raíz del sistema DNS.
La zona raíz del DNS es el conjunto de servidores que conforman la raíz
del árbol de DNS. Se usan como punto de partida para realizar la
resolución de nombres DNS, tal y como se describió en un boletín
reciente, en el que se detallaban los ataques de denegación de servicio
que habían padecido esas máquinas.
La zona raíz del DNS no suele cambiar, ya que no se requiere su
corrección absoluta para mantener el sistema en funcionamiento. Los
servidores de DNS la utilizan como punto de arranque al ser lanzados y
tener la caché de resolución vacía, y uno de los primeros pasos que
suele hacer un servidor de DNS es intentar conectarse a alguno de los
servidores raíz para descargarse una versión actualizada.
Dicha versión es usada como versión de trabajo, pero no se suplanta la
versión inicial configurada en el servidor, por lo que la actualización
se pierde al rearrancar el servicio. No obstante, mientras alguno de los
servidores en la versión original siga funcionando, el servidor DNS
puede obtener la versión de trabajo actualizada.
Resulta conveniente, no obstante, actualizar la zona raíz por defecto,
para hacer frente a cualquier eventualidad que pudiera surgir, como la
partición coyuntural de Internet. Esta actualización no es crítica, y se
puede realizar a lo largo de meses.
Para realizar la actualización, se puede utilizar un comando UNIX como:
dig @e.root-servers.net . ns > root.hints
Ese comando se descarga el listado de la zona "." (la zona "raíz) y lo
almacena en el fichero "root.hints". El administrador de cada máquina
debe indicar el fichero correcto en cada caso, no llamándose
necesariamente "root.hints".
Una de las motivaciones de este cambio es poder publicar una misma IP a
través de varias rutas distintas, reflejando máquinas diferentes. Es
decir, cuando un usuario intenta conectarse a una IP determinada, que
está publicada en varios lugares diferentes, llegará a la localización
topológicamente más cercana. En otras palabras, la misma IP puede enviar
a servidores distintos según el continente o el país desde el que se
haga la petición.
De hecho en Hispasec nos consta que, desde hace apenas horas, existe un
servidor de DNS raíz en el nodo neutro de interconexión español,
Espanix. Dicho servidor comparte IPs con otros servidores DNS que se
están instalando por todo el planeta. Gracias a la publicación de rutas
alternativas, los usuarios acceden, de forma transparente, al que les
resulta topológicamente más cercano, y sin conflictos entre las
diferentes máquinas que tienen la misma IP.
Jesús Cea Avión
jcea@hispasec.com
jcea@hispasec.com
Más información:
Important Informational Message - root.zone change
http://www.cctec.com/maillists/nanog/current/msg00757.html
Re: Important Informational Message - root.zone change
http://www.cctec.com/maillists/nanog/current/msg00761.html
Root Zone Changed
http://slashdot.org/article.pl?sid=02/11/07/1613256&mode=thread&tid=95
Key internet server relocated
http://www.newscientist.com/news/news.jsp?id=ns99993026
28/10/2002 - Preguntas y respuestas sobre los ataques a los servidores
raíz del DNS
http://www.hispasec.com/unaaldia.asp?id=1464
Fichero de zona raíz DNS.
ftp://ftp.internic.net/domain/named.root
