Este artículo explica las diferencias entre los dos tipos principales de servidores DNS: autoritativos y recursivos, sus funciones y cuándo se utiliza cada uno.
Conceptos básicos
El Sistema de Nombres de Dominio (DNS) traduce nombres de dominio legibles (como example.com) a direcciones IP (como 192.0.2.1). Este proceso involucra diferentes tipos de servidores con roles específicos.
Servidor DNS autoritativo
Un servidor DNS autoritativo es la fuente oficial de información para una zona DNS específica. Contiene los registros DNS reales de los dominios que administra y responde con autoridad a las consultas sobre esos dominios.
Características
- Almacena los registros DNS originales de una zona (A, AAAA, MX, CNAME, TXT, etc.).
- Es la fuente de verdad para los dominios que gestiona.
- No realiza consultas a otros servidores; solo responde con los datos que tiene.
- Responde con el flag "aa" (authoritative answer) en sus respuestas.
Ejemplo de flujo
Cuando alguien consulta www.example.com:
- El servidor autoritativo de
example.comrecibe la consulta. - Busca el registro en su base de datos local.
- Responde directamente con la IP configurada.
Casos de uso
- Proveedores de hosting que gestionan DNS para sus clientes.
- Empresas que administran sus propios dominios.
- Registradores de dominios.
Software común
- BIND (named)
- PowerDNS Authoritative
- NSD
- Knot DNS
Servidor DNS recursivo
Un servidor DNS recursivo (también llamado resolver) actúa como intermediario entre el cliente y los servidores autoritativos. No almacena registros originales, sino que busca la respuesta consultando otros servidores y cachea los resultados.
Características
- Recibe consultas de clientes y busca las respuestas en su nombre.
- Realiza consultas a múltiples servidores autoritativos siguiendo la jerarquía DNS.
- Almacena respuestas en caché para mejorar el rendimiento.
- Respeta el TTL (Time To Live) de los registros para determinar cuánto tiempo mantener el caché.
Ejemplo de flujo
Cuando un cliente consulta www.example.com:
- El cliente envía la consulta al servidor recursivo.
- El recursivo consulta a un servidor raíz: "¿Quién maneja
.com?" - El servidor raíz responde con los servidores de
.com. - El recursivo consulta al servidor de
.com: "¿Quién manejaexample.com?" - El servidor de
.comresponde con los servidores autoritativos deexample.com. - El recursivo consulta al servidor autoritativo de
example.com: "¿Cuál es la IP dewww.example.com?" - El autoritativo responde con la IP.
- El recursivo devuelve la respuesta al cliente y la guarda en caché.
Casos de uso
- Proveedores de Internet (ISP) para sus clientes.
- Redes corporativas internas.
- Servicios públicos como Google DNS o Cloudflare DNS.
Software común
- BIND (named) en modo recursivo
- Unbound
- PowerDNS Recursor
- Knot Resolver
Comparación
| Característica | Autoritativo | Recursivo |
|---|---|---|
| Función principal | Almacenar y servir registros DNS | Buscar y resolver consultas |
| Fuente de datos | Base de datos local | Consultas a otros servidores |
| Caché | No aplica | Sí, según TTL |
| Consulta otros servidores | No | Sí |
| Respuesta autoritativa | Sí (flag aa) | No |
| Cliente típico | Otros servidores DNS | Usuarios finales y aplicaciones |
¿Puede un servidor ser ambos?
Sí, técnicamente un servidor puede actuar como autoritativo para algunas zonas y como recursivo para otras consultas. Sin embargo, esta configuración no es recomendada en producción por razones de seguridad y rendimiento:
- Seguridad: Un servidor recursivo abierto puede ser abusado para ataques de amplificación DDoS.
- Rendimiento: Los roles tienen diferentes patrones de carga y optimizaciones.
- Mejores prácticas: Separar los roles permite configuraciones más seguras y específicas.
Ejemplos de configuración
Servidor autoritativo
En este escenario, configuras un servidor que es la fuente oficial para example.com. Solo responde consultas sobre ese dominio.
Servidor recursivo
En este escenario, configuras un servidor que resuelve cualquier dominio para tus clientes internos. No es autoritativo para ningún dominio público, solo busca y cachea respuestas.
Servicios DNS públicos (recursivos)
Estos son servidores recursivos de uso público:
| Proveedor | IPv4 | IPv6 |
|---|---|---|
| 8.8.8.8, 8.8.4.4 | 2001:4860:4860::8888, 2001:4860:4860::8844 | |
| Cloudflare | 1.1.1.1, 1.0.0.1 | 2606:4700:4700::1111, 2606:4700:4700::1001 |
| Quad9 | 9.9.9.9, 149.112.112.112 | 2620:fe::fe, 2620:fe::9 |
| OpenDNS | 208.67.222.222, 208.67.220.220 | 2620:119:35::35, 2620:119:53::53 |
Resumen
- Autoritativo: "Yo soy el dueño de esta información y te la doy directamente."
- Recursivo: "No tengo la información, pero la busco por ti y te la traigo."
Ambos tipos son esenciales para el funcionamiento de Internet. Los servidores autoritativos almacenan la información original, mientras que los recursivos facilitan el acceso a esa información para los usuarios finales.