¿Qué es un servidor DNS?

El sistema de nombres de dominio (DNS) permite que los usuarios accedan a sitios web utilizando nombres de dominio y URL en lugar de direcciones numéricas complejas de protocolo de Internet (IP). El sistema de nombres de dominio es posible gracias a cuatro tipos de servidores DNS integrados: servidores DNS recursivos, servidores de nombres raíz, servidores de nombres de dominio de nivel superior y servidores de nombres autorizados.

Un usuario inicia una consulta DNS ingresando un nombre de host, como www.example.com, en la barra de direcciones de un navegador de búsqueda. Cuando esto sucede, una serie de funciones llamadas búsqueda de DNS comienza a relacionar el nombre de dominio con su dirección IP designada. Una dirección IP es un identificador numérico que se emplea para reconocer cada dispositivo y red que se conecta a Internet. Las direcciones IP son IPv4, como 93.184.216.34, o direcciones IPv6 como 2001:db8:3333:4444:5555:6666:7777:8888.

Si bien los números complejos como estos ayudan a mantener los dominios organizados, no se puede esperar que los usuarios den seguimiento a estos números o busquen fácilmente en Internet usándolos. El DNS permite personalizar los nombres de dominio con fines funcionales, como la creación de marca y una experiencia de usuario simplificada. El propósito de los servidores DNS es hacer que este proceso no suponga problemas para los usuarios, al tiempo que brinda capacidad para un gran volumen de tráfico, cambiando nombres de dominio y direcciones IP. El proceso de resolución de DNS depende de variables, tales como el equilibrio de carga, la ubicación del servidor y del usuario y la intensidad de la conexión a Internet.

En el proceso de convertir las búsquedas de los usuarios en direcciones intervienen cuatro tipos de servidores DNS. Estos funcionan de forma interdependiente, cada uno asumiendo una función diferente, cuyo objetivo es mantener la rapidez y seguridad del proceso.

Una consulta de DNS pasa a través de estos cuatro servidores en el orden en que aparecen:

También conocido como recursor de DNS o solucionador de DNS recursivo, es la primera parada de una consulta recursiva: el proceso de un servidor DNS que se comunica con otros servidores DNS para localizar y devolver una dirección IP. Este servidor recibe una consulta de DNS y puede conectar a un usuario con el sitio deseado empleando datos almacenados en caché o, si los datos del sitio no están en caché, puede enviar una solicitud de seguimiento a los servidores de nombres DNS.

Una vez que recibe la información del servidor de nombres, el solucionador recursivo conecta al usuario con el sitio correcto. Con cada búsqueda, los servidores crean cachés de DNS que almacenan datos. De este modo, se acelera el proceso de búsqueda y devolución y se brinda a los usuarios un acceso más rápido al sitio web correcto. La mayoría de los servidores de nombres de dominio recursivos son proporcionados por proveedores de servicios de Internet (ISP).

Cuando un servidor DNS recursivo no tiene datos en caché, envía una consulta de DNS al servidor DNS de nombres raíz. El servidor de nombres raíz acepta la consulta y la reenvía a un servidor de nombres de dominio de nivel superior (TLD, sigla en inglés de top level domain). El servidor de TLD al que se reenvía la consulta depende de la extensión del sitio deseado: .com, .org o .net, por ejemplo. Hay 13 servidores DNS principales de nombres raíz operados por la Corporación de Internet para la Asignación de Nombres y Números (ICANN, sigla en inglés de Internet Corporation for Assigned Names and Numbers).

Los servidores de nombres de TLD contienen datos relativos a los nombres de dominio con la misma extensión. Esto significa que hay servidores de TLD designados para sitios web con las extensiones .com, .org y .net. Una vez que la consulta llega al servidor de nombres de TLD correcto, es dirigida al servidor de nombres autorizado.

Los servidores DNS autoritativos, generalmente, la última parada en el proceso de recuperación de una dirección IP, almacenan información relacionada con nombres de dominio específicos en registros de recursos DNS. Estos registros de DNS contienen información sobre un dominio específico y su dirección IP correspondiente. Cuando se encuentra la dirección IP correcta, se envía de vuelta al solucionador recursivo. Si no se encuentra, el usuario recibirá un mensaje de error.

Si bien cada una de sus funciones es compleja, los servicios de DNS que funcionan correctamente deben ser imperceptibles para los usuarios y el proceso de recuperación solo debe tomar unos segundos. Contar con cuatro tipos de servidores ayuda al proceso de equilibrio de carga o distribución del tráfico de red entre varios servidores para que ninguno de ellos tenga sobrecarga de trabajo.

El DNS a menudo se considera “la guía telefónica de Internet”, ya que contiene un registro de nombres de dominio y sus direcciones IP correspondientes. Los servidores DNS son los motores que impulsan la recuperación de direcciones IP para los clientes DNS. Los clientes DNS se integran en enrutadores y sistemas operativos en teléfonos inteligentes o dispositivos de escritorio y actúan como un conducto entre los dispositivos locales y los servidores. La mayoría de los enrutadores tienen servidores DNS primarios y secundarios configurados a través de su proveedor de Internet para protegerse contra fallas.

Cuando un usuario busca un dominio, la solicitud DNS inicia una consulta DNS que se dirige a los servidores DNS. A partir de aquí,  pueden ocurrir dos cosas. La primera es que se obtenga una respuesta tomada de la memoria caché del DNS. La memoria caché del DNS es el almacenamiento temporal de registros DNS de búsquedas anteriores en servidores DNS u otros dispositivos. Una caché de DNS permite que una consulta omita una búsqueda DNS larga y proporciona una respuesta más rápida devolviendo un registro DNS que ya está almacenado en una caché DNS temporal. En función de la configuración del DNS, los servidores web almacenan en caché esta información durante un tiempo determinado, conocido como tiempo de vida (TTL, sigla en inglés de time-to-live).

Si no hay información almacenada en caché, la consulta DNS atraviesa cuatro tipos de servidores (proceso mencionado en la sección anterior) para encontrar y devolver la dirección IP correcta.

El DNS puede ser público o privado. Los servidores DNS públicos están disponibles para cualquier persona que use Internet y generalmente los configuran los proveedores de servicios de Internet. Los servicios DNS públicos ayudan a administrar servidores de nombres autorizados al respaldar el direccionamiento del tráfico y el equilibrio de la carga, mejorando así el rendimiento de la red.

El DNS privado se configura detrás de un cortafuegos y mantiene registros en sitios web internos. Estos suelen estar conectados a través de una red privada virtual (VPN) que solo almacena direcciones IP internas. A un DNS privado solo pueden acceder miembros autorizados de una organización, lo que limita la exposición a amenazas externas, pero debe ser administrado por la organización o un proveedor de DNS privado.

Los servidores DNS pueden ser objeto de ataques que niegan el acceso a los dominios, saturan los servidores con tráfico o se apoderan de la infraestructura DNS. Los proveedores de DNS, como IBM® NS1 Connect ofrecen servicios de DNS gestionados para protegerse contra este tipo de ataques.

Los tipos comunes de ataques a DNS incluyen:

Ataques de denegación distribuida del servicio (DDoS) sobrecargan a los servidores de nombres autorizados con una avalancha de tráfico. Los servidores autorizados no pueden cumplir con las consultas de DNS legítimas porque están inundados de tráfico malicioso.

Este es un ataque de denegación del servicio conocido también como ataque NXDomain, en el que se envía a los servidores de nombres autorizados solicitudes de subdominios inexistentes, lo que les impide responder a consultas reales.

Las inundaciones de DNS, una herramienta para amplificar los ataques de DDoS, pueden causar perturbaciones al exagerar artificialmente la carga de trabajo que los servidores DNS deben ejecutar para completar una consulta.

En este ataque, datos de DNS falsificados se infiltran en la caché de un solucionador de DNS creando una dirección IP incorrecta para un dominio que lleva a los usuarios a un sitio web inesperado. Es entonces cuando los usuarios pueden ser objeto de malware o intentos de phishing.

Ataques dirigidos a los servidores DNS haciendo que procesen paquetes con formato incorrecto. Esto les impide procesar consultas legítimas.

Este ataque redirige a los usuarios a través del Protocolo de Puerta de enlace de Borde (BGP) desde dominios legítimos a dominios que con frecuencia se establecen con propósitos maliciosos.

En este ataque, la infraestructura DNS se convierte en una vía para pasar malware o datos robados más allá de un cortafuegos.

Este es un ataque que altera o destruye datos de la zona DNS al obtener acceso no autorizado a la administración de servidores DNS.

En un robo de dominio, los atacantes toman posesión de un nombre de dominio a través del acceso no autorizado al registro de un dominio.