Полный гайд по dig — как проверить DNS-записи в Linux
Содержание
- Введение
- Что такое dig и зачем он нужен
- Установка dig
- Основы использования dig
- Запросы разных типов записей
- Полезные флаги dig
- TTL и кеш
- dig +trace — как работает DNS от корня
- Диагностика ошибок
- Проверка на DNS-подмену (spoofing)
- Заключение
Введение
Если ты когда-нибудь пытался разобраться, почему не работает сайт или как проверить DNS-записи домена — скорее всего, тебе попадался инструмент dig. Это утилита из мира DNS, которой активно пользуются системные админы, DevOps-инженеры и пентестеры.
Что такое dig и зачем он нужен
dig (Domain Information Groper) — это консольная утилита для отправки DNS-запросов. Она позволяет:
- Проверять записи: A, MX, TXT, NS, CNAME и другие
- Делать запросы к конкретным DNS-серверам
- Отслеживать цепочку DNS-запросов с
+trace - Видеть TTL, кеш, авторитетные серверы
Установка dig
На большинстве Linux-систем dig уже предустановлен. Если нет — вот как установить:
| Дистрибутив | Команда установки |
|---|---|
| Ubuntu / Debian | sudo apt install dnsutils |
| Arch Linux | sudo pacman -S bind |
| ALT Linux | sudo apt-get install bind-utils |
| CentOS | sudo dnf install bind-utils |
| RedOS | sudo dnf install bind |
| macOS | Уже встроен в систему. |
Основы использования dig
🔹 Простой запрос
dig secureflow.ru
Покажет полную информацию о домене. Основные секции:
- QUESTION SECTION — что ты запрашивал
- ANSWER SECTION — ответ от DNS
- AUTHORITY SECTION — авторитетные DNS-серверы
- ADDITIONAL SECTION — дополнительные данные
🔹 Краткий ответ (без мусора)
dig +short secureflow.ru
Удобно для скриптов и быстрой проверки.
🔹 Запрос к конкретному DNS-серверу
dig @8.8.8.8 secureflow.ru
Полезно при проверке разных публичных резолверов (Google, Cloudflare и т.д.).
Запросы разных типов записей
🔸 A-запись (IP-адрес сайта)
dig A secureflow.ru
🔸 MX-запись (почтовые серверы)
dig MX secureflow.ru
🔸 NS-запись (серверы имён)
dig NS secureflow.ru
🔸 TXT-запись (часто используется для SPF, DKIM и др.)
dig TXT secureflow.ru
🔸 CNAME-запись (псевдонимы)
dig CNAME secureflow.ru
Полезные флаги dig
| Флаг | Что делает |
|---|---|
+short |
Выводит только IP-адрес или значение записи |
+noall +answer |
Показывает только секцию ответа |
+trace |
Показывает полную цепочку DNS-разрешения |
+stats |
Выводит статистику выполнения запроса |
+multiline |
Удобное многострочное форматирование |
Пример:
dig +noall +answer secureflow.ru
TTL и кеш
Каждая DNS-запись имеет TTL (Time-To-Live) — время, на которое она кэшируется резолверами.
Например, TTL = 3600 означает, что запись живёт в кеше 1 час.
🔍 Проверка через разные DNS
dig @1.1.1.1 secureflow.ru
dig @8.8.8.8 secureflow.ru
dig @9.9.9.9 secureflow.ru
Так можно убедиться, что кэш обновился и запись изменилась.
dig +trace — как работает DNS от корня
Команда dig +trace позволяет увидеть весь путь разрешения домена:
dig +trace secureflow.ru
Ты увидишь:
- Обращение к корневым DNS-серверам
. - Запрос к зоне
.ru - Переход к авторитетным серверам для
secureflow.ru - И, наконец, ответ с IP
Незаменим при проблемах с делегированием доменов.
Диагностика ошибок
| Ошибка | Что означает |
|---|---|
NXDOMAIN |
Домен не существует |
SERVFAIL |
Проблема на стороне DNS-сервера |
NOANSWER |
Домен существует, но нет нужной записи |
Проверка на DNS-подмену (spoofing)
Сравни ответы от разных DNS-серверов:
dig @1.1.1.1 secureflow.ru
dig @8.8.8.8 secureflow.ru
dig @9.9.9.9 secureflow.ru
Если IP-адреса не совпадают — возможна подмена или кэш не обновлён.
Заключение
dig — незаменимая утилита для любого, кто работает с сетями, сайтами или безопасностью. Он прост, гибок и мощен.
Выучи его один раз — и он выручит тебя десятки раз в будущем.
Хочешь больше?
Если статья оказалась полезной — поделись ей, сохрани в закладки и подпишись на мои каналы: