A veces, un sitio web o una aplicación no funcionan correctamente por problemas de DNS, como registros DNS mal configurados, latencia o ataques maliciosos.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es DNS?
Registrador de mejor nombre de dominio
Dominios vencidos
Nombre de dominio
Registros de DNS
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
El sistema de nombres de dominio, o DNS, asigna nombres de dominio a direcciones IP para que los usuarios puedan utilizar aplicaciones web sin tener que memorizar direcciones de red precisas. El DNS también se utiliza para almacenar mucha otra información asociada a un dominio, por ejemplo, hacia dónde dirigir los correos electrónicos. El DNS puede causar problemas si no está configurado correctamente, si los atacantes lo tienen como objetivo o si se producen otros desafíos técnicos. A continuación, presentamos una descripción general de algunos de los problemas de DNS más comunes que los administradores de sitios web podrían enfrentar.
Los registros DNS para el dominio podrían estar configurados de manera incorrecta. Si el dominio está mal escrito en los registros, si hay una dirección IP incorrecta en el registro, o si falta otra información esencial o es incorrecta, es probable que el DNS no se resuelva.
Además de estos errores básicos, hay varios tipos de registros DNS asociados a un dominio. Los problemas con esos registros podrían causar errores de DNS. Por ejemplo, un dominio podría tener un registro A pero no tener un registro AAAA, lo que hace que la resolución de DNS falle inicialmente para los clientes que utilizan IPv6. O, si el cliente intenta acceder a un dominio alternativo (p. ej. "blog.example.com" en lugar de "www.example.com"), el registro CNAME del dominio podría no apuntar al lugar correcto.
Para corregir este error, los administradores del sitio deben verificar los registros DNS en su proveedor de alojamiento o en el panel de control del proveedor de DNS y asegurarse de que no haya errores. Luego, los registros DNS deben ser obtenidos por las resoluciones de DNS (los servidores que responden a las consultas de DNS), para que las versiones más actualizadas estén en el sistema. Siempre que el tiempo de vida (TTL) no sea demasiado alto (ver más abajo), esto no debería llevar demasiado tiempo.
Todos los registros DNS tienen un tiempo de vida (TTL)*, que es la cantidad de segundos durante la cual un servidor puede considerar válido el registro antes de tener que volver a consultar para obtener una actualización. Básicamente, el TTL es como una fecha de caducidad en un alimento envasado: los registros se consideran utilizables hasta que finaliza el tiempo TTL.
Si el TTL se establece en un valor demasiado alto, los servidores esperarán demasiado para verificar si hay una actualización de los registros DNS. Esto significa que cualquier cambio se extenderá muy lentamente por todo el sistema de nombres de dominio. Los navegadores pueden tratar de acceder a sitios en la dirección IP incorrecta si los registros DNS se han actualizado para un dominio pero no han recibido las actualizaciones.
Para evitar este problema de DNS, asegúrate de que los TTL no sean demasiado prolongados: normalmente, el valor máximo absoluto es 86400 (contado en segundos, esto equivale a 24 horas), pero la mayoría de los TTL son mucho más cortos (6 horas o menos). El TTL exacto de un registro debe depender de la frecuencia y la rapidez con la que se espera que ese registro se actualice en el futuro. (Consulta la información sobre el TTL para los registros DNS de Cloudflare).
Además, algunas resoluciones DNS permiten a los administradores de dominio forzar una actualización de sus cachés para un dominio (puedes hacerlo para 1.1.1.1 de Cloudflare aquí). Sin embargo, al hacerlo no se vacían todas las memorias cachés de todas las resoluciones de todo el mundo, por lo tanto, no reemplaza la configuración adecuada de los TTL.
*ElTTL también se utiliza en otras áreas de las redes, como el enrutamiento y el almacenamiento en caché.
Los ataques de denegación de servicio distribuido (DDoS) tienen como objetivo hacer exactamente lo que su nombre indica: denegar servicio.Los ataques DDoS bombardean al objetivo con tráfico basura para que los usuarios legítimos no puedan utilizar el servicio. Estos ataques pueden hacer que un sitio web, una aplicación, una API o un servidor dejen de estar disponibles durante minutos u horas.
Cuando el objetivo de DDoS es el propio DNS, los navegadores no podrán resolver los dominios, lo que significa que los usuarios no pueden cargar sitios web y aplicaciones, ya que no se puede encontrar su dirección IP. Un ataque importante de este tipo tuvo lugar en 2016, cuando un ataque a Dyn dejó a los usuarios de muchas partes del mundo sin la posibilidad de utilizar Internet. Los ataques DDoS de menor magnitud al DNS se producen con frecuencia y pueden ser más selectivos.
Para evitar este problema, asegúrate de que cada proveedor de DNS de dominio tenga protección DDoS en vigencia, o implementa la mitigación de DDoS para la resolución de DNS autoalojado.
La latencia es el tiempo que tardan los datos en ir de un punto a otro. Una latencia elevada da lugar a respuestas lentas, o incluso a tiempos de espera de las solicitudes que interrumpen la conexión.
La congestión de la red puede causar latencia, pero el principal problema suele ser la ubicación del servidor. Las consultas de DNS son bastante livianas con respecto al resto del tráfico web, pero una resolución DNS lejana significa que un usuario podría tener que esperar muchos segundos mientras la solicitud va al servidor y la respuesta regresa del servidor. Este problema puede surgir cuando los usuarios intentan cargar contenido web desde una ubicación inesperada o una región del mundo diferente de lo habitual, lejos de la red de servidores de un proveedor de DNS.
Para solucionar el problema de latencia elevada de DNS, usa un proveedor de DNS que tenga puntos de presencia cerca de los usuarios de Internet en todo el mundo. Más información sobre la red global de Cloudflare.
En los ataques de envenenamiento de caché DNS, una parte malintencionada engaña a una resolución DNS para que almacene en caché una dirección IP incorrecta para un dominio. El resultado es que los usuarios que intentan cargar ese dominio son dirigidos a la dirección IP proporcionada por el atacante.
La adopción de DNSSEC es una manera de evitar que los datos no verificados entren en las memorias cachés de las resoluciones DNS. DNSSEC autentica los mensajes entre los servidores DNS (sin DNSSEC, DNS funciona según un principio de confianza, que los atacantes pueden explotar).
Un ataque de secuestro de dominio se produce cuando los atacantes alteran los registros DNS asociados a un dominio. A menudo, consiguen que los registradores de dominios les transfieran dominios. Como resultado, los visitantes del sitio pueden cargar la página web incorrecta, a menudo maliciosa, o el dominio puede no resolverse por completo.
La aplicación de bloqueos de dominio tanto a nivel del registrador como de registro puede dificultar considerablemente el secuestro de DNS para los atacantes.
"NXDOMAIN" significa "dominio inexistente" en la jerga informática. Básicamente, este error significa que, por lo que el dispositivo del usuario puede ver, el dominio no existe: es como intentar llamar a un número de teléfono inexistente o enviar un paquete a una ciudad que no existe.
Este es un error general que posiblemente se deba a los problemas mencionados anteriormente, así como a problemas en el lado del cliente (el dispositivo en el que la persona está intentando cargar el sitio web):
Los usuarios pueden intentar volver a conectarse a su red local, forzar la actualización de la página web (Ctrl/Command + Shift + R), abrirla en un navegador diferente o cambiar su configuración de DNS para utilizar una resolución diferente (Cloudflare ofrece la resolución DNS altamente fiable 1.1.1.1 Resolución de DNS de forma gratuita).
Un error de "NXDOMAIN" puede generar el mensaje "No se puede acceder a este sitio" o "El servidor DNS no responde" en el navegador. Como se describió anteriormente, varios problemas pueden generar este mensaje de error.
Para las personas y las empresas que ejecutan aplicaciones web, la mayoría de estos problemas se pueden solucionar o mitigar adoptando Cloudflare, que redirecciona el tráfico a sitios web mediante proxy y utiliza las últimas medidas de seguridad para proteger contra ataques DDoS, secuestro de DNS, envenenamiento de caché DNS y configuraciones erróneas de DNS. Consulta los planes de Cloudflare para empezar.