LIBOF

Handbücher für die Kommandozeile

Man » dig Manual online - detaillierte Online-Dokumentation für die dig-Manpage

🌍 
dig - DNS-Abfragewerkzeug

SYNOPSIS

dig  [@server]  [-b adresse] [-c klasse] [-f dateiname] [-k dateiname] [-m] [-p port#] [-q name] [-t
typ] [-v] [-x addr] [-y [hmac:]name:schlüssel] [ [-4] | [-6] ] [name] [typ] [klasse] [queryopt...]

dig [-h]

dig [global-queryopt...] [abfrage...]

BESCHREIBUNG

dig ist ein flexibles Werkzeug zum Abfragen von DNS-Namenservern. Es führt DNS-Abfragen durch und zeigt
die Antworten an, die von den abgefragten Namenservern zurückgegeben werden. Die meisten DNS-Administratoren
verwenden dig zur Fehlerbehebung bei DNS-Problemen, da es flexibel, einfach zu bedienen ist und eine übersichtliche Ausgabe liefert. Andere Abfragewerkzeuge haben in der Regel weniger Funktionen als dig.

Obwohl dig normalerweise mit Befehlszeilenargumenten verwendet wird, verfügt es auch über einen Batch-Modus zum Lesen von Abfrageanforderungen aus einer Datei. Eine kurze Zusammenfassung der Befehlszeilenargumente und Optionen wird angezeigt, wenn die Option -h angegeben wird. Die BIND 9-Implementierung von dig ermöglicht die Ausgabe mehrerer Abfragen von der Befehlszeile.

Wenn es nicht angewiesen wird, einen bestimmten Namenserver abzufragen, versucht dig, jeden der in /etc/resolv.conf aufgeführten Server abzufragen. Wenn keine verwendbaren Serveradressen gefunden werden, sendet dig die Abfrage an den lokalen Host.

Wenn keine Befehlszeilenargumente oder Optionen angegeben werden, führt dig eine NS-Abfrage für "." (die Root-Zone) aus.

Es ist möglich, Benutzereinstellungen für dig über ${HOME}/.digrc festzulegen. Diese Datei wird gelesen und alle darin enthaltenen Optionen werden angewendet, bevor die Befehlszeilenargumente verarbeitet werden. Die Option -r deaktiviert diese Funktion für Skripte, die ein vorhersehbares Verhalten benötigen.

Die IN- und CH-Klassennamen überschneiden sich mit den IN- und CH-Top-Level-Domainnamen. Verwenden Sie entweder die Optionen -t und -c, um den Typ und die Klasse anzugeben, verwenden Sie -q, um den Domänennamen anzugeben, oder verwenden Sie "IN." und "CH.", wenn Sie diese Top-Level-Domains abfragen.

EINFACHE VERWENDUNG

Ein typischer Aufruf von dig sieht wie folgt aus:

dig @server name typ

wobei:

server der Name oder die IP-Adresse des abzufragenden Namenservers ist. Dies kann eine IPv4-Adresse in dezimaler Notation oder eine IPv6-Adresse in durch Doppelpunkte getrennter Notation sein. Wenn das angegebene Serverargument ein Hostname ist, löst dig diesen Namen auf, bevor er den Namenserver abfragt.

Wenn kein Serverargument angegeben wird, konsultiert dig /etc/resolv.conf; wenn dort eine Adresse gefunden wird, fragt es den Namenserver an dieser Adresse ab. Wenn entweder die Option -4 oder -6 verwendet wird, werden nur Adressen für das entsprechende Transportprotokoll versucht. Wenn keine verwendbaren Adressen gefunden werden, sendet dig die Abfrage an den lokalen Host. Die Antwort des Namenservers, der antwortet, wird angezeigt.

name ist der Name des abzufragenden Ressourcen-Records.

type gibt an, welche Art von Abfrage erforderlich ist – ANY, A, MX, SIG usw. type kann jeder gültige
Abfragetyp sein. Wenn kein Typargument angegeben wird, führt dig eine Suche nach einem A-Eintrag durch.

OPTIONEN

-4     Diese Option gibt an, dass nur IPv4 verwendet werden soll.

-6     Diese Option gibt an, dass nur IPv6 verwendet werden soll.

-b adresse[#port]

Diese Option setzt die Quell-IP-Adresse der Abfrage. Die Adresse muss eine gültige Adresse auf einer der Netzwerkschnittstellen des Hosts sein oder "0.0.0.0" oder "::". Ein optionaler Port kann angegeben werden, indem #port angehängt wird.

-c klasse

Diese Option setzt die Abfrageklasse. Die Standardklasse ist IN; andere Klassen sind HS für Hesiod- Einträge oder CH für Chaosnet-Einträge.

-f datei

Diese Option setzt den Batch-Modus, in dem dig eine Liste von Suchanfragen zum Verarbeiten aus der gegebenen Datei liest. Jede Zeile in der Datei sollte so organisiert sein, wie sie als Abfrage an dig über die Kommandozeile präsentiert würde.

-h     Gibt eine Zusammenfassung der Verwendung aus.

-k schlüsseldDatei

Diese Option weist dig an, Abfragen mit TSIG oder SIG(0) unter Verwendung eines Schlüssels aus der angegebenen Datei zu signieren. Schlüsseldateien können mit tsig-keygen generiert werden. Bei der Verwendung der TSIG-Authentifizierung mit dig muss der abgefragte Nameserver den Schlüssel und den Algorithmus kennen, der verwendet wird. In BIND geschieht dies, indem in named.conf die entsprechenden Schlüssel- und Serveranweisungen für TSIG und durch das Nachschlagen des KEY-Eintrags in den Zonendaten für SIG(0) angegeben werden.

-m     Diese Option aktiviert das Debugging der Speichernutzung.

-p port

Diese Option sendet die Abfrage an einen nicht standardmäßigen Port auf dem Server, anstatt an den Standard- Port 53. Diese Option wird verwendet, um einen Nameserver zu testen, der so konfiguriert ist, dass er auf einen nicht standardmäßigen Port hört Abfragen.

-q name

Diese Option gibt den Domänennamen an, der abgefragt werden soll. Dies ist nützlich, um den Namen von anderen Argumenten zu unterscheiden.

-r     Diese Option gibt an, dass die Optionen aus ${HOME}/.digrc nicht gelesen werden sollen. Dies ist nützlich
für Skripte, die ein vorhersehbares Verhalten benötigen.

-t typ

Diese Option gibt den Ressourceneintragstyp an, nach dem abgefragt werden soll, was jeder gültige Abfrage- typ sein kann. Wenn es sich um einen Ressourceneintragstyp handelt, der in BIND 9 unterstützt wird, kann er mit dem Typ- Mnemonic (z. B. NS oder AAAA) angegeben werden. Der Standardabfragetyp ist A, es sei denn, die Option -x wird verwendet, um eine inverse Suche anzugeben. Eine Zonentransfer kann durch Angabe eines Typs von AXFR angefordert werden. Wenn ein inkrementeller Zonentransfer (IXFR) erforderlich ist, setzen Sie den Typ auf ixfr=N. Der inkrementelle Zonentransfer enthält alle Änderungen, die an der Zone vorgenommen wurden, seit die Seriennummer im SOA-Eintrag der Zone N war.

Alle Ressourceneintragstypen können als TYPEmm ausgedrückt werden, wobei mm die Nummer des Typs ist. Wenn der Ressourceneintragstyp nicht in BIND 9 unterstützt wird, wird das Ergebnis wie in RFC 3597 beschrieben angezeigt.

-u     Diese Option gibt an, dass die Abfragezeiten in Mikrosekunden und nicht in Millisekunden angegeben werden sollen.

-v     Diese Option gibt die Versionsnummer aus und beendet das Programm.

-x addr

Diese Option setzt vereinfachte Reverse-Lookups, um Adressen Namen zuzuordnen. Die Adresse addr ist eine IPv4-Adresse im dezimalpunktierten Format oder eine durch Doppelpunkte getrennte IPv6-Adresse. Wenn die Option -x verwendet wird, ist es nicht erforderlich, die Argumente Name, Klasse und Typ anzugeben. dig führt automatisch eine Suche für einen Namen wie 94.2.0.192.in-addr.arpa durch und setzt den Abfragetyp und die Klasse auf PTR bzw. IN. IPv6-Adressen werden mit dem Nibble-Format unter der IP6.ARPA-Domäne gesucht.

-y [hmac:]keyname:secret

Diese Option signiert Abfragen mit TSIG unter Verwendung des angegebenen Authentifizierungsschlüssels. keyname ist der Name des Schlüssels, und secret ist das Base64-kodierte gemeinsame Geheimnis. hmac ist der Name des Schlüsselalgorithmus; gültige Optionen sind hmac-md5, hmac-sha1, hmac-sha224, hmac-sha256, hmac-sha384 oder hmac-sha512. Wenn hmac nicht angegeben wird, ist der Standardwert hmac-md5; wenn MD5 deaktiviert wurde, ist der Standardwert hmac-sha256.

HINWEIS:

Es sollte nur die Option -k verwendet werden, anstatt der Option -y, da bei -y das gemeinsame Geheimnis als Klartext-Argument in der Befehlszeile angegeben wird. Dies kann in der Ausgabe von ps1 oder in einer vom Benutzer-Shell verwalteten Historiedatei sichtbar sein.

ABFRAGEOPTIONEN

^ ig bietet eine Reihe von Abfrageoptionen, die beeinflussen, wie Suchvorgänge durchgeführt werden und wie die Ergebnisse angezeigt werden. Einige dieser Optionen setzen oder setzen Bits im Abfrage-Header zurück, einige bestimmen, welche Abschnitte der Antwort gedruckt werden, und andere bestimmen die Timeout- und Wiederholungsstrategien.

Jede Abfrageoption wird durch ein Schlüsselwort identifiziert, dem ein Pluszeichen (+) vorangestellt ist. Einige Schlüsselwörter setzen oder setzen eine Option zurück; diese können durch die Zeichenfolge no vorangestellt werden, um die Bedeutung dieses Schlüsselworts aufzuheben. Andere Schlüsselwörter weisen Optionen Werte zu, z. B. das Timeout-Intervall. Sie haben die Form +Schlüsselwort=Wert. Schlüsselwörter können abgekürzt werden, sofern die Abkürzung eindeutig ist; zum Beispiel ist +cd gleichbedeutend mit +cdflag. Die Abfrageoptionen sind:

+aaflag, +noaaflag

Diese Option ist ein Synonym für +aaonly, +noaaonly.

+aaonly, +noaaonly

Diese Option setzt das aa-Flag in der Abfrage.

+additional, +noadditional

Diese Option zeigt [oder zeigt nicht] den zusätzlichen Abschnitt einer Antwort an. Standardmäßig wird dieser angezeigt.

+adflag, +noadflag

Diese Option setzt [oder setzt nicht] das AD-Bit (Authentische Daten) in der Abfrage. Dies fordert den Server auf, zurückzugeben, ob alle Abschnitte der Antwort und der Autorität als sicher validiert wurden, gemäß der Sicherheitsrichtlinie des Servers. AD=1 zeigt an, dass alle Datensätze als sicher validiert wurden und die Antwort nicht aus einem OPT-OUT-Bereich stammt. AD=0 zeigt an, dass ein Teil der Antwort unsicher oder nicht validiert war. Dieses Bit ist standardmäßig gesetzt.

+all, +noall

Diese Option setzt oder löscht alle Anzeigeflags.

+answer, +noanswer

Diese Option zeigt [oder zeigt nicht] den Antwortabschnitt einer Antwort an. Standardmäßig wird dieser angezeigt.

+authority, +noauthority

Diese Option zeigt [oder zeigt nicht] den Autoritätsabschnitt einer Antwort an. Standardmäßig wird dieser angezeigt.

+badcookie, +nobadcookie

Diese Option versucht die Suche erneut mit einem neuen Server-Cookie, wenn eine BADCOOKIE-Antwort empfangen wird.

+besteffort, +nobesteffort

Diese Option versucht, den Inhalt von fehlerhaften Nachrichten anzuzeigen. Standardmäßig werden fehlerhafte Antworten nicht angezeigt.

+bufsize[=B]

Diese Option setzt die UDP-Nachrichtenpuffergröße, die mit EDNS0 verwendet wird, auf B Bytes. Die maximale und minimale Größe dieses Puffers beträgt jeweils 65535 und 0. +bufsize stellt die Standardpuffergröße wieder her.

+cd, +cdflag, +nocdflag

Diese Option setzt [oder setzt nicht] das CD-Bit (Checking Disabled) in der Abfrage. Dies fordert den Server auf, keine DNSSEC-Validierung der Antworten durchzuführen.

+class, +noclass

Diese Option zeigt [oder zeigt nicht] die KLASSE beim Drucken des Datensatzes an.

+cmd, +nocmd

Diese Option schaltet das Drucken des anfänglichen Kommentars in der Ausgabe ein oder aus, der die Version von dig und die angewendeten Abfrageoptionen identifiziert. Diese Option hat immer eine globale Wirkung; sie kann nicht global festgelegt und dann für einzelne Abfragen überschrieben werden. Standardmäßig wird dieser Kommentar gedruckt.

+coflag, +co, +nocoflag, +noco

Diese Option setzt [oder setzt nicht] das CO-Bit (Compact Denial of Existence Ok) im EDNS-Abschnitt der Abfrage. Wenn es gesetzt ist, teilt es den Servern mit, dass kompakte Antworten zur Ablehnung der Existenz akzeptabel sind, wenn sie auf Abfragen antworten. Standardmäßig ist +nocoflag gesetzt.

+comments, +nocomments

Diese Option schaltet die Anzeige einiger Kommentarzeilen in der Ausgabe ein oder aus, mit Informationen zum Paket-Header und dem OPT-Pseudosektion sowie den Namen des Antwortabschnitts. Standardmäßig werden diese Kommentare gedruckt.

Andere Arten von Kommentaren in der Ausgabe sind von dieser Option nicht betroffen, können aber mit anderen Befehlszeilenoptionen gesteuert werden. Dazu gehören +cmd, +question, +stats und +rrcomments.

+cookie=####, +nocookie

Diese Option sendet [oder sendet nicht] eine COOKIE-EDNS-Option, optional mit einem Wert. Das erneute Senden eines COOKIE von einer vorherigen Antwort ermöglicht es dem Server, einen vorherigen Client zu identifizieren. Standardmäßig ist +cookie gesetzt.

+cookie wird auch dann gesetzt, wenn +trace gesetzt ist, um die Standardabfragen von einem Namenserver besser zu emulieren.

+crypto, +nocrypto

Diese Option schaltet die Anzeige kryptografischer Felder in DNSSEC-Datensätzen ein oder aus. Der Inhalt dieser Felder ist für die Fehlersuche bei den meisten DNSSEC-Validierungsfehlern nicht erforderlich, und das Entfernen erleichtert die Anzeige der häufigen Fehler. Standardmäßig werden die Felder angezeigt. Wenn sie weggelassen werden, werden sie durch die Zeichenkette [omitted] ersetzt, oder im Fall von DNSKEY wird stattdessen die Schlüssel-ID als Ersatz angezeigt, z. B. [ key id = value ].

+defname, +nodefname

Diese Option, die veraltet ist, wird wie +search, +nosearch behandelt.

+dns64prefix, +nodns64prefix

Sucht nach IPV4ONLY.ARPA AAAA und gibt alle gefundenen DNS64-Präfixe aus.

+dnssec, +do, +nodnssec, +nodo

Diese Option fordert an, dass DNSSEC-Datensätze gesendet werden, indem das DNSSEC-OK-Bit (DO) im OPT-Datensatz im zusätzlichen Abschnitt der Abfrage gesetzt wird.

+domain=somename

Diese Option setzt die Suchliste so, dass sie die einzelne Domäne somename enthält, wie in einer Domain-Direktive in /etc/resolv.conf angegeben, und aktiviert die Verarbeitung der Suchliste, als ob die Option +search angegeben worden wäre.

+edns[=#], +noedns

Diese Option gibt die EDNS-Version an, mit der abgefragt werden soll. Gültige Werte sind 0 bis 255. Das Setzen der EDNS-Version führt dazu, dass eine EDNS-Abfrage gesendet wird. +noedns löscht die gespeicherte EDNS-Version. EDNS ist standardmäßig auf 0 gesetzt.

+ednsflags[=#], +noednsflags

Diese Option setzt die EDNS-Flags-Bits (Z-Bits), die Null sein müssen, auf den angegebenen Wert. Dezimale, hexadezimale und oktale Kodierungen werden akzeptiert. Das Setzen eines benannten Flags (z. B. DO, CO) wird stillschweigend ignoriert. Standardmäßig sind keine Z-Bits gesetzt.

+ednsnegotiation, +noednsnegotiation

Diese Option aktiviert/deaktiviert die EDNS-Versionsverhandlung. Standardmäßig ist die EDNS-Versionsverhandlung aktiviert.

+ednsopt[=code[:value]], +noednsopt

Diese Option gibt die EDNS-Option mit dem Codepunkt code und optional einer Nutzlast value als hexadezimale Zeichenkette an. code kann entweder ein EDNS-Optionsname (z. B. NSID oder ECS) oder ein beliebiger numerischer Wert sein. +noednsopt löscht die EDNS-Optionen, die gesendet werden sollen.

+expire, +noexpire

Diese Option sendet eine EDNS-Expire-Option.

+fail, +nofail

Diese Option gibt an, dass named den nächsten Server versuchen soll [oder nicht], wenn ein SERVFAIL empfangen wird. Standardmäßig wird nicht versucht, den nächsten Server zu verwenden, was das Gegenteil des normalen Stub-Resolver-Verhaltens ist.

+fuzztime[=value], +nofuzztime

Diese Option ermöglicht die Angabe der Signierzeit beim Generieren von signierten Nachrichten. Wenn ein Wert angegeben wird, ist dies die Anzahl der Sekunden seit 00:00:00 am 1. Januar 1970 UTC, wobei Schaltsekunden ignoriert werden. Wenn kein Wert angegeben wird, wird 1646972129 (Fr, 11. März 2022, 04:15:29 UTC) verwendet. Standardmäßig ist +nofuzztime gesetzt und die aktuelle Zeit wird verwendet.

+header-only, +noheader-only

Diese Option sendet eine Abfrage mit einem DNS-Header ohne einen Frageabschnitt. Standardmäßig wird ein Frageabschnitt hinzugefügt. Der Abfragetyp und der Abfragename werden ignoriert, wenn dies festgelegt ist.

+https[=value], +nohttps

Diese Option gibt an, ob DNS über HTTPS (DoH) beim Abfragen von Nameservern verwendet werden soll. Wenn sich diese Option in Verwendung befindet, ist der Standardport 443. Der HTTP-POST-Anforderungsmodus wird zum Senden der Abfrage verwendet.

Wenn ein Wert angegeben wird, wird dieser als HTTP-Endpunkt in der Abfrage-URI verwendet; der Standard ist /dns-query. Zum Beispiel verwendet `dig @example.com +https` die URI `https://example.com/dns-query`.

+https-get[=value], +nohttps-get

Ähnlich wie +https, außer dass der HTTP-GET-Anforderungsmodus zum Senden der Abfrage verwendet wird.

+https-post[=value], +nohttps-post

Gleich wie +https.

+http-plain[=value], +nohttp-plain

Ähnlich wie +https, außer dass HTTP-Abfragen über einen nicht verschlüsselten Kanal gesendet werden. Wenn sich diese Option in Verwendung befindet, ist der Standardport 80 und der HTTP-Anforderungsmodus ist POST.

+http-plain-get[=value], +nohttp-plain-get

Ähnlich wie +http-plain, außer dass der HTTP-Anforderungsmodus GET ist.

+http-plain-post[=value], +nohttp-plain-post

Gleich wie +http-plain.

+identify, +noidentify

Diese Option zeigt [oder zeigt nicht] die IP-Adresse und Portnummer an, die die Antwort geliefert hat, wenn die Option +short aktiviert ist. Wenn kurze Antworten angefordert werden, ist die Standardeinstellung, dass die Quelladresse und Portnummer des Servers, der die Antwort geliefert hat, nicht angezeigt werden.

+idn, +noidn

Aktiviert oder deaktiviert die IDN-Verarbeitung. Standardmäßig ist IDN für eingehende Abfragenamen aktiviert und für die Anzeige, wenn die Ausgabe ein Terminal ist.

Sie können die IDN-Verarbeitung von dig auch deaktivieren, indem Sie die Umgebungsvariable IDN_DISABLE festlegen.

+ignore, +noignore

Diese Option ignoriert [oder ignoriert nicht] die Trunkierung in UDP-Antworten, anstatt mit TCP erneut zu versuchen. Standardmäßig werden TCP-Wiederholversuche durchgeführt.

+keepalive, +nokeepalive

Diese Option sendet [oder sendet nicht] eine EDNS-Keepalive-Option.

+keepopen, +nokeepopen

Diese Option hält [oder hält nicht] die TCP-Socket-Verbindung zwischen den Abfragen aufrecht und verwendet sie wieder, anstatt für jede Abfrage eine neue TCP-Socket-Verbindung zu erstellen. Standardmäßig ist +nokeepopen eingestellt.

+multiline, +nomultiline

Diese Option gibt [oder gibt nicht] Datensätze, wie z. B. SOA-Datensätze, in einem ausführlichen, mehrzeiligen Format mit lesbaren Kommentaren aus. Standardmäßig wird jeder Datensatz in einer einzigen Zeile ausgegeben, um die maschinelle Verarbeitung der dig-Ausgabe zu erleichtern.

+ndots=D

Mit dieser Option wird die Anzahl der Punkte (D) festgelegt, die in einem Namen vorhanden sein müssen, damit er als absolut betrachtet wird. Der Standardwert ist der Wert, der mit der Anweisung ndots in /etc/resolv.conf definiert ist, oder 1, wenn keine Anweisung ndots vorhanden ist. Namen mit weniger Punkten werden als relative Namen interpretiert und in den in der Anweisung search oder domain in /etc/resolv.conf aufgeführten Domänen gesucht, wenn +search gesetzt ist.

+nsid, +nonsid

Wenn diese Option aktiviert ist, wird eine EDNS-Anforderung für eine Namenserver-ID beim Senden einer Abfrage hinzugefügt.

+nssearch, +nonssearch

Wenn diese Option gesetzt ist, versucht dig, die autorisierenden Namensserver für die Zone zu finden, die den Namen enthält, nach dem gesucht wird, und den SOA-Datensatz anzuzeigen, den jeder Namensserver für die Zone hat. Die Adressen von Servern, die nicht geantwortet haben, werden ebenfalls ausgegeben.

+onesoa, +noonesoa

Wenn diese Option aktiviert ist, wird nur ein (start-)SOA-Datensatz ausgegeben, wenn ein AXFR durchgeführt wird. Standardmäßig werden sowohl der Start- als auch der End-SOA-Datensatz ausgegeben.

+opcode=value, +noopcode

Wenn diese Option aktiviert ist, wird der DNS-Nachrichten-Opcode auf den angegebenen Wert gesetzt (wiederhergestellt). Der Standardwert ist QUERY (0).

+padding=value

Diese Option füllt die Größe des Abfragepakets mithilfe der EDNS-Padding-Option in Blöcken der angegebenen Wert-Größe auf. Zum Beispiel bewirkt +padding=32, dass ein 48-Byte-Abfragepaket auf 64 Byte aufgefüllt wird. Die Standardblockgröße ist 0, wodurch das Padding deaktiviert wird; das Maximum ist 512. Werte sollten normalerweise Potenzen von 2 sein, wie z. B. 128; dies ist jedoch nicht zwingend erforderlich. Antworten auf aufgefüllte Abfragen können ebenfalls aufgefüllt werden, aber nur, wenn die Abfrage TCP oder DNS COOKIE verwendet.

+proxy[=src_addr[#src_port]-dst_addr[#dst_port]], +noproxy

Wenn diese Option gesetzt ist, fügt dig PROXYv2-Header zu den Abfragen hinzu. Wenn Quell- und Zieladressen angegeben werden, enthalten die Header diese und verwenden den Befehl PROXY. Dies bedeutet für den Remote-Peer, dass die Abfragen im Namen eines anderen Knotens gesendet wurden und dass der PROXYv2-Header die ursprünglichen Verbindungsendpunkte widerspiegelt. Der Standard-Quellport ist 0 und der Zielport ist 53.

Für verschlüsselte DNS-Transports wird die Verschlüsselung auf die PROXYv2-Header angewendet, um versehentliche Informationslecks zu verhindern: Die Header werden direkt nach Abschluss des Handshake-Prozesses gesendet.

Für unverschlüsselte DNS-Transports wird keine Verschlüsselung auf die PROXYv2-Header angewendet.

Wenn die Adressen weggelassen werden, werden stattdessen PROXYv2-Header verwendet, die den LOCAL-Befehlssatz verwenden. Für den Remote-Peer bedeutet dies, dass die Abfragen absichtlich gesendet wurden, ohne dass sie weitergeleitet werden, sodass die tatsächlichen Verbindungs-Endpunktadressen verwendet werden müssen.

+proxy-plain[=src_addr[#src_port]-dst_addr[#dst_port], +noproxy-plain

Das Gleiche wie +[no]proxy, aber es wird dig angewiesen, die PROXYv2-Header vor jeglicher Verschlüsselung, bevor Handshake-Nachrichten gesendet werden, zu senden. Dadurch verhält sich dig genau so, wie es in der PROXY-Protokollspezifikation beschrieben ist, aber nicht alle Software erwarten dieses Verhalten.

Bitte konsultieren Sie die Softwaredokumentation, um herauszufinden, ob Sie diese Option benötigen (z. B. erwartet dnsdist verschlüsselte PROXYv2-Header, die über TLS gesendet werden, wenn Verschlüsselung verwendet wird, während HAProxy und viele andere Softwarepakete unverschlüsselte Header erwarten).

Für unverschlüsselte DNS-Transports ist diese Option effektiv ein Alias für die oben beschriebene Option +[no]proxy.

+qid=value

Diese Option gibt die zu verwendende Abfrage-ID an, wenn Abfragen gesendet werden.

+qr, +noqr

Diese Option schaltet die Anzeige der Abfragenachricht beim Senden ein oder aus. Standardmäßig wird die Abfrage nicht ausgegeben.

+question, +noquestion

Diese Option schaltet die Anzeige des Fragenabschnitts einer Abfrage an, wenn eine Antwort zurückgegeben wird, ein oder aus. Standardmäßig wird der Fragenabschnitt als Kommentar ausgegeben.

+raflag, +noraflag

Diese Option setzt [oder setzt nicht] das RA-Bit (Recursion Available) in der Abfrage. Standardmäßig ist +noraflag eingestellt. Dieses Bit wird für QUERY vom Server ignoriert.

+rdflag, +nordflag

Diese Option ist ein Synonym für +recurse, +norecurse.

+recurse, +norecurse

Diese Option schaltet das Setzen des RD-Bits (Recursion Desired) in der Abfrage ein oder aus. Dieses Bit ist standardmäßig gesetzt, was bedeutet, dass dig normalerweise rekursive Abfragen sendet. Die Rekursion wird automatisch deaktiviert, wenn die Abfrageoption +nssearch oder +trace verwendet wird.

+retry=T

Diese Option setzt die Anzahl der Wiederholungen von UDP- und TCP-Abfragen an den Server auf T anstelle des Standardwerts von 2. Im Gegensatz zu +tries beinhaltet dies nicht die anfängliche Abfrage.

+rrcomments, +norrcomments

Diese Option schaltet die Anzeige von Kommentaren pro Datensatz in der Ausgabe ein oder aus (z. B. menschenlesbare Schlüsselinformationen über DNSKEY-Datensätze). Standardmäßig werden keine Datensatzkommentare ausgegeben, es sei denn, der Mehrzeilenmodus ist aktiv.

+search, +nosearch

Diese Option verwendet [oder verwendet nicht] die Suchliste, die durch die Direktive searchlist oder domain in resolv.conf definiert ist, falls vorhanden. Die Suchliste wird standardmäßig nicht verwendet.

ndots aus resolv.conf (Standardwert 1), die durch +ndots überschrieben werden können, bestimmt,
ob der Name als relativ behandelt wird und ob daher eine Suche durchgeführt wird.

+short, +noshort

Diese Option schaltet um, ob eine kurze Antwort ausgegeben wird. Standardmäßig wird die Antwort in einer ausführlichen Form ausgegeben. Diese Option hat immer eine globale Wirkung; sie kann nicht global festgelegt und dann für jede Abfrage überschrieben werden.

+showbadcookie, +noshowbadcookie

Diese Option schaltet um, ob die Nachricht, die den BADCOOKIE-Rcode enthält, vor dem erneuten Versuch der Anforderung angezeigt werden soll oder nicht. Standardmäßig werden die Nachrichten nicht angezeigt.

+showbadvers, +noshowbadvers

Diese Option schaltet um, ob die Nachricht, die den BADVERS-Rcode enthält, vor dem erneuten Versuch der Anforderung angezeigt werden soll oder nicht. Standardmäßig werden die Nachrichten nicht angezeigt.

+showsearch, +noshowsearch

Diese Option führt [oder führt nicht] eine Suche durch und zeigt dabei Zwischenergebnisse an.

+split=W

Diese Option teilt lange hexadezimale oder Base64-formatierte Felder in Ressourcen-Datensätzen in Blöcke von W Zeichen auf (wobei W auf die nächste durch 4 teilbare Zahl aufgerundet wird). +nosplit oder +split=0 verhindert, dass Felder überhaupt aufgeteilt werden. Standardmäßig sind dies 56 Zeichen oder 44 Zeichen, wenn der Mehrzeilenmodus aktiv ist.

+stats, +nostats

Diese Option schaltet das Drucken von Statistiken ein oder aus: Zeitpunkt der Abfrage, Größe der Antwort usw. Standardmäßig werden die Abfragestatistiken als Kommentar nach jeder Abfrage ausgegeben.

+subnet=addr[/prefix-length], +nosubnet

Diese Option sendet [oder sendet nicht] eine EDNS CLIENT-SUBNET-Option mit der angegebenen IP- Adresse oder dem angegebenen Netzwerkpräfix.

dig +subnet=0.0.0.0/0 oder einfach dig +subnet=0 sendet eine EDNS CLIENT-SUBNET-Option mit einer leeren Adresse und einer Quellpräfixlänge von Null, wodurch ein Resolver
dargestellt wird, dass die Adressinformationen des Clients bei der Auflösung dieser Abfrage nicht verwendet werden dürfen.

+tcflag, +notcflag

Diese Option setzt [oder setzt nicht] das TC-Bit (TrunCation) in der Abfrage. Standardmäßig ist +notcflag eingestellt. Dieses Bit wird vom Server für QUERY ignoriert.

+tcp, +notcp

Diese Option gibt an, ob bei der Abfrage von Namenservern TCP verwendet werden soll. Standardmäßig wird UDP verwendet, es sei denn, es wird eine Abfrage vom Typ „any“ oder „ixfr=N“ angefordert, in diesem Fall ist der Standardwert TCP. AXFR-Abfragen verwenden immer TCP. Um eine Wiederholung über TCP zu verhindern, wenn TC=1 von einer UDP-Abfrage zurückgegeben wird, verwenden Sie +ignore.

+timeout=T

Diese Option setzt den Timeout für eine Abfrage auf T Sekunden. Der Standard-Timeout beträgt 5 Sekunden. Ein Versuch, T auf weniger als 1 zu setzen, wird stillschweigend auf 1 gesetzt.

+tls, +notls

Diese Option gibt an, ob DNS über TLS (DoT) bei der Abfrage von Namenservern verwendet werden soll. Wenn diese Option verwendet wird, ist der Standardport 853.

+tls-ca[=file-name], +notls-ca

Diese Option aktiviert die Remote-Server-TLS-Zertifikatsvalidierung für DNS-Transporte und verlässt sich auf TLS. Zertifikatsautoritätszertifikate werden aus der angegebenen PEM-Datei (Dateiname) geladen. Wenn die Datei nicht angegeben ist, werden die Standardzertifikate aus dem globalen Zertifikatsspeicher verwendet.

+tls-certfile=dateiname, +tls-keyfile=dateiname, +notls-certfile, +notls-keyfile

Diese Optionen legen den Status der zertifikatsbasierten Client-Authentifizierung für DNS-Transports fest, die auf TLS setzen. Sowohl die Zertifikatsketten-Datei als auch die Private-Key-Datei müssen im PEM-Format vorliegen. Beide Optionen müssen gleichzeitig angegeben werden.

+tls-hostname=hostname, +notls-hostname

Diese Option bewirkt, dass dig den angegebenen Hostnamen während der TLS-Zertifikatsprüfung des Remote-Servers verwendet. Andernfalls wird der DNS-Servername verwendet. Diese Option hat keine Auswirkungen, wenn +tls-ca nicht angegeben ist.

+trace, +notrace

Diese Option aktiviert oder deaktiviert die Verfolgung des Delegierungspfads von den Root-Nameservern für den gesuchten Namen. Die Verfolgung ist standardmäßig deaktiviert. Wenn die Verfolgung aktiviert ist, führt dig iterative Abfragen aus, um den gesuchten Namen aufzulösen. Es folgt den Verweisen von den Root-Servern und zeigt die Antwort von jedem Server an, der zur Auflösung der Abfrage verwendet wurde.

Wenn auch @server angegeben ist, betrifft dies nur die erste Abfrage für die Root-Zonen-Nameserver.

+dnssec ist gesetzt, wenn +trace gesetzt ist, um die Standardabfragen von einem Nameserver besser zu emulieren.

Beachten Sie, dass die delv +ns-Option auch verwendet werden kann, um die Auflösung eines Namens von der Root aus zu verfolgen (siehe delv).

+tries=T

Diese Option legt die Anzahl der Versuche für UDP- und TCP-Abfragen an den Server auf T anstelle des Standardwerts 3 fest. Wenn T kleiner oder gleich Null ist, wird die Anzahl der Versuche stillschweigend auf 1 aufgerundet.

+ttlid, +nottlid

Diese Option zeigt [oder zeigt nicht] die TTL an, wenn der Datensatz ausgegeben wird.

+ttlunits, +nottlunits

Diese Option zeigt [oder zeigt nicht] die TTL in einer benutzerfreundlichen, lesbaren Zeitangabe in s, m, h, d und w an, die Sekunden, Minuten, Stunden, Tage und Wochen darstellen. Dies impliziert +ttlid.

+unknownformat, +nounknownformat

Diese Option gibt alle RDATA im unbekannten RR-Typ-Präsentationsformat (RFC 3597) aus. Standardmäßig werden RDATA für bekannte Typen im Typ-Präsentationsformat ausgegeben.

+vc, +novc

Diese Option verwendet [oder verwendet nicht] TCP beim Abfragen von Nameservern. Diese alternative Syntax zu +tcp wird zur Abwärtskompatibilität bereitgestellt. vc steht für „Virtual Circuit“.

+yaml, +noyaml

Wenn diese Option aktiviert ist, gibt sie die Antworten (und, wenn +qr verwendet wird, auch die ausgehenden Abfragen) in einem detaillierten YAML-Format aus.

+zflag, +nozflag

Diese Option setzt [oder setzt nicht] das letzte, nicht zugewiesene DNS-Header-Flag in einer DNS-Abfrage. Dieses Flag ist standardmäßig deaktiviert.

MEHRERE ABFRAGEN

Die BIND 9-Implementierung von dig unterstützt die Angabe mehrerer Abfragen über die Befehlszeile (zusätzlich zur Unterstützung der Option -f für die Batch-Datei). Jede dieser Abfragen kann mit einem eigenen Satz von Flags, Optionen und Abfrageoptionen versehen werden.

In diesem Fall stellt jedes Abfrageargument eine einzelne Abfrage in der oben beschriebenen Befehlszeilensyntax dar. Jede besteht aus allen Standardoptionen und -flags, dem Namen, der gesucht werden soll, einem optionalen Abfragetyp und einer Klasse sowie allen Abfrageoptionen, die auf diese Abfrage angewendet werden sollen.

Ein globaler Satz von Abfrageoptionen, die auf alle Abfragen angewendet werden sollen, kann ebenfalls angegeben werden. Diese globalen Abfrageoptionen müssen den ersten Tupel aus Name, Klasse, Typ, Optionen, Flags und Abfrageoptionen, die über die Befehlszeile übergeben werden, vorausgehen. Alle globalen Abfrageoptionen (außer +cmd und +short-Optionen) können durch einen abfragespezifischen Satz von Abfrageoptionen überschrieben werden. Zum Beispiel:

dig +qr www.isc.org any -x 127.0.0.1 isc.org ns +noqr

zeigt, wie dig von der Befehlszeile aus verwendet werden kann, um drei Nachschlagen durchzuführen: eine ANY-Abfrage für www.isc.org, eine Reverse-Abfrage von 127.0.0.1 und eine Abfrage für die NS-Einträge von isc.org. Eine globale Abfrageoption von +qr wird angewendet, so dass dig die anfängliche Abfrage anzeigt, die für jede Nachschlage durchgeführt wurde. Die letzte Abfrage hat eine lokale Abfrageoption von +noqr, was bedeutet, dass dig die anfängliche Abfrage nicht ausgibt, wenn es die NS-Einträge für isc.org nachschlägt.

RÜCKGABECODES

dig-Rückgabecodes sind:

0     DNS-Antwort empfangen, einschließlich des NXDOMAIN-Status

1     Verwendungsfehler

8     Batch-Datei konnte nicht geöffnet werden

9     Keine Antwort vom Server

10    Interner Fehler

DATEIEN

/etc/resolv.conf

${HOME}/.digrc

SIEHE AUCH

delv(1), host(1), named(8), dnssec-keygen(8), RFC 1035.

FEHLER

Es gibt wahrscheinlich zu viele Abfrageoptionen.

AUTOR

Internet Systems Consortium

URHEBERRECHT

2025 Internet Systems Consortium