工控网络基础入门篇之如何用 Dig命令检查域名的解析

在 windows 和 linux 系统中，有一个很基本的域名解析工具叫 nslookup，但相对而言 dig 的功能和返回的信息要强大得多。在这里下载 bind，就可以获得 dig 工具了。你们看一下Dig 的 Man Page就会发现这货的参数多得吓人，我们只挑一些可能常用的讲解。首先讲一下 Dig 命令的基本使用格式:

例如我们要通过 Google DNS 来查 facebook.com 的 IPV6 地址 (AAAA 记录) 就是这样的:

返回的信息是这样的:

所有以分号 “;” 开始的内容都是 dig 命令对获取到的原始返回信息的注释部分，没有注释的部分才是我们真正要查询的内容。

这里解释部分内容:

• status:NOERROR 这是 DNS 返回的信息中 Reply Code 部分，用于告知客户端，DNS 服务器这次进行的查询是否成功还是有错误发生

• id:702 这个就是 DNS 查询和返回信息中的 Transaction ID，因为 UDP 协议不是按顺序到达的，所以这个 ID 用于把查询和返回信息配对

• flags:qr rd ra 这个是 DNS 返回信息中的 Flag 部分，QR 表示这是一个返回响应包 (对应查询包)，rd表示客户端请求进行递归查询，ra 表示服务器支持递归查询

• QUERY:1 表示收到一个查询

• ANSWER: 表示回应了一个答复

• AUTHORITY:0 表示没有从域名的权威名称服务器查询数据，可能因为 DNS 缓存中已经有这个记录了，就不需要查询了

• ADDITIONAL:1 表示有一条额外的信息，一般是域名的权威名称服务器的地址

• 中间就是查询的内容和回复的内容了，应该很好理解

• 最后是整个查询过程的耗时，以及原始信息有多少个字节

除了这种基本的查询，dig 有很多选项可以用，常用的有:

• +short 表示不显示所有注释部分的代码，只显示要查询的数据，这个选项可以用在脚本里给其他命令提供域名的 IP

• +vc 表示用 TCP 方式查询，而不是用 UDP 方式，TCP 模式查询受到 GFW 劫持的影响非常小 (不是没有，只是范围很小)

• +dnssec 表示查询域名的 DNSSEC 签名信息，关于 DNSSEC 会在后面讲解

• +trace 表示禁止服务器用递归方式查询，一般来说就是让 DNS 返回根域服务器的地址，然后客户端自己去做迭代查询，后面的查询和 DNS 服务器不再有关系，只取决于客户端和各级名称服务器之间的网络。

关于 dig +trace 可能是我们实际调试中用到最多的命令了