dig
11 commands
11 shown
Чистый вывод только секции answer
Убирает заголовки и статистику; показывает только секцию ответа для скриптов и сравнений
dig +noall +answer example.com
Поиск авторитативных серверов через +nssearch
Опрашивает каждый авторитативный NS напрямую; выявляет рассинхрон серийников SOA между ними
dig +nssearch example.com
Попытка трансфера зоны (AXFR)
Выгружает всю зону, если AXFR открыт; note: успех на публичном NS — это ошибка конфигурации
dig axfr @ns1.example.com example.com
Проверка цепочки DNSSEC с RRSIG
Показывает записи RRSIG; флаг AD в строке flags означает валидированный ответ
dig +dnssec +multi example.com @1.1.1.1
Трассировка делегирования без шума DNSSEC
Идёт по делегированию от корня до авторитативного, скрывая мусор RRSIG/DS
dig +trace +nodnssec example.com
Сравнение ответов двух резолверов
Выявляет split-horizon или различия из-за устаревшего кэша между резолверами
diff <(dig +short @1.1.1.1 example.com) <(dig +short @8.8.8.8 example.com)
Обратный PTR-запрос для IPv6
PTR для IPv6-адреса; -x сам раскрывает обратный формат по полубайтам
dig -x 2606:4700:4700::1111 +short
Запрос TXT, DKIM и DMARC сразу
Вытягивает TXT-записи SPF, DMARC и DKIM одним циклом для аудита почты
for r in example.com _dmarc.example.com sel._domainkey.example.com; do dig +short TXT $r; done
Проверка CAA-записей перед выпуском сертификатов
Показывает, какие CA вправе выпускать сертификаты; без CAA выпустить может любой CA
dig +short CAA example.com
Резолвинг SRV-записей для service discovery
Возвращает priority/weight/port/target сервиса; используется AD, SIP, XMPP
dig +short SRV _sip._tcp.example.com
Принудительный TCP и остаток TTL
Проверяет доступность TCP/53; +ttlunits печатает TTL как 1h/30m, а не в секундах
dig +tcp +ttlunits +noall +answer example.com @8.8.8.8
no commands match