Dnstracer determina desde donde un servidor de nombre de dominio (DNS) obtiene su información para un nombre de dominio definido, y sigue la cadena de servidores DNS de retorno hacia los servidores quienes conocen el dato, o devuelven una respuesta autorizada.

Para las siguiente demostración se utiliza la versión de la herramienta dnstracer incluida en Kali Linux 2.0.

Se realiza un consulta simple para un dominio. Este trazado es realizado después de un inicio limpio del servidor DNS. Esto significa la no disponibilidad de datos, excepto las zonas del servidor para el cual esta autorizado y los servidores raíz. El servidor DNS utilizado por defecto en el configurado localmente.

# dnstracer www. government. ru

Es factible definir un servidor DNS diferente con el cual iniciar este proceso. La opción “-s” define el servidor. El nombre del servidor puede ser reemplazado por una dirección IP o con un punto (.) para indicar el uso del servidor A.ROOT-SERVERS.NET. La opción “-o” muestra un resumen de las respuestas recibidas al final de la ejecución.

# dnstracer -o -s g. root- servers. net www. government .ru

Finalizado el proceso se muestra la información obtenida por la herramienta dnstracer.

Los asteriscos mostrados en los resultados significan la no respuesta a una solicitud. Por defecto se realizan tres intentos.

Si no se muestras registros adicionales para un servidor DNS la dirección IP es capturada mediante un gethostbyname() estándar. Si existen varios registros adicionales para un servidor DNS, todo son evaluados.

Las respuestas autorizadas son respuestas provenientes desde el servidor el cual es autorizado para la zona. Si la respuesta es puesta en “cache” por otros servidores (el cual es la naturaleza del sistema DNS), entonces la respuesta sigue siendo válida pero no es autorizada.

Fuentes:

http://tools.kali.org/information-gathering/dnstracer
http://freecode.com/projects/dnstracer
http://www.mavetju.org/unix/dnstracer.php
https://www.iana.org/domains/root/servers