A veces, un sitio web o una aplicación no funciona correctamente debido a problemas de DNS, como registros DNS mal configurados, latencia o ataques maliciosos.
Después de leer este artículo podrás:
Copiar enlace del artículo
El Sistema de nombres de dominio, o DNS, asigna nombres de dominio a direcciones IP para que los usuarios puedan utilizar aplicaciones web sin tener que memorizar direcciones de red precisas. El DNS también se utiliza para almacenar mucha otra información asociada a un dominio, como por ejemplo dónde dirigir los correos electrónicos. El DNS puede causar problemas si no está configurado correctamente, si los atacantes lo tienen como objetivo o si se producen otros problemas técnicos. A continuación, presentamos una descripción general de algunos de los problemas de DNS más comunes a los que probablemente se enfrentarán los administradores de sitio web .
Los registros DNS del dominio podrían estar configurados incorrectamente. Si el dominio está mal escrito en los registros, si aparece una dirección IP incorrecta en el registro, o si falta otra información esencial o es incorrecta, es probable que el DNS no se resuelva.
Además de estos errores básicos, hay varios tipos de registros DNS asociados a un dominio. Los problemas con esos registros podrían causar errores de DNS . Por ejemplo, un dominio podría tener un registro A pero carecer de un registro AAAA, lo que provocaría un fallo inicial de la resolución DNS para los clientes que utilizan IPv6. O bien, si el cliente intenta acceder a un dominio alternativo (p. ej. "blog.example.com" en lugar de "www.example.com"), el registro CNAME del dominio podría no apuntar al lugar correcto.
Para corregir este error, los administradores del sitio deben comprobar los registros DNS en su proveedor de alojamiento o en el panel de control de su proveedor de DNS y asegurarse de que no haya errores. Los registros DNS deben ser obtenidos por la resolución DNS —los servidores que responden a las consultas de DNS— para que las versiones más actualizadas estén en el sistema. Siempre que el TTL no se configure a un nivel demasiado alto (ver más abajo), esto no debería llevar demasiado tiempo.
Todos los registros DNS contienen un tiempo de vida (TTL)*, que es un recuento del número de segundos durante los que un servidor puede considerar válido el registro antes de tener que volver a consultar para obtener una actualización. Básicamente, el TTL es como una fecha de caducidad en un alimento envasado: los registros se consideran utilizables hasta que finaliza el tiempo TTL.
Si el TTL se establece en un valor demasiado alto, los servidores esperarán demasiado para comprobar si hay una actualización de los registros DNS. Esto significa que cualquier cambio se extenderá muy lentamente por todo el sistema de nombres de dominio. Los navegadores pueden intentar acceder a sitios en la dirección IP incorrecta si los registros DNS se han actualizado para un dominio pero no han recibido las actualizaciones.
Para evitar este problema de DNS, asegúrate de que los TTL no sean demasiado grandes: normalmente, el valor máximo absoluto es 86400 (contado en segundos, esto equivale a 24 horas), pero la mayoría de los TTL son mucho más cortos (6 horas o menos). El TTL exacto de un registro debe depender de la frecuencia y la rapidez con la que se espera que ese registro se actualice en el futuro (Consulta la información sobre el TTL para los registros DNS de Cloudflare).
Además, algunas resoluciones DNS permiten a los administradores de dominio forzar una actualización de sus cachés para un dominio (puedes hacerlo para 1.1.1.1 de Cloudflare aquí). Sin embargo, al hacerlo no se vacían todas las cachés de todas las resoluciones de todo el mundo, por lo que no sustituye a la configuración adecuada de los TTL.
*El TTL también se utiliza en otras áreas de las redes, como el enrutamiento y el almacenamiento en caché.
Los ataques de denegación de servicio distribuido (DDoS) tienen como objetivo hacer exactamente lo que su nombre indica: denegar servicio. Los ataques DDoS bombardean al objetivo con tráfico basura para que los usuarios legítimos no puedan utilizar el servicio. Estos ataques pueden hacer que un sitio web, una aplicación, una API o un servidor dejen de estar disponibles durante minutos u horas.
Cuando el objetivo de DDoS es el propio DNS, los navegadores no podrán resolver los dominios, lo que significa que los usuarios no pueden cargar sitios web y aplicaciones, ya que no se puede encontrar su dirección IP. Un ataque importante de este tipo tuvo lugar en 2016, cuando un ataque a Dyn dejó a los usuarios de muchas partes del mundo sin la posibilidad de utilizar Internet. Los ataques DDoS más pequeños al DNS se producen con regularidad y pueden ser más selectivos.
Evita este problema asegurándote de que cada proveedor de DNS de dominio tenga protección contra DDoS en vigor, o implementando la mitigación de DDoS para la resolución de DNS autoalojado.
Lalatencia es el tiempo que tardan los datos en ir de un punto a otro. Una latencia elevada da lugar a respuestas lentas, o incluso a tiempos de espera de las solicitudes que interrumpen la conexión.
La congestión de la red puede causar latencia, pero el principal culpable suele ser la ubicación del servidor. Las consultas de DNS son bastante ligeras en relación con el resto del tráfico web, pero una resolución DNS lejana significa que un usuario podría tener que esperar muchos segundos mientras la solicitud viaja al servidor y la respuesta regresa del servidor. Este problema puede surgir cuando los usuarios intentan cargar contenido web desde una ubicación inesperada o una región del mundo diferente de lo normal, lejos de la red de servidores de un proveedor de DNS .
Para solucionar la alta latencia de DNS, usa un proveedor de DNS que tenga puntos de presencia cerca de los usuarios de Internet en todo el mundo. Más información sobre la red global de Cloudflare.
En los ataques de envenenamiento de caché DNS, una parte malintencionada engaña a una resolución DNS para que almacene en caché una dirección IP incorrecta para un dominio. El resultado es que los usuarios que intentan cargar ese dominio son dirigidos a la dirección IP proporcionada por el atacante.
La adopción de DNSSEC es una forma de evitar que los datos no verificados entren en las cachés de las resoluciones DNS. DNSSEC autentica los mensajes entre los servidores DNS (sin DNSSEC, DNS funciona según un principio de confianza, que los atacantes pueden explotar).
Un ataque de secuestro de dominio es cuando los atacantes alteran los registros DNS asociados a un dominio. A menudo lo consiguen haciendo que los registradores de nombres de dominios les transfieran dominios. Como resultado, los visitantes del sitio web pueden cargar la página web incorrecta, a menudo maliciosa, o el dominio puede no resolverse por completo.
La aplicación de bloqueos de dominio tanto a nivel de registrador como de registro puede dificultar considerablemente el secuestro de DNS para los atacantes.
"NXDOMAIN" significa "dominio inexistente" en argot informático. Básicamente, este error significa que, por lo que el dispositivo del usuario puede ver, el dominio no existe: es como intentar llamar a un número de teléfono inexistente o enviar un paquete a una ciudad que no existe.
Se trata de un error general que puede deberse a los problemas enumerados anteriormente, así como a problemas en el lado del cliente (el dispositivo en el que la persona está intentando cargar el sitio web):
Los usuarios pueden intentar volver a conectarse a su red local, forzar la actualización de la página web (Ctrl/Command + Shift + R), abrirla en un navegador diferente o cambiar su configuración de DNS para utilizar una resolución diferente (Cloudflare ofrece la resolución DNS altamente fiable 1.1.1.1 de forma gratuita).
Un error "NXDOMAIN" puede dar lugar a un mensaje "No se puede acceder a este sitio" o "El servidor DNS no responde" en el navegador. Como se ha descrito anteriormente, varios problemas pueden causar este mensaje de error.
Para las personas y las empresas que ejecutan aplicaciones web, la mayoría de estos problemas se pueden solucionar o mitigar adoptando Cloudflare, que redirecciona el tráfico a sitios web mediante proxy y utiliza las últimas medidas de seguridad para proteger contra ataques DDoS, secuestro de DNS, envenenamiento de caché DNS y configuraciones erróneas de DNS. Consulta los planes de Cloudflare para empezar.