befehl dig die erste Abfrage nicht ausgibt, wenn die NS-Datensätze für isc.org gesucht werden.

Ein typischer Aufruf von dig sieht folgendermaßen aus:

dig @server name type

Erläuterungen:

server

Der Name oder die IP-Adresse des abzufragenden Namensservers. Dies kann eine IPv4-Adresse in der Schreibweise mit Trennzeichen oder eine IPv6-Adresse im Doppelpunktformat sein. Wenn das angegebene Serverargument ein Hostname ist, wird der Name vom Befehl dig aufgelöst, bevor der Namensserver abgefragt wird. Wenn kein Serverargument angegeben ist, verwendet der Befehl dig die Datei /etc/resolv.conf und fragt die dort aufgeführten Namensserver ab. Die Antwort des antwortenden Nameservers wird angezeigt.

Name

Der Name des Ressourceneintrags, der gesucht werden soll.

Typ

Gibt an, welche Art von Abfrage erforderlich ist: ANY, A, MX, SIG und so weiter. Der Wert des Arguments Typ kann ein beliebiger gültiger Abfragetyp sein. Wenn kein Argument Typ angegeben ist, führt der Befehl dig eine Suche nach einem A-Datensatz aus.