Dig: Unterschied zwischen den Versionen
K Textersetzung - „== Syntax ==“ durch „== Aufruf ==“ |
|||
(220 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''dig''' (''' | {{DISPLAYTITLE:dig}} | ||
'''dig''' ('''D'''omain '''I'''nformation '''G'''roper) - Abfrage von DNS-Server | |||
== Beschreibung == | |||
Andere DNS-Lookup-Tools haben meist weniger Funktionalität als dig | |||
* Die meisten DNS-Administratoren verwenden dig für die Fehlersuche bei DNS-Problemen, da es flexibel, einfach zu bedienen und übersichtlich in der Ausgabe ist | |||
* Obwohl dig normalerweise mit Befehlszeilenargumenten verwendet wird, verfügt es auch über einen Batch-Modus, um Lookup-Anfragen aus einer Datei zu lesen. | |||
* Eine kurze Zusammenfassung der Befehlszeilenargumente und Optionen wird ausgegeben, wenn die Option -h angegeben wird | |||
* Die BIND 9-Implementierung von dig erlaubt es, mehrere Suchanfragen von der Kommandozeile aus zu stellen | |||
* Wenn es nicht angewiesen wird, einen bestimmten Nameserver abzufragen, versucht dig jeden der in /etc/resolv.conf aufgeführten Server | |||
* Wenn keine brauchbaren Serveradressen gefunden werden, sendet dig die Anfrage an den lokalen Host | |||
= | == Installation == | ||
= | <syntaxhighlight lang="bash"> | ||
sudo apt install dnsutils | |||
</syntaxhighlight> | |||
= | == Anwendung == | ||
=== Aufruf ohne Argumente === | |||
Nameserver(NS)-Abfrage an Root-Server | |||
<syntaxhighlight lang="bash" highlight="1" line> | |||
$ dig | |||
; <<>> DiG 9.19.21-1+b1-Debian <<>> | |||
;; global options: +cmd | |||
;; Got answer: | |||
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41706 | |||
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 27 | |||
;; OPT PSEUDOSECTION: | |||
; EDNS: version: 0, flags:; udp: 1232 | |||
;; QUESTION SECTION: | |||
;. IN NS | |||
;; ANSWER SECTION: | |||
. 84750 IN NS j.root-servers.net. | |||
. 84750 IN NS a.root-servers.net. | |||
. 84750 IN NS b.root-servers.net. | |||
. 84750 IN NS d.root-servers.net. | |||
. 84750 IN NS f.root-servers.net. | |||
. 84750 IN NS c.root-servers.net. | |||
. 84750 IN NS e.root-servers.net. | |||
. 84750 IN NS h.root-servers.net. | |||
. 84750 IN NS i.root-servers.net. | |||
. 84750 IN NS m.root-servers.net. | |||
. 84750 IN NS l.root-servers.net. | |||
. 84750 IN NS k.root-servers.net. | |||
. 84750 IN NS g.root-servers.net. | |||
;; ADDITIONAL SECTION: | |||
m.root-servers.net. 76425 IN A 202.12.27.33 | |||
l.root-servers.net. 76425 IN A 199.7.83.42 | |||
k.root-servers.net. 84750 IN A 193.0.14.129 | |||
j.root-servers.net. 84750 IN A 192.58.128.30 | |||
i.root-servers.net. 84750 IN A 192.36.148.17 | |||
h.root-servers.net. 84750 IN A 198.97.190.53 | |||
g.root-servers.net. 84750 IN A 192.112.36.4 | |||
f.root-servers.net. 84750 IN A 192.5.5.241 | |||
e.root-servers.net. 84750 IN A 192.203.230.10 | |||
d.root-servers.net. 84750 IN A 199.7.91.13 | |||
c.root-servers.net. 84750 IN A 192.33.4.12 | |||
b.root-servers.net. 84750 IN A 170.247.170.2 | |||
a.root-servers.net. 84750 IN A 198.41.0.4 | |||
m.root-servers.net. 76425 IN AAAA 2001:dc3::35 | |||
l.root-servers.net. 76425 IN AAAA 2001:500:9f::42 | |||
k.root-servers.net. 84750 IN AAAA 2001:7fd::1 | |||
j.root-servers.net. 84750 IN AAAA 2001:503:c27::2:30 | |||
i.root-servers.net. 84750 IN AAAA 2001:7fe::53 | |||
h.root-servers.net. 84750 IN AAAA 2001:500:1::53 | |||
g.root-servers.net. 84750 IN AAAA 2001:500:12::d0d | |||
f.root-servers.net. 84750 IN AAAA 2001:500:2f::f | |||
e.root-servers.net. 84750 IN AAAA 2001:500:a8::e | |||
d.root-servers.net. 84750 IN AAAA 2001:500:2d::d | |||
c.root-servers.net. 84750 IN AAAA 2001:500:2::c | |||
b.root-servers.net. 84750 IN AAAA 2801:1b8:10::b | |||
a.root-servers.net. 84750 IN AAAA 2001:503:ba3e::2:30 | |||
;; Query time: 4 msec | |||
;; SERVER: 192.168.1.1#53(192.168.1.1) (UDP) | |||
;; WHEN: Wed May 29 19:38:08 CEST 2024 | |||
</syntaxhighlight> | |||
== | === Mehrere Abfragen === | ||
=== | Die BIND 9-Implementierung von dig unterstützt die Angabe mehrerer Abfragen in der Befehlszeile (zusätzlich zur Unterstützung der Option -f für Batch-Dateien). | ||
* Jede dieser Abfragen kann mit einem eigenen Satz von Flags, Optionen und Abfrageoptionen versehen werden. | |||
In diesem Fall stellt jedes Abfrageargument eine einzelne Abfrage in der oben beschriebenen Befehlszeilensyntax dar. | |||
* Jedes besteht aus einer der Standardoptionen und Flags, dem Namen, der gesucht werden soll, einem optionalen Abfragetyp und einer Klasse sowie allen Abfrageoptionen, die auf diese Abfrage angewandt werden sollen. | |||
Ein globaler Satz von Abfrageoptionen, der auf alle Abfragen angewandt werden soll, kann ebenfalls angegeben werden. | |||
* Diese globalen Abfrageoptionen müssen dem ersten Tupel aus Name, Klasse, Typ, Optionen, Flags und Abfrageoptionen in der Befehlszeile vorangestellt werden. | |||
* Alle globalen Abfrageoptionen (außer +cmd und +short options) können durch einen abfragespezifischen Satz von Abfrageoptionen außer Kraft gesetzt werden. | |||
==== Beispiel ==== | |||
Drei Abfragen durchführen | |||
<syntaxhighlight lang="bash"> | |||
dig +qr www.isc.org any -x 127.0.0.1 isc.org ns +noqr | |||
</syntaxhighlight> | |||
* eine ANY-Abfrage für www.isc.org, eine Reverse-Abfrage von 127.0.0.1 und eine Abfrage der NS-Einträge von isc.org | |||
* Es wird die globale Abfrageoption +qr verwendet, so dass dig die ursprüngliche Abfrage für jede Abfrage anzeigt | |||
* Die letzte Abfrage hat die lokale Abfrageoption +noqr, was bedeutet, dass dig die ursprüngliche Abfrage nicht ausgibt, wenn es die NS-Einträge für isc.org nachschlägt | |||
== Aufruf == | |||
<syntaxhighlight lang="bash"> | |||
dig [@Server] [Domain] [Typ] [-x IP-Adresse] | |||
</syntaxhighlight> | |||
<syntaxhighlight lang="bash"> | |||
dig [@server] [-b address] [-c class] [-f filename] [-k filename] [-m] [-p port#] [-q name] [-t type] [-v] [-x addr] [-y [hmac:]name:key] [ [-4] | [-6] ] [name] [type] [class] [queryopt...] | |||
</syntaxhighlight> | |||
<syntaxhighlight lang="bash"> | |||
dig [-h] | |||
</syntaxhighlight> | |||
<syntaxhighlight lang="bash"> | |||
dig [global-queryopt...] [query...] | |||
</syntaxhighlight> | |||
=== Parameter === | |||
; Resource Record Typ | |||
{| class="wikitable" | {| class="wikitable" | ||
|- Resource Record / Typ | |- Resource Record / Typ | ||
Zeile 35: | Zeile 143: | ||
|} | |} | ||
=== Weitere Parameter === | ==== Weitere Parameter ==== | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
Zeile 42: | Zeile 150: | ||
| +short || gibt eine sehr kurze Antwort, zB die reine IP der Domain | | +short || gibt eine sehr kurze Antwort, zB die reine IP der Domain | ||
|- | |- | ||
| -f query.txt | | -f query.txt || file - Eingabe-Datei für mehrere Abfragen | ||
|- | |- | ||
| -4 / -6 | | -4 / -6 || IPv4 / IPv6 | ||
|- | |- | ||
| -x | | -x || Rückwärtssuche... IP der Domain suchen | ||
|} | |} | ||
=== Optionen === | |||
siehe [[dig/Optionen]] | |||
== | === Abfrageoptionen === | ||
''dig'' bietet eine Reihe von Abfrageoptionen, die sich auf die Art und Weise auswirken, in der Suchvorgänge durchgeführt und die Ergebnisse angezeigt werden. | |||
* Einige davon setzen oder setzen Flaggenbits im Abfragekopf zurück, andere bestimmen, welche Abschnitte der Antwort gedruckt werden, und wieder andere legen die Zeitüberschreitung und Wiederholungsstrategien fest. | |||
Jede Abfrageoption wird durch ein Schlüsselwort gekennzeichnet, dem ein Pluszeichen (+) vorangestellt ist | |||
* Einige Schlüsselwörter setzen eine Option fest oder setzen sie zurück; diesen kann die Zeichenfolge no vorangestellt werden, um die Bedeutung des Schlüsselworts zu negieren. | |||
* Andere Schlüsselwörter weisen den Optionen Werte zu, wie z. B. das Timeout-Intervall. | |||
= | ; Form | ||
+Schlüsselwort=Wert | |||
; Abkürzung von Schlüsselwörtern | |||
* Abkürzung muss eindeutig sein | |||
* Beispiel: ''+cd'' gleichbedeutend mit ''+cdflag'' | |||
==== Schlüsselwörter ==== | |||
{| class="wikitable options" | |||
|- | |||
! Option !! Beschreibung | |||
|- | |||
| +aaflag, +noaaflag || Synonym für +aaonly, +noaaonly | |||
|- | |||
| +aaonly</br>+noaaonly || Mit dieser Option wird das aa-Flag in der Abfrage gesetzt. | |||
|- | |||
| +additional</br>+noadditional || Mit dieser Option wird der zusätzliche Abschnitt einer Antwort angezeigt [oder nicht angezeigt]. | |||
* Die Standardeinstellung ist, ihn anzuzeigen. | |||
|- | |||
| +adflag</br>+noadflag || Mit dieser Option wird das AD-Bit (authentische Daten) in der Abfrage gesetzt [oder nicht gesetzt]. | |||
* Damit wird der Server aufgefordert, zurückzugeben, ob alle Antwort- und Autoritätsabschnitte gemäß der Sicherheitsrichtlinie des Servers als sicher validiert wurden. | |||
* AD=1 bedeutet, dass alle Datensätze als sicher eingestuft wurden und die Antwort nicht aus einem OPT-OUT-Bereich stammt. | |||
AD=0 zeigt an, dass ein Teil der Antwort unsicher war oder nicht validiert wurde. Dieses Bit ist standardmäßig gesetzt. | |||
|- | |||
| +all</br>+noall || Diese Option setzt oder löscht alle Anzeigeflags. | |||
|- | |||
| +Antwort</br>+Nein-Antwort || Mit dieser Option wird der Antwortteil einer Antwort angezeigt [oder nicht angezeigt]. | |||
* Die Voreinstellung ist, dass er angezeigt wird. | |||
|- | |||
| +Autorität</br>+Nicht-Autorität || Mit dieser Option wird der Autoritätsabschnitt einer Antwort angezeigt [bzw. nicht angezeigt]. | |||
* Standardmäßig wird er angezeigt. | |||
|- | |||
| +badcookie</br>+nobadcookie || Mit dieser Option wird die Suche mit einem neuen Server-Cookie wiederholt, wenn eine BADCOOKIE-Antwort empfangen wird. | |||
|- | |||
| +besteffort</br>+nobesteffort || Mit dieser Option wird versucht, den Inhalt von Nachrichten anzuzeigen, die fehlerhaft sind. | |||
* Die Voreinstellung ist, dass keine fehlerhaften Antworten angezeigt werden. | |||
|- | |||
| +bufsize[=B] || Diese Option setzt die Größe des UDP-Nachrichtenpuffers, der mit EDNS0 angekündigt wird, auf B Bytes. Die maximale und minimale Größe dieses Puffers beträgt 65535 bzw. 0. Mit +bufsize wird die Standardpuffergröße wiederhergestellt. | |||
|- | |||
| +cd</br>+cdflag</br>+nocdflag || Mit dieser Option wird das CD-Bit (Checking Disabled) in der Abfrage gesetzt (oder nicht gesetzt). | |||
* Diese Option fordert den Server auf, keine DNSSEC-Validierung der Antworten durchzuführen. | |||
|- | |||
| +class</br>+noclass || Mit dieser Option wird die CLASS beim Drucken des Datensatzes angezeigt [oder nicht angezeigt]. | |||
|- | |||
| +cmd</br>+nocmd || Diese Option schaltet den Druck des Anfangskommentars in der Ausgabe um, der die Version von dig und die angewandten Abfrageoptionen angibt. | |||
* Diese Option wirkt sich immer global aus; sie kann nicht global gesetzt und dann für jede einzelne Abfrage überschrieben werden. | |||
* Standardmäßig wird dieser Kommentar gedruckt. | |||
|- | |||
| +Kommentare</br>+Nicht-Kommentare || Diese Option schaltet die Anzeige einiger Kommentarzeilen in der Ausgabe ein, mit Informationen über den Paket-Header und die OPT-Pseudosektion sowie die Namen des Antwortabschnitts. | |||
In der Voreinstellung werden diese Kommentare gedruckt. | |||
Andere Arten von Kommentaren in der Ausgabe sind von dieser Option nicht betroffen, können aber mit anderen Befehlszeilenschaltern gesteuert werden. | |||
* Dazu gehören +cmd, +question, +stats und | |||
|- | |||
| +rrcomments. || | |||
|- | |||
| +cookie=</br>+nocookie || Diese Option sendet [oder nicht sendet] eine COOKIE-EDNS-Option mit einem optionalen Wert. | |||
* Die Wiederholung eines COOKIE aus einer früheren Antwort ermöglicht es dem Server, einen früheren Client zu identifizieren. | |||
* Die Voreinstellung ist +cookie | |||
* +cookie wird auch gesetzt, wenn +trace gesetzt ist, um die Standardabfragen eines Nameservers besser zu emulieren. || | |||
|- | |||
| +crypto</br>+nocrypto || Diese Option schaltet die Anzeige von kryptographischen Feldern in DNSSEC-Einträgen um. | |||
* Der Inhalt dieser Felder ist für die Fehlersuche bei den meisten DNSSEC-Validierungsfehlern unnötig und das Entfernen dieser Felder macht es einfacher, die üblichen Fehler zu erkennen. | |||
* Die Vorgabe ist, die Felder anzuzeigen. | |||
* Wenn sie ausgelassen werden, werden sie durch die Zeichenkette [omitted] ersetzt oder, im Fall von DNSKEY, wird die Schlüssel-ID als Ersatz angezeigt, z. B. [ key id = value ]. | |||
|- | |||
| +defname</br>+nodefname || Diese Option, die veraltet ist, wird als Synonym für +search, +nosearch behandelt. | |||
|- | |||
| +dns64prefix</br>+nodns64prefix || Sucht nach IPV4ONLY.ARPA AAAA und gibt alle gefundenen DNS64-Präfixe aus. | |||
|- | |||
| +cd</br>+cdflag</br>+nocdflag || Mit dieser Option wird das CD-Bit (Checking Disabled) in der Abfrage gesetzt (oder nicht gesetzt). | |||
* Diese Option fordert den Server auf, keine DNSSEC-Validierung der Antworten durchzuführen. | |||
|- | |||
| +class</br>+noclass || Mit dieser Option wird die CLASS beim Drucken des Datensatzes angezeigt [oder nicht angezeigt]. | |||
|- | |||
| +cmd</br>+nocmd || Diese Option schaltet den Druck des Anfangskommentars in der Ausgabe um, der die Version von dig und die angewandten Abfrageoptionen angibt. | |||
* Diese Option wirkt sich immer global aus; sie kann nicht global gesetzt und dann für jede einzelne Abfrage überschrieben werden. | |||
* Standardmäßig wird dieser Kommentar gedruckt. | |||
|- | |||
| +Kommentare</br>+Nicht-Kommentare || Diese Option schaltet die Anzeige einiger Kommentarzeilen in der Ausgabe ein, mit Informationen über den Paket-Header und die OPT-Pseudosektion sowie die Namen des Antwortabschnitts. | |||
In der Voreinstellung werden diese Kommentare gedruckt. | |||
Andere Arten von Kommentaren in der Ausgabe sind von dieser Option nicht betroffen, können aber mit anderen Befehlszeilenschaltern gesteuert werden. | |||
* Dazu gehören +cmd, +question, +stats und | |||
|- | |||
| +rrcomments. || | |||
|- | |||
| +cookie=</br>+nocookie || Diese Option sendet [oder nicht sendet] eine COOKIE-EDNS-Option mit einem optionalen Wert. | |||
Die Wiederholung eines COOKIE aus einer früheren Antwort ermöglicht es dem Server, einen früheren Client zu identifizieren. | |||
* Die Voreinstellung ist +cookie. +cookie wird auch gesetzt, wenn +trace gesetzt ist, um die Standardabfragen eines Nameservers besser zu emulieren. || | |||
|- | |||
| +crypto</br>+nocrypto || Diese Option schaltet die Anzeige von kryptographischen Feldern in DNSSEC-Einträgen um. | |||
* Der Inhalt dieser Felder ist für die Fehlersuche bei den meisten DNSSEC-Validierungsfehlern unnötig und das Entfernen dieser Felder macht es einfacher, die üblichen Fehler zu erkennen. | |||
* Die Vorgabe ist, die Felder anzuzeigen. | |||
* Wenn sie ausgelassen werden, werden sie durch die Zeichenkette [omitted] ersetzt oder, im Fall von DNSKEY, wird die Schlüssel-ID als Ersatz angezeigt, z. B. [ key id = value ]. | |||
|- | |||
| +defname</br>+nodefname || Diese Option, die veraltet ist, wird als Synonym für +search, +nosearch behandelt. | |||
|- | |||
| +dns64prefix</br>+nodns64prefix || Sucht nach IPV4ONLY.ARPA AAAA und gibt alle gefundenen DNS64-Präfixe aus. | |||
|- | |||
| +dnssec</br>+do</br>+nodnssec</br>+nodo || Diese Option verlangt, dass DNSSEC-Einträge gesendet werden, indem das DNSSEC-OK-Bit (DO) im OPT-Eintrag im zusätzlichen Abschnitt der Abfrage gesetzt wird. | |||
|- | |||
| +domain=somename || Mit dieser Option wird die Suchliste so eingestellt, dass sie die einzelne Domain somename enthält, als ob sie in einer Domain-Direktive in /etc/resolv.conf angegeben wäre, und sie ermöglicht die Verarbeitung der Suchliste, als ob die Option | |||
Option +search angegeben wurde. | |||
|- | |||
| +dscp=Wert || Diese Option legte früher den DSCP-Wert fest, der beim Senden einer Anfrage verwendet wurde. Sie ist jetzt veraltet und hat keine Wirkung mehr. | |||
|- | |||
| +edns[=#]</br>+noedns || Diese Option gibt die EDNS-Version an, mit der die Abfrage erfolgen soll. | |||
* Gültige Werte sind 0 bis 255. | |||
Das Setzen der EDNS-Version bewirkt, dass eine EDNS-Abfrage gesendet wird. +noedns löscht die gespeicherte | |||
EDNS-Version. | |||
* EDNS ist standardmäßig auf 0 gesetzt. | |||
|- | |||
| +ednsflags[=#]</br>+noednsflags || Diese Option setzt die EDNS-Flaggenbits (Z-Bits), die null sein müssen, auf den angegebenen Wert. | |||
Dezimale, hexadezimale und oktale Kodierungen werden akzeptiert. | |||
* Das Setzen eines benannten Flags (z. B. DO) wird stillschweigend ignoriert. | |||
* Standardmäßig werden keine Z-Bits gesetzt. | |||
|- | |||
| +ednsnegotiation</br>+noednsnegotiation || Diese Option aktiviert/deaktiviert die EDNS-Versionsaushandlung. | |||
* Standardmäßig ist die EDNS-Versionsaushandlung aktiviert. | |||
|- | |||
| +ednsopt[=code[:wert]]</br>+noednsopt || Diese Option spezifiziert die EDNS-Option mit dem Code Point Code und einer optionalen Nutzlast von value als hexadezimaler String. | |||
* Code kann entweder ein EDNS-Optionsname sein (z. B. NSID | |||
oder ECS) oder ein beliebiger numerischer Wert sein. +noednsopt löscht die zu sendenden EDNS-Optionen. | |||
|- | |||
| +expire</br>+noexpire || Diese Option sendet eine EDNS Expire Option. | |||
|- | |||
| +fail</br>+nofail || Diese Option gibt an, dass named den nächsten Server versuchen soll, wenn ein SERVFAIL | |||
empfangen wird. | |||
* Die Voreinstellung ist, den nächsten Server nicht zu versuchen, was dem normalen Verhalten des Stub-Resolvers entspricht. | |||
|- | |||
| +fuzztime[=Wert]</br>+nofuzztime || Mit dieser Option kann die Signierzeit bei der Erzeugung signierter Nachrichten angegeben werden. Wenn ein Wert angegeben wird, handelt es sich um die Sekunden seit 00:00:00 1. Januar 1970 UTC ohne Berücksichtigung von Schaltsekunden. Wenn kein Wert angegeben wird, wird 1646972129 (Fri 11 Mar 2022 04:15:29 UTC) verwendet. | |||
Die Voreinstellung ist +nofuzztime und es wird die aktuelle Zeit verwendet. +Nur-Kopfzeile, Nur-Nicht-Kopfzeile || Diese Option sendet eine Anfrage mit einem DNS-Header ohne Frageteil. | |||
* Die Vorgabe ist, einen Frageteil hinzuzufügen. | |||
* Der Abfragetyp und der Abfragename werden ignoriert, wenn diese Option gesetzt ist. | |||
|- | |||
| +https[=Wert]</br>+nohttps || Diese Option gibt an, ob DNS über HTTPS (DoH) bei der Abfrage von Namensservern verwendet werden soll. | |||
Wenn diese Option verwendet wird, ist die Portnummer standardmäßig 443. Beim Senden der Abfrage wird der HTTP-POST-Anforderungsmodus verwendet. | |||
Wenn value angegeben ist, wird er als HTTP-Endpunkt in der Abfrage-URI verwendet; der Standardwert ist /dns-query. | |||
* So wird zum Beispiel dig @example.com +https den URI | |||
https://example.com/dns-query. | |||
|- | |||
| +https-get[=Wert]</br>+nohttps-get || Ähnlich wie +https, mit dem Unterschied, dass beim Senden der Abfrage der HTTP-GET-Anforderungsmodus verwendet wird. | |||
|- | |||
| +https-post[=Wert]</br>+nohttps-post || Ähnlich wie +https. | |||
|- | |||
| +http-plain[=Wert]</br>+nohttp-plain || Ähnlich wie +https, mit dem Unterschied, dass HTTP-Anfragen über einen nicht verschlüsselten Kanal gesendet werden. | |||
Wenn diese Option verwendet wird, ist die Portnummer standardmäßig 80 und der HTTP-Anfragemodus ist | |||
POST. | |||
|- | |||
| +http-plain-get[=Wert]</br>+nohttp-plain-get || Ähnlich wie +http-plain, mit dem Unterschied, dass der HTTP-Anfragemodus GET ist. | |||
|- | |||
| +http-plain-post[=Wert]</br>+nohttp-plain-post || Ähnlich wie +http-plain. | |||
|- | |||
| +identify</br>+noidentify || Diese Option zeigt die IP-Adresse und die Portnummer an, von der die Antwort stammt, wenn die Option +short aktiviert ist (oder nicht). | |||
* Wenn Kurzformantworten angefordert werden, werden standardmäßig die Quelladresse und die Portnummer des Servers, der die Antwort geliefert hat, nicht angezeigt. | |||
|- | |||
| +idnin</br>+noidnin || Mit dieser Option werden IDN-Domänennamen bei der Eingabe verarbeitet [oder nicht verarbeitet]. | |||
* Dies erfordert, dass IDN | |||
SUPPORT zur Kompilierzeit aktiviert sein. | |||
Die Vorgabe ist, IDN-Eingaben zu verarbeiten, wenn die Standardausgabe ein tty ist. Die IDN-Verarbeitung bei der Eingabe ist deaktiviert, wenn die dig-Ausgabe auf Dateien, Pipes und andere Nicht-Tty-Dateideskriptoren umgeleitet wird. | |||
|- | |||
| +idnout</br>+noidnout || Diese Option konvertiert [oder nicht konvertiert] Puny-Code in der Ausgabe. | |||
* Dies erfordert, dass IDN | |||
SUPPORT zur Kompilierzeit aktiviert sein. | |||
Die Voreinstellung ist, Puny-Code auf der Ausgabe zu verarbeiten, wenn die Standardausgabe ein tty ist. | |||
* Die Verarbeitung von Puny-Code auf der Ausgabe ist deaktiviert, wenn die dig-Ausgabe auf Dateien, Pipes und andere Nicht-Tty-Dateideskriptoren umgeleitet wird. | |||
|- | |||
| +ignore</br>+noignore || Diese Option ignoriert [oder ignoriert nicht] Abbruch in UDP-Antworten, anstatt es mit TCP erneut zu versuchen. | |||
* Standardmäßig werden TCP-Wiederholungsversuche durchgeführt. | |||
|- | |||
| +keepalive</br>+nokeepalive || Mit dieser Option wird eine EDNS-Keepalive-Option gesendet [oder nicht gesendet]. | |||
|- | |||
| +keepopen</br>+nokeepopen || Diese Option hält den TCP-Socket zwischen Abfragen offen [oder nicht] und verwendet ihn wieder, anstatt für jede Abfrage einen neuen TCP-Socket zu erstellen. | |||
* Die Voreinstellung ist +nokeepopen. | |||
|- | |||
| +multiline</br>+nomultiline || Mit dieser Option werden Datensätze, wie die SOA-Datensätze, in einem ausführlichen mehrzeiligen Format mit menschenlesbaren Kommentaren gedruckt (oder nicht gedruckt). | |||
* Standardmäßig wird jeder Datensatz in einer einzigen Zeile gedruckt, um das maschinelle Parsen der dig-Ausgabe zu erleichtern. | |||
|- | |||
| +Punkte=D || Diese Option legt die Anzahl der Punkte (D) fest, die in einem Namen vorkommen müssen, damit er als absolut gilt. | |||
* Der Standardwert ist derjenige, der mit der ndots-Anweisung in | |||
/etc/resolv.conf festgelegt wird, oder 1, wenn keine ndots-Anweisung vorhanden ist. | |||
* Namen mit weniger Punkten werden als relative Namen interpretiert und in den Domänen gesucht, die in der Anweisung search oder domain in /etc/resolv.conf aufgeführt sind, wenn +search gesetzt ist. | |||
|- | |||
| +nsid</br>+nonsid || Wenn diese Option aktiviert ist, enthält sie eine EDNS-Nameserver-ID-Anfrage, wenn eine Anfrage gesendet wird. | |||
|- | |||
| +nssearch</br>+nonssearch || Wenn diese Option gesetzt ist, versucht dig, die autoritativen Nameserver für die Zone zu finden, die den gesuchten Namen enthält, und zeigt den SOA-Eintrag an, den jeder Nameserver für die Zone hat. Adressen von Servern, die nicht geantwortet haben, werden ebenfalls ausgegeben. | |||
|- | |||
| +onesoa</br>+noonesoa || Wenn diese Option aktiviert ist, wird bei der Durchführung eines AXFR nur ein SOA-Datensatz (der erste) gedruckt. | |||
Standardmäßig werden sowohl der Anfangs- als auch der End-SOA-Datensatz gedruckt. | |||
|- | |||
| +opcode=Wert</br>+noopcode || Wenn diese Option aktiviert ist, wird der Opcode der DNS-Nachricht auf den angegebenen Wert gesetzt (wiederhergestellt). | |||
Der Standardwert ist QUERY (0). | |||
|- | |||
| +padding=Wert || Mit dieser Option wird die Größe des Abfragepakets unter Verwendung der EDNS-Padding-Option auf Blöcke von Wertbytes aufgefüllt. | |||
* So bewirkt beispielsweise +padding=32, dass eine 48-Byte-Abfrage auf 64 Byte aufgefüllt wird. | |||
Die Standard-Blockgröße ist 0, was das Auffüllen deaktiviert; das Maximum ist 512. | |||
* Normalerweise wird erwartet, dass die Werte Zweierpotenzen sind, z. B. 128; dies ist jedoch nicht zwingend. | |||
Antworten auf aufgefüllte Abfragen können ebenfalls aufgefüllt werden, aber nur, wenn die Abfrage TCP oder DNS verwendet | |||
COOKIE. | |||
|- | |||
| +qid=Wert || Diese Option gibt die Abfrage-ID an, die beim Senden von Abfragen verwendet werden soll. | |||
|- | |||
| +qr</br>+noqr || Diese Option schaltet die Anzeige der Abfragenachricht beim Senden um. | |||
* Standardmäßig wird die Abfrage nicht gedruckt. | |||
|- | |||
| +Frage</br>+Frage nicht || Mit dieser Option wird die Anzeige des Frageteils einer Abfrage umgeschaltet, wenn eine Antwort zurückgegeben wird. | |||
* Standardmäßig wird der Frageteil als Kommentar gedruckt. | |||
|- | |||
| +raflag</br>+noraflag || Mit dieser Option wird das RA (Recursion Available)-Bit in der Abfrage gesetzt [oder nicht gesetzt]. | |||
* Die Voreinstellung ist +noraflag. | |||
* Dieses Bit wird vom Server für QUERY ignoriert. | |||
|- | |||
| +rdflag</br>+nordflag || Diese Option ist ein Synonym für +recurse, +norecurse. | |||
|- | |||
| +recurse</br>+norecurse || Diese Option schaltet die Einstellung des Bits RD (recursion desired) in der Abfrage um. Dieses Bit ist standardmäßig gesetzt, was bedeutet, dass dig normalerweise rekursive Abfragen sendet. | |||
* Rekursion wird automatisch deaktiviert, wenn die Option +nssearch oder +trace query verwendet wird. | |||
|- | |||
| +Wiederholung=T || Diese Option setzt die Anzahl der Wiederholungsversuche für UDP- und TCP-Anfragen an den Server auf T anstelle des Standardwerts 2. | |||
|- | |||
| +rrKommentare</br>+norrKommentare || Diese Option schaltet die Anzeige von Kommentaren pro Datensatz in der Ausgabe ein (z. B. von Menschen lesbare Schlüsselinformationen über DNSKEY-Datensätze). | |||
* Standardmäßig werden keine Datensatzkommentare gedruckt, es sei denn, der Mehrzeilenmodus ist aktiv. | |||
|- | |||
| +suchen</br>+nicht suchen || Diese Option verwendet die Suchliste, die durch die searchlist- oder domain-Direktive in resolv.conf definiert ist, falls vorhanden. | |||
* Die Suchliste wird standardmäßig nicht verwendet. | |||
ndots aus resolv.conf (Voreinstellung 1), die durch +ndots überschrieben werden kann, bestimmt, ob der Name als relativ behandelt wird und somit eine Suche durchgeführt wird. | |||
|- | |||
| +kurz</br>+noshort || Diese Option schaltet um, ob eine kurze Antwort gegeben wird. | |||
* Standardmäßig wird die Antwort in einer ausführlichen Form ausgegeben. | |||
* Diese Option wirkt sich immer global aus; sie kann nicht global gesetzt und dann für jede einzelne Suche überschrieben werden. | |||
|- | |||
| +showbadcookie</br>+noshowbadcookie || Diese Option schaltet um, ob die Meldung mit dem BADCOOKIE rcode angezeigt werden soll, bevor die Anfrage erneut versucht wird oder nicht. | |||
* Die Standardeinstellung ist, die Meldungen nicht anzuzeigen. | |||
|- | |||
| +showsearch</br>+noshowsearch || Mit dieser Option wird eine Suche mit Zwischenergebnissen durchgeführt [oder nicht durchgeführt]. | |||
|- | |||
| +sigchase</br>+nosigchase || Diese Funktion ist jetzt veraltet und wurde entfernt; verwenden Sie stattdessen delv. | |||
|- | |||
| +split=W || Diese Option teilt lange hex- oder base64-formatierte Felder in Ressourcendatensätzen in Stücke von W Zeichen auf (wobei W auf das nächste Vielfache von 4 aufgerundet wird). +nosplit oder +split=0 bewirkt, dass Felder überhaupt nicht aufgeteilt werden. Die Vorgabe ist 56 Zeichen bzw. 44 Zeichen, wenn der Mehrzeilenmodus aktiv ist. | |||
|- | |||
| +stats</br>+nostats || Diese Option schaltet den Ausdruck von Statistiken um. | |||
* wann die Anfrage gestellt wurde, die Größe der Antwort, usw. | |||
* Standardmäßig wird die Abfragestatistik nach jeder Abfrage als Kommentar gedruckt. | |||
|- | |||
| +Subnetz=addr[/Präfix-Länge]</br>+Nicht-Subnetz || Diese Option sendet [oder nicht sendet] eine EDNS CLIENT-SUBNET Option mit der angegebenen IP | |||
Adresse oder Netzwerkpräfix. | |||
dig +subnet=0.0.0.0/0, oder einfach kurz dig +subnet=0, sendet eine EDNS CLIENT-SUBNET | |||
Option mit einer leeren Adresse und einer Quell-Präfix-Länge von Null, was einem Resolver signalisiert, dass die Adressinformationen des Clients bei der Auflösung dieser Anfrage nicht verwendet werden dürfen. | |||
|- | |||
| +tcFlag</br>+notcFlag || Mit dieser Option wird das TC (TrunCation)-Bit in der Anfrage gesetzt [oder nicht gesetzt]. | |||
* Die Voreinstellung ist | |||
|- | |||
| +notcflag. || * Dieses Bit wird vom Server für QUERY ignoriert. | |||
|- | |||
| +tcp</br>+notcp || Diese Option gibt an, ob bei der Abfrage von Namensservern TCP verwendet werden soll. Standardmäßig wird UDP verwendet, es sei denn, es wird eine Abfrage vom Typ any oder ixfr=N angefordert; in diesem Fall wird TCP verwendet. | |||
* AXFR-Abfragen verwenden immer TCP. | |||
* Um einen erneuten Versuch über TCP zu verhindern, wenn TC=1 von einer UDP-Abfrage zurückgegeben wird, verwenden Sie +ignore. | |||
|- | |||
| +Zeitüberschreitung=T || Diese Option setzt den Timeout für eine Abfrage auf T Sekunden. | |||
* Die Standardzeitüberschreitung beträgt 5 Sekunden. | |||
Ein Versuch, T auf weniger als 1 zu setzen, wird stillschweigend auf 1 gesetzt. | |||
|- | |||
| +tls</br>+notls || Diese Option gibt an, ob DNS over TLS (DoT) bei der Abfrage von Namensservern verwendet werden soll. | |||
* Wenn diese Option verwendet wird, wird die Portnummer standardmäßig auf 853 gesetzt. | |||
|- | |||
| +tls-ca[=Datei-Name]</br>+notls-ca || Diese Option aktiviert die TLS-Zertifikatsvalidierung von Remote-Servern für DNS-Transporte, die auf TLS beruhen. | |||
* Die Zertifikate der Zertifizierungsstellen werden aus der angegebenen PEM-Datei | |||
(Datei-Name) geladen. | |||
* Wenn die Datei nicht angegeben wird, werden die Standardzertifikate aus dem globalen Zertifikatspeicher verwendet. | |||
|- | |||
| +tls-certfile=Datei-Name</br>+tls-keyfile=Datei-Name</br>+notls-certfile</br>+notls-keyfile || Diese Optionen legen den Status der zertifikatsbasierten Client-Authentifizierung für DNS | |||
Transporte, die auf TLS beruhen. | |||
* Sowohl die Datei der Zertifikatskette als auch die Datei des privaten Schlüssels müssen im PEM-Format vorliegen. Beide Optionen müssen gleichzeitig angegeben werden. | |||
|- | |||
| +tls-hostname=hostname</br>+notls-hostname || Diese Option veranlasst dig, den angegebenen Hostnamen während der TLS-Zertifikatsprüfung des Remote-Servers zu verwenden. | |||
* Andernfalls wird der DNS-Servername verwendet. | |||
* Diese Option hat keine Auswirkung, wenn | |||
|- | |||
| +tls-ca nicht angegeben ist. || | |||
|- | |||
| +topdown</br>+notopdown || Diese Funktion ist mit dig +sigchase verwandt, das veraltet ist und entfernt wurde. | |||
* Verwenden Sie stattdessen delv. | |||
|- | |||
| +trace</br>+notrace || Diese Option schaltet die Verfolgung des Delegationspfads von den Root-Nameservern für den gesuchten Namen ein. | |||
* Die Verfolgung ist standardmäßig deaktiviert. | |||
* Wenn die Verfolgung aktiviert ist, führt dig iterative Abfragen durch, um den gesuchten Namen aufzulösen. | |||
* Es folgt den Verweisen von den Root-Servern und zeigt die Antwort von jedem Server an, der für die Auflösung der Suche verwendet wurde. | |||
Wenn @server ebenfalls angegeben wird, betrifft dies nur die erste Abfrage nach den Nameservern der Root-Zone. +dnssec wird auch gesetzt, wenn +trace gesetzt ist, um die Standardabfragen von einem Nameserver besser zu emulieren. || +Versuche=T | |||
Mit dieser Option wird die Anzahl der Versuche für UDP- und TCP-Anfragen an den Server auf T statt auf den Standardwert 3 gesetzt. | |||
* Wenn T kleiner oder gleich Null ist, wird die Anzahl der Versuche stillschweigend auf 1 aufgerundet. | |||
|- | |||
| +vertrauenswürdiger-schlüssel= || Diese Option legte früher vertrauenswürdige Schlüssel für die Verwendung mit dig +sigchase fest. | |||
* Diese Funktion ist nun veraltet und wurde entfernt; verwenden Sie stattdessen delv. | |||
|- | |||
| +ttlid</br>+nottlid || Mit dieser Option wird die TTL beim Drucken des Datensatzes angezeigt [oder nicht angezeigt]. | |||
|- | |||
| +ttlunits</br>+nottlunits || Diese Option zeigt die TTL in den menschenfreundlichen Zeiteinheiten s, m, h, d und w an, die für Sekunden, Minuten, Stunden, Tage und Wochen stehen, oder nicht. Dies impliziert +ttlid. | |||
|- | |||
| +unknownformat</br>+nounknownformat || Diese Option druckt alle RDATA im unbekannten RR-Typ-Präsentationsformat (RFC 3597). Standardmäßig werden RDATA für bekannte Typen im Präsentationsformat des Typs gedruckt. | |||
|- | |||
| +vc</br>+novc || Mit dieser Option wird TCP bei der Abfrage von Nameservern verwendet [oder nicht verwendet]. | |||
* Diese alternative Syntax zu +tcp ist aus Gründen der Abwärtskompatibilität vorgesehen. | |||
* Das vc steht für "virtual circuit". | |||
|- | |||
| +yaml</br>+noyaml || Wenn diese Option aktiviert ist, werden die Antworten (und, wenn +qr verwendet wird, auch die ausgehenden Abfragen) in einem detaillierten YAML-Format ausgegeben. | |||
|- | |||
| +zflag</br>+nozflag || Mit dieser Option wird das letzte nicht zugewiesene DNS-Header-Flag in einer DNS-Anfrage gesetzt [oder nicht gesetzt]. | |||
Dieses Flag ist standardmäßig ausgeschaltet. | |||
|} | |||
=== IDN-Unterstützung === | |||
Wenn dig mit IDN-Unterstützung (internationalisierte Domänennamen) gebaut wurde, kann es Nicht-ASCII-Domänennamen akzeptieren und anzeigen. | |||
* dig wandelt die Zeichenkodierung eines Domänennamens entsprechend um, bevor es eine Anfrage an einen DNS-Server sendet oder eine Antwort des Servers anzeigt. | |||
; Ausschalten der IDN-Unterstützung | |||
Zum Ausschalten der IDN-Unterstützung zu deaktivieren, verwenden Sie die Parameter | |||
+idnin und | |||
+idnout | |||
oder definieren Sie die Umgebungsvariable IDN_DISABLE. | |||
=== Umgebung === | |||
=== Rückgabewert === | |||
{| class="wikitable sortable options" | |||
|- | |||
! Option !! Beschreibung | |||
|- | |||
| 0 || DNS response received, including NXDOMAIN status | |||
|- | |||
| 1 || Usage error | |||
|- | |||
| 8 || Couldn't open batch file | |||
|- | |||
| 9 || No reply from server | |||
|- | |||
| 10 || Internal error | |||
|} | |||
== Konfiguration == | |||
; Voreinstellungen | |||
Es ist möglich, über{HOME}/.digrc benutzerspezifische Voreinstellungen für dig zu setzen | |||
* Diese Datei wird gelesen und alle darin enthaltenen Optionen werden vor den Befehlszeilenargumenten angewandt. | |||
* Die Option -r deaktiviert diese Funktion für Skripte, die ein vorhersehbares Verhalten benötigen. | |||
=== Dateien === | |||
# [[/etc/resolv.conf]] | |||
# [[~/.digrc]] | |||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | |||
---- | |||
{{Special:PrefixIndex/Domain Name System}} | |||
==== Dokumentation ==== | |||
===== RFC ===== | |||
# RFC 1035 | |||
===== Man-Page ===== | |||
# DIG(1) | |||
# delv(1) | |||
# host(1) | |||
# named(8) | |||
# dnssec-keygen(8) | |||
= | ===== Info-Pages ===== | ||
== | # info dig | ||
== | ==== Links ==== | ||
= | ===== Projekt ===== | ||
== | ===== Weblinks ===== | ||
== Weblinks == | |||
# https://geek-university.com/linux-deutsch/dig-befehl/ | # https://geek-university.com/linux-deutsch/dig-befehl/ | ||
# https://linuxize.com/post/how-to-use-dig-command-to-query-dns-in-linux/ (Englisch) | # https://linuxize.com/post/how-to-use-dig-command-to-query-dns-in-linux/ (Englisch) | ||
# https://wiki.ubuntuusers.de/dig/ | # https://wiki.ubuntuusers.de/dig/ | ||
[[Kategorie:Linux/Befehl]] | |||
[[Kategorie:Netzwerk/Befehl]] | |||
[[Kategorie:Domain Name System/Client]] | |||
</noinclude> | |||
Aktuelle Version vom 12. November 2024, 18:40 Uhr
dig (Domain Information Groper) - Abfrage von DNS-Server
Beschreibung
Andere DNS-Lookup-Tools haben meist weniger Funktionalität als dig
- Die meisten DNS-Administratoren verwenden dig für die Fehlersuche bei DNS-Problemen, da es flexibel, einfach zu bedienen und übersichtlich in der Ausgabe ist
- Obwohl dig normalerweise mit Befehlszeilenargumenten verwendet wird, verfügt es auch über einen Batch-Modus, um Lookup-Anfragen aus einer Datei zu lesen.
- Eine kurze Zusammenfassung der Befehlszeilenargumente und Optionen wird ausgegeben, wenn die Option -h angegeben wird
- Die BIND 9-Implementierung von dig erlaubt es, mehrere Suchanfragen von der Kommandozeile aus zu stellen
- Wenn es nicht angewiesen wird, einen bestimmten Nameserver abzufragen, versucht dig jeden der in /etc/resolv.conf aufgeführten Server
- Wenn keine brauchbaren Serveradressen gefunden werden, sendet dig die Anfrage an den lokalen Host
Installation
sudo apt install dnsutils
Anwendung
Aufruf ohne Argumente
Nameserver(NS)-Abfrage an Root-Server
$ dig
; <<>> DiG 9.19.21-1+b1-Debian <<>>
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41706
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 27
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;. IN NS
;; ANSWER SECTION:
. 84750 IN NS j.root-servers.net.
. 84750 IN NS a.root-servers.net.
. 84750 IN NS b.root-servers.net.
. 84750 IN NS d.root-servers.net.
. 84750 IN NS f.root-servers.net.
. 84750 IN NS c.root-servers.net.
. 84750 IN NS e.root-servers.net.
. 84750 IN NS h.root-servers.net.
. 84750 IN NS i.root-servers.net.
. 84750 IN NS m.root-servers.net.
. 84750 IN NS l.root-servers.net.
. 84750 IN NS k.root-servers.net.
. 84750 IN NS g.root-servers.net.
;; ADDITIONAL SECTION:
m.root-servers.net. 76425 IN A 202.12.27.33
l.root-servers.net. 76425 IN A 199.7.83.42
k.root-servers.net. 84750 IN A 193.0.14.129
j.root-servers.net. 84750 IN A 192.58.128.30
i.root-servers.net. 84750 IN A 192.36.148.17
h.root-servers.net. 84750 IN A 198.97.190.53
g.root-servers.net. 84750 IN A 192.112.36.4
f.root-servers.net. 84750 IN A 192.5.5.241
e.root-servers.net. 84750 IN A 192.203.230.10
d.root-servers.net. 84750 IN A 199.7.91.13
c.root-servers.net. 84750 IN A 192.33.4.12
b.root-servers.net. 84750 IN A 170.247.170.2
a.root-servers.net. 84750 IN A 198.41.0.4
m.root-servers.net. 76425 IN AAAA 2001:dc3::35
l.root-servers.net. 76425 IN AAAA 2001:500:9f::42
k.root-servers.net. 84750 IN AAAA 2001:7fd::1
j.root-servers.net. 84750 IN AAAA 2001:503:c27::2:30
i.root-servers.net. 84750 IN AAAA 2001:7fe::53
h.root-servers.net. 84750 IN AAAA 2001:500:1::53
g.root-servers.net. 84750 IN AAAA 2001:500:12::d0d
f.root-servers.net. 84750 IN AAAA 2001:500:2f::f
e.root-servers.net. 84750 IN AAAA 2001:500:a8::e
d.root-servers.net. 84750 IN AAAA 2001:500:2d::d
c.root-servers.net. 84750 IN AAAA 2001:500:2::c
b.root-servers.net. 84750 IN AAAA 2801:1b8:10::b
a.root-servers.net. 84750 IN AAAA 2001:503:ba3e::2:30
;; Query time: 4 msec
;; SERVER: 192.168.1.1#53(192.168.1.1) (UDP)
;; WHEN: Wed May 29 19:38:08 CEST 2024
Mehrere Abfragen
Die BIND 9-Implementierung von dig unterstützt die Angabe mehrerer Abfragen in der Befehlszeile (zusätzlich zur Unterstützung der Option -f für Batch-Dateien).
- Jede dieser Abfragen kann mit einem eigenen Satz von Flags, Optionen und Abfrageoptionen versehen werden.
In diesem Fall stellt jedes Abfrageargument eine einzelne Abfrage in der oben beschriebenen Befehlszeilensyntax dar.
- Jedes besteht aus einer der Standardoptionen und Flags, dem Namen, der gesucht werden soll, einem optionalen Abfragetyp und einer Klasse sowie allen Abfrageoptionen, die auf diese Abfrage angewandt werden sollen.
Ein globaler Satz von Abfrageoptionen, der auf alle Abfragen angewandt werden soll, kann ebenfalls angegeben werden.
- Diese globalen Abfrageoptionen müssen dem ersten Tupel aus Name, Klasse, Typ, Optionen, Flags und Abfrageoptionen in der Befehlszeile vorangestellt werden.
- Alle globalen Abfrageoptionen (außer +cmd und +short options) können durch einen abfragespezifischen Satz von Abfrageoptionen außer Kraft gesetzt werden.
Beispiel
Drei Abfragen durchführen
dig +qr www.isc.org any -x 127.0.0.1 isc.org ns +noqr
- eine ANY-Abfrage für www.isc.org, eine Reverse-Abfrage von 127.0.0.1 und eine Abfrage der NS-Einträge von isc.org
- Es wird die globale Abfrageoption +qr verwendet, so dass dig die ursprüngliche Abfrage für jede Abfrage anzeigt
- Die letzte Abfrage hat die lokale Abfrageoption +noqr, was bedeutet, dass dig die ursprüngliche Abfrage nicht ausgibt, wenn es die NS-Einträge für isc.org nachschlägt
Aufruf
dig [@Server] [Domain] [Typ] [-x IP-Adresse]
dig [@server] [-b address] [-c class] [-f filename] [-k filename] [-m] [-p port#] [-q name] [-t type] [-v] [-x addr] [-y [hmac:]name:key] [ [-4] | [-6] ] [name] [type] [class] [queryopt...]
dig [-h]
dig [global-queryopt...] [query...]
Parameter
- Resource Record Typ
Typ | Beschreibung |
---|---|
ANY | alle Einträge |
A | IPv4 Record eines Hosts |
AAAA | IPv6 Record eines Hosts |
CNAME | Kanonischer Name, Zuordnung von Aliassen |
MX | Mail Exchanger |
NS | Hostname eines autoritativen Nameservers |
PTR | Domain Name Pointer (um IP-Adressen Namen zuzuweisen) |
SOA | Start of Authority |
SRV | Angebotene Dienste |
TXT | Beliebiger Text |
Weitere Parameter
Typ | Beschreibung |
---|---|
+short | gibt eine sehr kurze Antwort, zB die reine IP der Domain |
-f query.txt | file - Eingabe-Datei für mehrere Abfragen |
-4 / -6 | IPv4 / IPv6 |
-x | Rückwärtssuche... IP der Domain suchen |
Optionen
siehe dig/Optionen
Abfrageoptionen
dig bietet eine Reihe von Abfrageoptionen, die sich auf die Art und Weise auswirken, in der Suchvorgänge durchgeführt und die Ergebnisse angezeigt werden.
- Einige davon setzen oder setzen Flaggenbits im Abfragekopf zurück, andere bestimmen, welche Abschnitte der Antwort gedruckt werden, und wieder andere legen die Zeitüberschreitung und Wiederholungsstrategien fest.
Jede Abfrageoption wird durch ein Schlüsselwort gekennzeichnet, dem ein Pluszeichen (+) vorangestellt ist
- Einige Schlüsselwörter setzen eine Option fest oder setzen sie zurück; diesen kann die Zeichenfolge no vorangestellt werden, um die Bedeutung des Schlüsselworts zu negieren.
- Andere Schlüsselwörter weisen den Optionen Werte zu, wie z. B. das Timeout-Intervall.
- Form
+Schlüsselwort=Wert
- Abkürzung von Schlüsselwörtern
- Abkürzung muss eindeutig sein
- Beispiel: +cd gleichbedeutend mit +cdflag
Schlüsselwörter
Option | Beschreibung |
---|---|
+aaflag, +noaaflag | Synonym für +aaonly, +noaaonly |
+aaonly +noaaonly |
Mit dieser Option wird das aa-Flag in der Abfrage gesetzt. |
+additional +noadditional |
Mit dieser Option wird der zusätzliche Abschnitt einer Antwort angezeigt [oder nicht angezeigt].
|
+adflag +noadflag |
Mit dieser Option wird das AD-Bit (authentische Daten) in der Abfrage gesetzt [oder nicht gesetzt].
AD=0 zeigt an, dass ein Teil der Antwort unsicher war oder nicht validiert wurde. Dieses Bit ist standardmäßig gesetzt. |
+all +noall |
Diese Option setzt oder löscht alle Anzeigeflags. |
+Antwort +Nein-Antwort |
Mit dieser Option wird der Antwortteil einer Antwort angezeigt [oder nicht angezeigt].
|
+Autorität +Nicht-Autorität |
Mit dieser Option wird der Autoritätsabschnitt einer Antwort angezeigt [bzw. nicht angezeigt].
|
+badcookie +nobadcookie |
Mit dieser Option wird die Suche mit einem neuen Server-Cookie wiederholt, wenn eine BADCOOKIE-Antwort empfangen wird. |
+besteffort +nobesteffort |
Mit dieser Option wird versucht, den Inhalt von Nachrichten anzuzeigen, die fehlerhaft sind.
|
+bufsize[=B] | Diese Option setzt die Größe des UDP-Nachrichtenpuffers, der mit EDNS0 angekündigt wird, auf B Bytes. Die maximale und minimale Größe dieses Puffers beträgt 65535 bzw. 0. Mit +bufsize wird die Standardpuffergröße wiederhergestellt. |
+cd +cdflag +nocdflag |
Mit dieser Option wird das CD-Bit (Checking Disabled) in der Abfrage gesetzt (oder nicht gesetzt).
|
+class +noclass |
Mit dieser Option wird die CLASS beim Drucken des Datensatzes angezeigt [oder nicht angezeigt]. |
+cmd +nocmd |
Diese Option schaltet den Druck des Anfangskommentars in der Ausgabe um, der die Version von dig und die angewandten Abfrageoptionen angibt.
|
+Kommentare +Nicht-Kommentare |
Diese Option schaltet die Anzeige einiger Kommentarzeilen in der Ausgabe ein, mit Informationen über den Paket-Header und die OPT-Pseudosektion sowie die Namen des Antwortabschnitts.
In der Voreinstellung werden diese Kommentare gedruckt. Andere Arten von Kommentaren in der Ausgabe sind von dieser Option nicht betroffen, können aber mit anderen Befehlszeilenschaltern gesteuert werden.
|
+rrcomments. | |
+cookie= +nocookie |
Diese Option sendet [oder nicht sendet] eine COOKIE-EDNS-Option mit einem optionalen Wert.
|
+crypto +nocrypto |
Diese Option schaltet die Anzeige von kryptographischen Feldern in DNSSEC-Einträgen um.
|
+defname +nodefname |
Diese Option, die veraltet ist, wird als Synonym für +search, +nosearch behandelt. |
+dns64prefix +nodns64prefix |
Sucht nach IPV4ONLY.ARPA AAAA und gibt alle gefundenen DNS64-Präfixe aus. |
+cd +cdflag +nocdflag |
Mit dieser Option wird das CD-Bit (Checking Disabled) in der Abfrage gesetzt (oder nicht gesetzt).
|
+class +noclass |
Mit dieser Option wird die CLASS beim Drucken des Datensatzes angezeigt [oder nicht angezeigt]. |
+cmd +nocmd |
Diese Option schaltet den Druck des Anfangskommentars in der Ausgabe um, der die Version von dig und die angewandten Abfrageoptionen angibt.
|
+Kommentare +Nicht-Kommentare |
Diese Option schaltet die Anzeige einiger Kommentarzeilen in der Ausgabe ein, mit Informationen über den Paket-Header und die OPT-Pseudosektion sowie die Namen des Antwortabschnitts.
In der Voreinstellung werden diese Kommentare gedruckt. Andere Arten von Kommentaren in der Ausgabe sind von dieser Option nicht betroffen, können aber mit anderen Befehlszeilenschaltern gesteuert werden.
|
+rrcomments. | |
+cookie= +nocookie |
Diese Option sendet [oder nicht sendet] eine COOKIE-EDNS-Option mit einem optionalen Wert.
Die Wiederholung eines COOKIE aus einer früheren Antwort ermöglicht es dem Server, einen früheren Client zu identifizieren.
|
+crypto +nocrypto |
Diese Option schaltet die Anzeige von kryptographischen Feldern in DNSSEC-Einträgen um.
|
+defname +nodefname |
Diese Option, die veraltet ist, wird als Synonym für +search, +nosearch behandelt. |
+dns64prefix +nodns64prefix |
Sucht nach IPV4ONLY.ARPA AAAA und gibt alle gefundenen DNS64-Präfixe aus. |
+dnssec +do +nodnssec +nodo |
Diese Option verlangt, dass DNSSEC-Einträge gesendet werden, indem das DNSSEC-OK-Bit (DO) im OPT-Eintrag im zusätzlichen Abschnitt der Abfrage gesetzt wird. |
+domain=somename | Mit dieser Option wird die Suchliste so eingestellt, dass sie die einzelne Domain somename enthält, als ob sie in einer Domain-Direktive in /etc/resolv.conf angegeben wäre, und sie ermöglicht die Verarbeitung der Suchliste, als ob die Option
Option +search angegeben wurde. |
+dscp=Wert | Diese Option legte früher den DSCP-Wert fest, der beim Senden einer Anfrage verwendet wurde. Sie ist jetzt veraltet und hat keine Wirkung mehr. |
+edns[=#] +noedns |
Diese Option gibt die EDNS-Version an, mit der die Abfrage erfolgen soll.
Das Setzen der EDNS-Version bewirkt, dass eine EDNS-Abfrage gesendet wird. +noedns löscht die gespeicherte EDNS-Version.
|
+ednsflags[=#] +noednsflags |
Diese Option setzt die EDNS-Flaggenbits (Z-Bits), die null sein müssen, auf den angegebenen Wert.
Dezimale, hexadezimale und oktale Kodierungen werden akzeptiert.
|
+ednsnegotiation +noednsnegotiation |
Diese Option aktiviert/deaktiviert die EDNS-Versionsaushandlung.
|
+ednsopt[=code[:wert]] +noednsopt |
Diese Option spezifiziert die EDNS-Option mit dem Code Point Code und einer optionalen Nutzlast von value als hexadezimaler String.
oder ECS) oder ein beliebiger numerischer Wert sein. +noednsopt löscht die zu sendenden EDNS-Optionen. |
+expire +noexpire |
Diese Option sendet eine EDNS Expire Option. |
+fail +nofail |
Diese Option gibt an, dass named den nächsten Server versuchen soll, wenn ein SERVFAIL
empfangen wird.
|
+fuzztime[=Wert] +nofuzztime |
Mit dieser Option kann die Signierzeit bei der Erzeugung signierter Nachrichten angegeben werden. Wenn ein Wert angegeben wird, handelt es sich um die Sekunden seit 00:00:00 1. Januar 1970 UTC ohne Berücksichtigung von Schaltsekunden. Wenn kein Wert angegeben wird, wird 1646972129 (Fri 11 Mar 2022 04:15:29 UTC) verwendet.
Die Voreinstellung ist +nofuzztime und es wird die aktuelle Zeit verwendet. +Nur-Kopfzeile, Nur-Nicht-Kopfzeile || Diese Option sendet eine Anfrage mit einem DNS-Header ohne Frageteil.
|
+https[=Wert] +nohttps |
Diese Option gibt an, ob DNS über HTTPS (DoH) bei der Abfrage von Namensservern verwendet werden soll.
Wenn diese Option verwendet wird, ist die Portnummer standardmäßig 443. Beim Senden der Abfrage wird der HTTP-POST-Anforderungsmodus verwendet. Wenn value angegeben ist, wird er als HTTP-Endpunkt in der Abfrage-URI verwendet; der Standardwert ist /dns-query.
|
+https-get[=Wert] +nohttps-get |
Ähnlich wie +https, mit dem Unterschied, dass beim Senden der Abfrage der HTTP-GET-Anforderungsmodus verwendet wird. |
+https-post[=Wert] +nohttps-post |
Ähnlich wie +https. |
+http-plain[=Wert] +nohttp-plain |
Ähnlich wie +https, mit dem Unterschied, dass HTTP-Anfragen über einen nicht verschlüsselten Kanal gesendet werden.
Wenn diese Option verwendet wird, ist die Portnummer standardmäßig 80 und der HTTP-Anfragemodus ist POST. |
+http-plain-get[=Wert] +nohttp-plain-get |
Ähnlich wie +http-plain, mit dem Unterschied, dass der HTTP-Anfragemodus GET ist. |
+http-plain-post[=Wert] +nohttp-plain-post |
Ähnlich wie +http-plain. |
+identify +noidentify |
Diese Option zeigt die IP-Adresse und die Portnummer an, von der die Antwort stammt, wenn die Option +short aktiviert ist (oder nicht).
|
+idnin +noidnin |
Mit dieser Option werden IDN-Domänennamen bei der Eingabe verarbeitet [oder nicht verarbeitet].
SUPPORT zur Kompilierzeit aktiviert sein. Die Vorgabe ist, IDN-Eingaben zu verarbeiten, wenn die Standardausgabe ein tty ist. Die IDN-Verarbeitung bei der Eingabe ist deaktiviert, wenn die dig-Ausgabe auf Dateien, Pipes und andere Nicht-Tty-Dateideskriptoren umgeleitet wird. |
+idnout +noidnout |
Diese Option konvertiert [oder nicht konvertiert] Puny-Code in der Ausgabe.
SUPPORT zur Kompilierzeit aktiviert sein. Die Voreinstellung ist, Puny-Code auf der Ausgabe zu verarbeiten, wenn die Standardausgabe ein tty ist.
|
+ignore +noignore |
Diese Option ignoriert [oder ignoriert nicht] Abbruch in UDP-Antworten, anstatt es mit TCP erneut zu versuchen.
|
+keepalive +nokeepalive |
Mit dieser Option wird eine EDNS-Keepalive-Option gesendet [oder nicht gesendet]. |
+keepopen +nokeepopen |
Diese Option hält den TCP-Socket zwischen Abfragen offen [oder nicht] und verwendet ihn wieder, anstatt für jede Abfrage einen neuen TCP-Socket zu erstellen.
|
+multiline +nomultiline |
Mit dieser Option werden Datensätze, wie die SOA-Datensätze, in einem ausführlichen mehrzeiligen Format mit menschenlesbaren Kommentaren gedruckt (oder nicht gedruckt).
|
+Punkte=D | Diese Option legt die Anzahl der Punkte (D) fest, die in einem Namen vorkommen müssen, damit er als absolut gilt.
/etc/resolv.conf festgelegt wird, oder 1, wenn keine ndots-Anweisung vorhanden ist.
|
+nsid +nonsid |
Wenn diese Option aktiviert ist, enthält sie eine EDNS-Nameserver-ID-Anfrage, wenn eine Anfrage gesendet wird. |
+nssearch +nonssearch |
Wenn diese Option gesetzt ist, versucht dig, die autoritativen Nameserver für die Zone zu finden, die den gesuchten Namen enthält, und zeigt den SOA-Eintrag an, den jeder Nameserver für die Zone hat. Adressen von Servern, die nicht geantwortet haben, werden ebenfalls ausgegeben. |
+onesoa +noonesoa |
Wenn diese Option aktiviert ist, wird bei der Durchführung eines AXFR nur ein SOA-Datensatz (der erste) gedruckt.
Standardmäßig werden sowohl der Anfangs- als auch der End-SOA-Datensatz gedruckt. |
+opcode=Wert +noopcode |
Wenn diese Option aktiviert ist, wird der Opcode der DNS-Nachricht auf den angegebenen Wert gesetzt (wiederhergestellt).
Der Standardwert ist QUERY (0). |
+padding=Wert | Mit dieser Option wird die Größe des Abfragepakets unter Verwendung der EDNS-Padding-Option auf Blöcke von Wertbytes aufgefüllt.
Die Standard-Blockgröße ist 0, was das Auffüllen deaktiviert; das Maximum ist 512.
Antworten auf aufgefüllte Abfragen können ebenfalls aufgefüllt werden, aber nur, wenn die Abfrage TCP oder DNS verwendet COOKIE. |
+qid=Wert | Diese Option gibt die Abfrage-ID an, die beim Senden von Abfragen verwendet werden soll. |
+qr +noqr |
Diese Option schaltet die Anzeige der Abfragenachricht beim Senden um.
|
+Frage +Frage nicht |
Mit dieser Option wird die Anzeige des Frageteils einer Abfrage umgeschaltet, wenn eine Antwort zurückgegeben wird.
|
+raflag +noraflag |
Mit dieser Option wird das RA (Recursion Available)-Bit in der Abfrage gesetzt [oder nicht gesetzt].
|
+rdflag +nordflag |
Diese Option ist ein Synonym für +recurse, +norecurse. |
+recurse +norecurse |
Diese Option schaltet die Einstellung des Bits RD (recursion desired) in der Abfrage um. Dieses Bit ist standardmäßig gesetzt, was bedeutet, dass dig normalerweise rekursive Abfragen sendet.
|
+Wiederholung=T | Diese Option setzt die Anzahl der Wiederholungsversuche für UDP- und TCP-Anfragen an den Server auf T anstelle des Standardwerts 2. |
+rrKommentare +norrKommentare |
Diese Option schaltet die Anzeige von Kommentaren pro Datensatz in der Ausgabe ein (z. B. von Menschen lesbare Schlüsselinformationen über DNSKEY-Datensätze).
|
+suchen +nicht suchen |
Diese Option verwendet die Suchliste, die durch die searchlist- oder domain-Direktive in resolv.conf definiert ist, falls vorhanden.
ndots aus resolv.conf (Voreinstellung 1), die durch +ndots überschrieben werden kann, bestimmt, ob der Name als relativ behandelt wird und somit eine Suche durchgeführt wird. |
+kurz +noshort |
Diese Option schaltet um, ob eine kurze Antwort gegeben wird.
|
+showbadcookie +noshowbadcookie |
Diese Option schaltet um, ob die Meldung mit dem BADCOOKIE rcode angezeigt werden soll, bevor die Anfrage erneut versucht wird oder nicht.
|
+showsearch +noshowsearch |
Mit dieser Option wird eine Suche mit Zwischenergebnissen durchgeführt [oder nicht durchgeführt]. |
+sigchase +nosigchase |
Diese Funktion ist jetzt veraltet und wurde entfernt; verwenden Sie stattdessen delv. |
+split=W | Diese Option teilt lange hex- oder base64-formatierte Felder in Ressourcendatensätzen in Stücke von W Zeichen auf (wobei W auf das nächste Vielfache von 4 aufgerundet wird). +nosplit oder +split=0 bewirkt, dass Felder überhaupt nicht aufgeteilt werden. Die Vorgabe ist 56 Zeichen bzw. 44 Zeichen, wenn der Mehrzeilenmodus aktiv ist. |
+stats +nostats |
Diese Option schaltet den Ausdruck von Statistiken um.
|
+Subnetz=addr[/Präfix-Länge] +Nicht-Subnetz |
Diese Option sendet [oder nicht sendet] eine EDNS CLIENT-SUBNET Option mit der angegebenen IP
Adresse oder Netzwerkpräfix. dig +subnet=0.0.0.0/0, oder einfach kurz dig +subnet=0, sendet eine EDNS CLIENT-SUBNET Option mit einer leeren Adresse und einer Quell-Präfix-Länge von Null, was einem Resolver signalisiert, dass die Adressinformationen des Clients bei der Auflösung dieser Anfrage nicht verwendet werden dürfen. |
+tcFlag +notcFlag |
Mit dieser Option wird das TC (TrunCation)-Bit in der Anfrage gesetzt [oder nicht gesetzt].
|
+notcflag. | * Dieses Bit wird vom Server für QUERY ignoriert. |
+tcp +notcp |
Diese Option gibt an, ob bei der Abfrage von Namensservern TCP verwendet werden soll. Standardmäßig wird UDP verwendet, es sei denn, es wird eine Abfrage vom Typ any oder ixfr=N angefordert; in diesem Fall wird TCP verwendet.
|
+Zeitüberschreitung=T | Diese Option setzt den Timeout für eine Abfrage auf T Sekunden.
Ein Versuch, T auf weniger als 1 zu setzen, wird stillschweigend auf 1 gesetzt. |
+tls +notls |
Diese Option gibt an, ob DNS over TLS (DoT) bei der Abfrage von Namensservern verwendet werden soll.
|
+tls-ca[=Datei-Name] +notls-ca |
Diese Option aktiviert die TLS-Zertifikatsvalidierung von Remote-Servern für DNS-Transporte, die auf TLS beruhen.
(Datei-Name) geladen.
|
+tls-certfile=Datei-Name +tls-keyfile=Datei-Name +notls-certfile +notls-keyfile |
Diese Optionen legen den Status der zertifikatsbasierten Client-Authentifizierung für DNS
Transporte, die auf TLS beruhen.
|
+tls-hostname=hostname +notls-hostname |
Diese Option veranlasst dig, den angegebenen Hostnamen während der TLS-Zertifikatsprüfung des Remote-Servers zu verwenden.
|
+tls-ca nicht angegeben ist. | |
+topdown +notopdown |
Diese Funktion ist mit dig +sigchase verwandt, das veraltet ist und entfernt wurde.
|
+trace +notrace |
Diese Option schaltet die Verfolgung des Delegationspfads von den Root-Nameservern für den gesuchten Namen ein.
Wenn @server ebenfalls angegeben wird, betrifft dies nur die erste Abfrage nach den Nameservern der Root-Zone. +dnssec wird auch gesetzt, wenn +trace gesetzt ist, um die Standardabfragen von einem Nameserver besser zu emulieren. || +Versuche=T Mit dieser Option wird die Anzahl der Versuche für UDP- und TCP-Anfragen an den Server auf T statt auf den Standardwert 3 gesetzt.
|
+vertrauenswürdiger-schlüssel= | Diese Option legte früher vertrauenswürdige Schlüssel für die Verwendung mit dig +sigchase fest.
|
+ttlid +nottlid |
Mit dieser Option wird die TTL beim Drucken des Datensatzes angezeigt [oder nicht angezeigt]. |
+ttlunits +nottlunits |
Diese Option zeigt die TTL in den menschenfreundlichen Zeiteinheiten s, m, h, d und w an, die für Sekunden, Minuten, Stunden, Tage und Wochen stehen, oder nicht. Dies impliziert +ttlid. |
+unknownformat +nounknownformat |
Diese Option druckt alle RDATA im unbekannten RR-Typ-Präsentationsformat (RFC 3597). Standardmäßig werden RDATA für bekannte Typen im Präsentationsformat des Typs gedruckt. |
+vc +novc |
Mit dieser Option wird TCP bei der Abfrage von Nameservern verwendet [oder nicht verwendet].
|
+yaml +noyaml |
Wenn diese Option aktiviert ist, werden die Antworten (und, wenn +qr verwendet wird, auch die ausgehenden Abfragen) in einem detaillierten YAML-Format ausgegeben. |
+zflag +nozflag |
Mit dieser Option wird das letzte nicht zugewiesene DNS-Header-Flag in einer DNS-Anfrage gesetzt [oder nicht gesetzt].
Dieses Flag ist standardmäßig ausgeschaltet. |
IDN-Unterstützung
Wenn dig mit IDN-Unterstützung (internationalisierte Domänennamen) gebaut wurde, kann es Nicht-ASCII-Domänennamen akzeptieren und anzeigen.
- dig wandelt die Zeichenkodierung eines Domänennamens entsprechend um, bevor es eine Anfrage an einen DNS-Server sendet oder eine Antwort des Servers anzeigt.
- Ausschalten der IDN-Unterstützung
Zum Ausschalten der IDN-Unterstützung zu deaktivieren, verwenden Sie die Parameter
+idnin und +idnout
oder definieren Sie die Umgebungsvariable IDN_DISABLE.
Umgebung
Rückgabewert
Option | Beschreibung |
---|---|
0 | DNS response received, including NXDOMAIN status |
1 | Usage error |
8 | Couldn't open batch file |
9 | No reply from server |
10 | Internal error |
Konfiguration
- Voreinstellungen
Es ist möglich, über{HOME}/.digrc benutzerspezifische Voreinstellungen für dig zu setzen
- Diese Datei wird gelesen und alle darin enthaltenen Optionen werden vor den Befehlszeilenargumenten angewandt.
- Die Option -r deaktiviert diese Funktion für Skripte, die ein vorhersehbares Verhalten benötigen.
Dateien
Anhang
Siehe auch
Dokumentation
RFC
- RFC 1035
Man-Page
- DIG(1)
- delv(1)
- host(1)
- named(8)
- dnssec-keygen(8)
Info-Pages
- info dig
Links
Projekt
Weblinks
- https://geek-university.com/linux-deutsch/dig-befehl/
- https://linuxize.com/post/how-to-use-dig-command-to-query-dns-in-linux/ (Englisch)
- https://wiki.ubuntuusers.de/dig/