dig - utilitaire de recherche DNS
SYNTAXE
dig [@server] [-b adresse] [-c classe] [-f fichier] [-k fichier] [-m] [-p port#] [-q nom] [-t
type] [-v] [-x addr] [-y [hmac:]nom:clé] [ [-4] | [-6] ] [nom] [type] [classe] [queryopt...]
dig [-h]
dig [global-queryopt...] [requête...]
DESCRIPTION
dig est un outil flexible pour interroger les serveurs de noms DNS. Il effectue des recherches DNS et affiche les réponses renvoyées par les serveurs de noms interrogés. La plupart des administrateurs DNS utilisent dig pour résoudre les problèmes DNS en raison de sa flexibilité, de sa facilité d'utilisation et de la clarté de sa sortie. Les autres outils de recherche ont tendance à avoir moins de fonctionnalités que dig.
Bien que dig soit normalement utilisé avec des arguments de ligne de commande, il dispose également d'un mode de fonctionnement par lots pour lire les requêtes à partir d'un fichier. Un bref résumé de ses arguments et options de ligne de commande est affiché lorsque l'option -h est fournie. L'implémentation BIND 9 de dig permet d'effectuer plusieurs recherches à partir de la ligne de commande.
À moins qu'il ne soit spécifié de ne pas interroger un serveur de noms spécifique, dig tente d'interroger chacun des serveurs répertoriés dans /etc/resolv.conf. Si aucune adresse de serveur utilisable n'est trouvée, dig envoie la requête à l'hôte local.
Lorsque aucun argument ou option de ligne de commande n'est fourni, dig effectue une requête NS pour "." (la racine).
Il est possible de définir des valeurs par défaut par utilisateur pour dig via ${HOME}/.digrc. Ce fichier est lu et toutes les options qu'il contient sont appliquées avant les arguments de ligne de commande. L'option -r désactive cette fonctionnalité, pour les scripts qui nécessitent un comportement prévisible.
Les noms de classe IN et CH chevauchent les noms de domaine de premier niveau IN et CH. Utilisez soit les options -t et -c pour spécifier le type et la classe, soit l'option -q pour spécifier le nom de domaine, soit utilisez "IN." et "CH." lorsque vous effectuez une recherche sur ces domaines de premier niveau.
UTILISATION SIMPLE
Une invocation typique de dig ressemble à ceci :
dig @server nom type
où :
server est le nom ou l'adresse IP du serveur de noms à interroger. Il peut s'agir d'une adresse IPv4 au format décimal pointé ou d'une adresse IPv6 au format délimité par deux points. Lorsque l'argument server fourni est un nom d'hôte, dig résout ce nom avant d'interroger ce serveur de noms.
Si aucun argument server n'est fourni, dig consulte /etc/resolv.conf ; si une adresse y est trouvée, il interroge le serveur de noms à cette adresse. Si l'une ou l'autre des options -4 ou -6 est utilisée, seules les adresses correspondant au transport correspondant sont utilisées. Si aucune adresse utilisable n'est trouvée, dig envoie la requête à l'hôte local. La réponse du serveur de noms qui répond est affichée.
nom est le nom de l'enregistrement de ressource à rechercher.
type indique le type de requête requis - ANY, A, MX, SIG, etc. type peut être n'importe quel type de requête valide. Si aucun argument de type n'est fourni, dig effectue une recherche pour un enregistrement A.
OPTIONS
-4 Cette option indique que seul IPv4 doit être utilisé.
-6 Cette option indique que seul IPv6 doit être utilisé.
-b adresse[#port]
Cette option définit l'adresse IP source de la requête. L'adresse doit être une adresse valide sur l'une des interfaces réseau de l'hôte, ou "0.0.0.0" ou "::". Un port optionnel peut être spécifié en ajoutant #port.
-c classe
Cette option définit la classe de la requête. La classe par défaut est IN ; les autres classes sont HS pour les enregistrements Hesiod ou CH pour les enregistrements Chaosnet.
-f fichier
Cette option active le mode batch, dans lequel dig lit une liste de requêtes à traiter à partir du fichier donné. Chaque ligne du fichier doit être organisée de la même manière qu'elle serait présentée comme une requête à dig en utilisant l'interface de ligne de commande.
-h Affiche un résumé de l'utilisation.
-k fichier-clé
Cette option indique à dig de signer les requêtes en utilisant TSIG ou SIG(0) en utilisant une clé lue à partir du fichier donné. Les fichiers de clés peuvent être générés en utilisant tsig-keygen. Lorsque vous utilisez l'authentification TSIG avec dig, le serveur de noms interrogé doit connaître la clé et l'algorithme utilisés. Dans BIND, cela se fait en fournissant les instructions de clé et de serveur appropriées dans named.conf pour TSIG et en recherchant l'enregistrement KEY dans les données de zone pour SIG(0).
-m Cette option active le débogage de l'utilisation de la mémoire.
-p port
Cette option envoie la requête à un port non standard sur le serveur, au lieu du port par défaut 53. Cette option est utilisée pour tester un serveur de noms qui a été configuré pour écouter les requêtes sur un numéro de port non standard.
-q nom
Cette option spécifie le nom de domaine à interroger. Ceci est utile pour distinguer le nom des autres arguments.
-r Cette option indique que les options de ${HOME}/.digrc ne doivent pas être lues. Ceci est utile pour les scripts qui nécessitent un comportement prévisible.
-t type
Cette option indique le type d'enregistrement de ressource à interroger, qui peut être n'importe quel type de requête valide. S'il s'agit d'un type d'enregistrement de ressource pris en charge dans BIND 9, il peut être donné par le mnémonique de type (tel que NS ou AAAA). Le type de requête par défaut est A, à moins que l'option -x ne soit fournie pour indiquer une recherche inversée. Un transfert de zone peut être demandé en spécifiant un type de AXFR. Lorsqu'un transfert de zone incrémental (IXFR) est requis, définissez le type sur ixfr=N. Le transfert de zone incrémental contient toutes les modifications apportées à la zone depuis que le numéro de série dans l'enregistrement SOA de la zone était N.
Tous les types d'enregistrements de ressources peuvent être exprimés sous la forme TYPE nn, où nn est le numéro du type. Si le type d'enregistrement de ressource n'est pas pris en charge dans BIND 9, le résultat est affiché comme décrit dans RFC 3597.
-u Cette option indique que les temps de requête doivent être affichés en microsecondes au lieu de millisecondes.
-v Cette option affiche le numéro de version et se termine.
-x addr
Cette option définit les recherches inversées simplifiées, permettant d’associer des adresses à des noms. L’adresse addr est une adresse IPv4 au format décimal pointé ou une adresse IPv6 délimitée par des deux-points. Lorsque l’option -x est utilisée, il n’est pas nécessaire de fournir les arguments nom, classe et type. dig effectue automatiquement une recherche pour un nom tel que 94.2.0.192.in-addr.arpa et définit le type et la classe de la requête sur PTR et IN, respectivement. Les adresses IPv6 sont recherchées à l’aide du format nibble sous le domaine IP6.ARPA.
-y [hmac:]keyname:secret
Cette option signe les requêtes à l’aide de TSIG avec la clé d’authentification donnée. keyname est le nom de la clé et secret est le secret partagé codé en base64. hmac est le nom de l’algorithme de clé ; les choix valides sont hmac-md5, hmac-sha1, hmac-sha224, hmac-sha256, hmac-sha384 ou hmac-sha512. Si hmac n’est pas spécifié, la valeur par défaut est hmac-md5 ; si MD5 a été désactivé, la valeur par défaut est hmac-sha256.
NOTE :
Seule l’option -k doit être utilisée, plutôt que l’option -y, car avec -y, le secret partagé est fourni en tant qu’argument de ligne de commande en texte clair. Cela peut être visible dans la sortie de ps1 ou dans un fichier d’historique conservé par le shell de l’utilisateur.
OPTIONS DE REQUÊTE
dig fournit un certain nombre d’options de requête qui affectent la manière dont les recherches sont effectuées et dont les résultats sont affichés. Certaines de ces options définissent ou réinitialisent des bits de drapeau dans l’en-tête de la requête, certaines déterminent les sections de la réponse qui sont affichées, et d’autres déterminent les stratégies de délai d’attente et de nouvelle tentative.
Chaque option de requête est identifiée par un mot-clé précédé d’un signe plus (+). Certains mots-clés définissent ou réinitialisent une option ; ceux-ci peuvent être précédés de la chaîne « no » pour annuler la signification de ce mot-clé. D’autres mots-clés attribuent des valeurs aux options, comme l’intervalle de délai d’attente. Ils ont la forme +mot-clé=valeur. Les mots-clés peuvent être abrégés, à condition que l’abréviation ne soit pas ambiguë ; par exemple, +cd est équivalent à +cdflag. Les options de requête sont les suivantes :
+aaflag, +noaaflag
Cette option est un synonyme de +aaonly, +noaaonly.
+aaonly, +noaaonly
Cette option définit le drapeau aa dans la requête.
+additional, +noadditional
Cette option affiche [ou n’affiche pas] la section supplémentaire d’une réponse. Par défaut, elle est affichée.
+adflag, +noadflag
Cette option définit [ou ne définit pas] le bit AD (données authentiques) dans la requête. Cela demande au serveur de renvoyer si toutes les sections de réponse et d’autorité ont été validées comme sécurisées, conformément à la politique de sécurité du serveur. AD=1 indique que tous les enregistrements ont été validés comme sécurisés et que la réponse ne provient pas d’une plage OPT-OUT. AD=0 indique qu’une partie de la réponse était non sécurisée ou non validée. Ce bit est défini par défaut.
+all, +noall
Cette option définit ou efface tous les drapeaux d’affichage.
+answer, +noanswer
Cette option affiche [ou n’affiche pas] la section de réponse d’une réponse. Par défaut, elle est affichée.
+authority, +noauthority
Cette option affiche [ou n’affiche pas] la section d’autorité d’une réponse. Par défaut, elle est affichée.
+badcookie, +nobadcookie
Cette option effectue une nouvelle tentative de la recherche avec un nouveau cookie de serveur si une réponse BADCOOKIE est reçue.
+besteffort, +nobesteffort
Cette option tente d'afficher le contenu des messages malformés. Par défaut, les réponses malformées ne sont pas affichées.
+bufsize[=B]
Cette option définit la taille du tampon de message UDP annoncée à l'aide d'EDNS0 à B octets. Les tailles maximale et minimale de ce tampon sont respectivement de 65535 et de 0. +bufsize restaure la taille de tampon par défaut.
+cd, +cdflag, +nocdflag
Cette option définit [ou ne définit pas] le bit CD (validation désactivée) dans la requête. Cela demande au serveur de ne pas effectuer de validation DNSSEC des réponses.
+class, +noclass
Cette option affiche [ou n'affiche pas] la CLASSE lors de l'impression de l'enregistrement.
+cmd, +nocmd
Cette option active ou désactive l'impression du commentaire initial dans la sortie, qui identifie la version de dig et les options de requête qui ont été appliquées. Cette option a toujours un effet global ; elle ne peut pas être définie globalement puis remplacée pour une requête spécifique. Par défaut, ce commentaire est imprimé.
+coflag, +co, +nocoflag, +noco
Cette option définit [ou ne définit pas] le bit CO (Compact denial of existence Ok) EDNS dans la requête. Si elle est définie, elle indique aux serveurs que les réponses de type Compact Denial of Existence sont acceptables lorsqu'elles répondent aux requêtes. Par défaut, +nocoflag est utilisé.
+comments, +nocomments
Cette option active ou désactive l'affichage de certaines lignes de commentaires dans la sortie, avec des informations sur l'en-tête du paquet et la pseudo-section OPT, ainsi que les noms de la section de réponse. Par défaut, ces commentaires sont imprimés.
D'autres types de commentaires dans la sortie ne sont pas affectés par cette option, mais peuvent être contrôlés à l'aide d'autres options en ligne de commande. Ceux-ci incluent +cmd, +question, +stats et +rrcomments.
+cookie=####, +nocookie
Cette option envoie [ou n'envoie pas] une option COOKIE EDNS, avec une valeur facultative. La retransmission d'un COOKIE à partir d'une réponse précédente permet au serveur d'identifier un client précédent. Par défaut, +cookie est utilisé.
+cookie est également défini lorsque +trace est défini, afin d'émuler plus fidèlement les requêtes par défaut d'un serveur de noms.
+crypto, +nocrypto
Cette option active ou désactive l'affichage des champs cryptographiques dans les enregistrements DNSSEC. Le contenu de ces champs n'est pas nécessaire pour déboguer la plupart des échecs de validation DNSSEC, et leur suppression facilite la visualisation des échecs courants. Par défaut, les champs sont affichés. Lorsqu'ils sont omis, ils sont remplacés par la chaîne [omitted] ou, dans le cas de DNSKEY, l'ID de clé est affiché en tant que remplacement, par exemple [ key id = value ].
+defname, +nodefname
Cette option, qui est obsolète, est traitée comme un synonyme de +search, +nosearch.
+dns64prefix, +nodns64prefix
Rechercher AAAA pour IPV4ONLY.ARPA et afficher tous les préfixes DNS64 trouvés.
+dnssec, +do, +nodnssec, +nodo
Cette option demande que les enregistrements DNSSEC soient envoyés en définissant le bit DNSSEC OK (DO) dans l'enregistrement OPT dans la section supplémentaire de la requête.
+domain=somename
Cette option définit la liste de recherche pour qu'elle contienne le domaine unique somename, comme spécifié dans une directive de domaine dans /etc/resolv.conf, et active le traitement de la liste de recherche comme si l'option +search était donnée.
+edns[=#], +noedns
Cette option spécifie la version EDNS à utiliser pour les requêtes. Les valeurs valides sont comprises entre 0 et 255. Définir la version EDNS entraîne l’envoi d’une requête EDNS. L’option +noedns efface la version EDNS mémorisée. La version EDNS est définie par défaut sur 0.
+ednsflags[=#], +noednsflags
Cette option définit les bits d’indicateurs EDNS qui doivent être nuls (bits Z) à la valeur spécifiée. Les encodages décimal, hexadécimal et octal sont acceptés. La définition d’un indicateur nommé (par exemple, DO, CO) est ignorée silencieusement. Par défaut, aucun bit Z n’est défini.
+ednsnegotiation, +noednsnegotiation
Cette option active/désactive la négociation de version EDNS. Par défaut, la négociation de version EDNS est activée.
+ednsopt[=code[:value]], +noednsopt
Cette option spécifie l’option EDNS avec le code de point « code » et une charge utile facultative de « value » sous forme de chaîne hexadécimale. Le code peut être soit un nom d’option EDNS (par exemple, NSID ou ECS), soit une valeur numérique arbitraire. L’option +noednsopt efface les options EDNS à envoyer.
+expire, +noexpire
Cette option envoie une option EDNS Expire.
+fail, +nofail
Cette option indique si « named » doit [ou non] essayer le serveur suivant si une réponse SERVFAIL est reçue. Par défaut, le serveur suivant n’est pas essayé, ce qui est l’inverse du comportement normal d’un résolveur de base.
+fuzztime[=value], +nofuzztime
Cette option permet de spécifier l’heure de signature lors de la génération de messages signés. Si une valeur est spécifiée, il s’agit du nombre de secondes écoulées depuis le 1er janvier 1970 à 00:00:00 UTC, sans tenir compte des secondes intercalaires. Si aucune valeur n’est spécifiée, la valeur 1646972129 (ven. 11 mars 2022 à 04:15:29 UTC) est utilisée. Par défaut, l’option +nofuzztime est utilisée et l’heure actuelle est utilisée.
+header-only, +noheader-only
Cette option envoie une requête avec un en-tête DNS sans section de question. Par défaut, une section de question est ajoutée. Le type de requête et le nom de la requête sont ignorés lorsque cette option est définie.
+https[=value], +nohttps
Cette option indique s’il faut utiliser DNS sur HTTPS (DoH) lors de l’interrogation des serveurs de noms. Lorsque cette option est utilisée, le numéro de port par défaut est 443. Le mode de requête HTTP POST est utilisé pour envoyer la requête.
Si une valeur est spécifiée, elle sera utilisée comme point de terminaison HTTP dans l’URI de la requête ; la valeur par défaut est /dns-query. Par exemple, dig @example.com +https utilisera l’URI https://example.com/dns-query.
+https-get[=value], +nohttps-get
Similaire à +https, sauf que le mode de requête HTTP GET est utilisé pour envoyer la requête.
+https-post[=value], +nohttps-post
Identique à +https.
+http-plain[=value], +nohttp-plain
Similaire à +https, sauf que les requêtes HTTP seront envoyées sur un canal non chiffré. Lorsque cette option est utilisée, le numéro de port par défaut est 80 et le mode de requête HTTP est POST.
+http-plain-get[=value], +nohttp-plain-get
Similaire à +http-plain, sauf que le mode de requête HTTP est GET.
+http-plain-post[=value], +nohttp-plain-post
Identique à +http-plain.
+identify, +noidentify
Cette option affiche [ou n'affiche pas] l'adresse IP et le numéro de port qui ont fourni la réponse, lorsque l'option +short est activée. Si des réponses sous forme courte sont demandées, par défaut, l'adresse et le numéro de port du serveur qui a fourni la réponse ne sont pas affichés.
+idn, +noidn
Active ou désactive le traitement IDN. Par défaut, IDN est activé pour les noms de requête d'entrée et pour l'affichage lorsque la sortie est un terminal.
Vous pouvez également désactiver le traitement IDN de dig en définissant la variable d'environnement IDN_DISABLE.
+ignore, +noignore
Cette option ignore [ou n'ignore pas] la troncature dans les réponses UDP au lieu de réessayer avec TCP. Par défaut, des nouvelles tentatives TCP sont effectuées.
+keepalive, +nokeepalive
Cette option envoie [ou n'envoie pas] une option EDNS Keepalive.
+keepopen, +nokeepopen
Cette option maintient [ou ne maintient pas] la socket TCP ouverte entre les requêtes et la réutilise plutôt que de créer une nouvelle socket TCP pour chaque recherche. Par défaut, +nokeepopen est utilisé.
+multiline, +nomultiline
Cette option affiche [ou n'affiche pas] les enregistrements, tels que les enregistrements SOA, dans un format multiligne détaillé avec des commentaires lisibles par l'homme. Par défaut, chaque enregistrement est affiché sur une seule ligne afin de faciliter l'analyse de la sortie de dig par une machine.
+ndots=D
Cette option définit le nombre de points (D) qui doivent apparaître dans un nom pour qu'il soit considéré comme absolu. La valeur par défaut est celle définie à l'aide de l'instruction ndots dans /etc/resolv.conf, ou 1 s'il n'y a pas d'instruction ndots. Les noms contenant moins de points sont interprétés comme des noms relatifs et sont recherchés dans les domaines répertoriés dans les directives search ou domain dans /etc/resolv.conf si +search est défini.
+nsid, +nonsid
Lorsqu'elle est activée, cette option inclut une demande d'ID de serveur de noms EDNS lors de l'envoi d'une requête.
+nssearch, +nonssearch
Lorsque cette option est définie, dig tente de trouver les serveurs de noms faisant autorité pour la zone contenant le nom recherché et affiche l'enregistrement SOA que chaque serveur de noms possède pour la zone. Les adresses des serveurs qui n'ont pas répondu sont également affichées.
+onesoa, +noonesoa
Lorsqu'elle est activée, cette option affiche uniquement un (premier) enregistrement SOA lors de l'exécution d'un AXFR. Par défaut, les deux enregistrements SOA, le premier et le dernier, sont affichés.
+opcode=value, +noopcode
Lorsqu'elle est activée, cette option définit (restaure) le code d'opération du message DNS à la valeur spécifiée. La valeur par défaut est QUERY (0).
+padding=value
Cette option ajoute à la taille du paquet de requête, en utilisant l'option EDNS Padding, des blocs de value octets. Par exemple, +padding=32 fait qu'un paquet de 48 octets est complété à 64 octets. La taille de bloc par défaut est 0, ce qui désactive le remplissage ; la valeur maximale est 512. Les valeurs doivent normalement être des puissances de deux, telles que 128 ; cependant, ce n'est pas obligatoire. Les réponses aux requêtes remplies peuvent également être remplies, mais uniquement si la requête utilise TCP ou DNS COOKIE.
+proxy[=src_addr[#src_port]-dst_addr[#dst_port]], +noproxy
Lorsque cette option est définie, dig ajoute des en-têtes PROXYv2 aux requêtes. Lorsque les adresses source et destination sont spécifiées, les en-têtes les contiennent et utilisent la commande PROXY. Cela signifie que, pour le pair distant, les requêtes ont été envoyées au nom d'un autre nœud et que l'en-tête PROXYv2 reflète les points de terminaison de la connexion d'origine. Le port source par défaut est 0 et le port de destination est 53.
Pour les transports DNS chiffrés, afin d'éviter toute divulgation accidentelle d'informations, le chiffrement est appliqué aux en-têtes PROXYv2 : les en-têtes sont envoyés immédiatement après la fin du processus de négociation.
Pour les transports DNS non chiffrés, aucun chiffrement n'est appliqué aux en-têtes PROXYv2.
Si les adresses de destination sont omises, les en-têtes PROXYv2 qui utilisent l'ensemble de commandes LOCAL sont ajoutés à la place. Pour le pair distant, cela signifie que les requêtes ont été envoyées intentionnellement sans être relayées, de sorte que les adresses de point de terminaison de connexion réelles doivent être utilisées.
+proxy-plain[=src_addr[#src_port]-dst_addr[#dst_port], +noproxy-plain
C'est la même chose que +[no]proxy, mais cela indique à dig d'envoyer les en-têtes PROXYv2 avant tout chiffrement, avant l'envoi de tout message de négociation. Cela permet à dig de se comporter exactement comme décrit dans la spécification du protocole PROXY, mais tous les logiciels ne s'attendent pas à ce comportement.
Veuillez consulter la documentation du logiciel pour savoir si vous avez besoin de cette option. (par exemple, dnsdist attend des en-têtes PROXYv2 chiffrés envoyés via TLS lorsque le chiffrement est utilisé, tandis que HAProxy et de nombreux autres logiciels s'attendent à des en-têtes non chiffrés).
Pour les transports DNS non chiffrés, l'option est en fait un alias pour +[no]proxy décrit ci-dessus.
+qid=valeur
Cette option spécifie l'ID de requête à utiliser lors de l'envoi des requêtes.
+qr, +noqr
Cette option active ou désactive l'affichage du message de requête tel qu'il est envoyé. Par défaut, la requête n'est pas affichée.
+question, +noquestion
Cette option active ou désactive l'affichage de la section question d'une requête lorsqu'une réponse est renvoyée. Par défaut, la section question est affichée sous forme de commentaire.
+raflag, +noraflag
Cette option définit (ou ne définit pas) le bit RA (Recursion Available) dans la requête. Par défaut, le bit est désactivé avec +noraflag. Ce bit est ignoré par le serveur pour les requêtes.
+rdflag, +nordflag
Cette option est un synonyme de +recurse, +norecurse.
+recurse, +norecurse
Cette option active ou désactive la définition du bit RD (recursion desired) dans la requête. Ce bit est défini par défaut, ce qui signifie que dig envoie normalement des requêtes récursives. La récursion est automatiquement désactivée lorsque l'option de requête +nssearch ou +trace est utilisée.
+retry=T
Cette option définit le nombre de fois où les requêtes UDP et TCP sont renvoyées au serveur à T au lieu de la valeur par défaut, qui est 2. Contrairement à +tries, cela n'inclut pas la requête initiale.
+rrcomments, +norrcomments
Cette option active ou désactive l'affichage de commentaires par enregistrement dans la sortie (par exemple, des informations lisibles par l'homme sur les enregistrements DNSKEY). Par défaut, les commentaires sur les enregistrements ne sont pas affichés, sauf si le mode multiligne est activé.
+search, +nosearch
Cette option utilise (ou n'utilise pas) la liste de recherche définie par les directives searchlist ou domain dans resolv.conf, le cas échéant. La liste de recherche n'est pas utilisée par défaut.
ndots depuis resolv.conf (valeur par défaut : 1), qui peut être remplacée par +ndots, détermine si le nom est traité comme relatif et donc si une recherche est effectuée.
+short, +noshort
Cette option permet d’activer ou de désactiver l’affichage d’une réponse concise. Par défaut, la réponse est affichée sous une forme détaillée. Cette option a toujours un effet global ; elle ne peut pas être définie globalement puis remplacée pour chaque requête.
+showbadcookie, +noshowbadcookie
Cette option permet d’activer ou de désactiver l’affichage du message contenant le code de retour BADCOOKIE avant de réessayer la requête. Par défaut, les messages ne sont pas affichés.
+showbadvers, +noshowbadvers
Cette option permet d’activer ou de désactiver l’affichage du message contenant le code de retour BADVERS avant de réessayer la requête. Par défaut, les messages ne sont pas affichés.
+showsearch, +noshowsearch
Cette option effectue [ou n’effectue pas] une recherche en affichant les résultats intermédiaires.
+split=W
Cette option divise les longs champs hexadécimaux ou base64 dans les enregistrements de ressources en blocs de W caractères (où W est arrondi au multiple de 4 le plus proche). +nosplit ou +split=0 empêche la division des champs. La valeur par défaut est de 56 caractères, ou 44 caractères lorsque le mode multiligne est actif.
+stats, +nostats
Cette option permet d’activer ou de désactiver l’affichage des statistiques : heure de la requête, taille de la réponse, etc. Par défaut, les statistiques de la requête sont affichées sous forme de commentaire après chaque requête.
+subnet=adresse[/longueur-du-préfixe], +nosubnet
Cette option envoie [ou n’envoie pas] une option EDNS CLIENT-SUBNET avec l’adresse IP ou le préfixe de réseau spécifié.
dig +subnet=0.0.0.0/0, ou simplement dig +subnet=0, envoie une option EDNS CLIENT-SUBNET avec une adresse vide et une longueur de préfixe source de zéro, ce qui indique à un résolveur que les informations d’adresse du client ne doivent pas être utilisées pour résoudre cette requête.
+tcflag, +notcflag
Cette option définit [ou ne définit pas] le bit TC (Troncature) dans la requête. La valeur par défaut est +notcflag. Ce bit est ignoré par le serveur pour la requête.
+tcp, +notcp
Cette option indique s’il faut utiliser TCP pour interroger les serveurs de noms. Par défaut, UDP est utilisé, sauf si une requête de type ANY ou IXFR=N est demandée, auquel cas la valeur par défaut est TCP. Les requêtes AXFR utilisent toujours TCP. Pour empêcher la tentative de réexécution via TCP lorsqu’un bit TC=1 est renvoyé à partir d’une requête UDP, utilisez +ignore.
+timeout=T
Cette option définit le délai d’attente pour une requête à T secondes. Le délai d’attente par défaut est de 5 secondes. Toute tentative de définition de T à une valeur inférieure à 1 est silencieusement définie sur 1.
+tls, +notls
Cette option indique s’il faut utiliser DNS sur TLS (DoT) pour interroger les serveurs de noms. Lorsque cette option est utilisée, le numéro de port par défaut est 853.
+tls-ca[=nom-de-fichier], +notls-ca
Cette option active la validation des certificats TLS des serveurs distants pour les transports DNS, en s’appuyant sur TLS. Les certificats des autorités de certification sont chargés à partir du fichier PEM spécifié (nom-de-fichier). Si le fichier n’est pas spécifié, les certificats par défaut du magasin de certificats global sont utilisés.
+tls-certfile=file-name, +tls-keyfile=file-name, +notls-certfile, +notls-keyfile
Ces options définissent l’état de l’authentification client par certificat pour les transports DNS, en utilisant TLS. Les deux fichiers, pour la chaîne de certificats et la clé privée, doivent être au format PEM. Les deux options doivent être spécifiées en même temps.
+tls-hostname=hostname, +notls-hostname
Cette option permet à dig d’utiliser le nom d’hôte fourni lors de la vérification du certificat TLS du serveur distant. Sinon, le nom du serveur DNS est utilisé. Cette option n’a aucun effet si +tls-ca n’est pas spécifié.
+trace, +notrace
Cette option active ou désactive le traçage du chemin de délégation à partir des serveurs racines pour le nom recherché. Le traçage est désactivé par défaut. Lorsque le traçage est activé, dig effectue des requêtes itératives pour résoudre le nom recherché. Il suit les références à partir des serveurs racines, en affichant la réponse de chaque serveur utilisé pour résoudre la recherche.
Si @server est également spécifié, cela n’affecte que la requête initiale pour les serveurs de noms de zone racine.
+dnssec est défini lorsque +trace est défini, afin d’émuler au mieux les requêtes par défaut d’un serveur de noms.
Notez que l’option +ns de delv peut également être utilisée pour tracer la résolution d’un nom à partir de la racine (voir delv).
+tries=T
Cette option définit le nombre de fois où les requêtes UDP et TCP sont envoyées au serveur à T au lieu de la valeur par défaut, 3. Si T est inférieur ou égal à zéro, le nombre d’essais est discrètement arrondi à 1.
+ttlid, +nottlid
Cette option affiche [ou n’affiche pas] la valeur TTL lors de l’impression de l’enregistrement.
+ttlunits, +nottlunits
Cette option affiche [ou n’affiche pas] la valeur TTL dans des unités de temps lisibles, telles que s, m, h, j et s, représentant les secondes, les minutes, les heures, les jours et les semaines. Cela implique +ttlid.
+unknownformat, +nounknownformat
Cette option affiche tous les RDATA dans un format de présentation de type RR inconnu (RFC 3597). Par défaut, les RDATA pour les types connus sont affichés dans le format de présentation du type.
+vc, +novc
Cette option utilise [ou n’utilise pas] TCP lors de l’interrogation des serveurs de noms. Cette syntaxe alternative à +tcp est fournie pour assurer la compatibilité avec les versions antérieures. vc signifie « circuit virtuel ».
+yaml, +noyaml
Lorsque cette option est activée, elle affiche les réponses (et, si +qr est utilisé, également les requêtes sortantes) dans un format YAML détaillé.
+zflag, +nozflag
Cette option définit [ou ne définit pas] le dernier indicateur d’en-tête DNS non attribué dans une requête DNS. Cet indicateur est désactivé par défaut.
REQUÊTES MULTIPLES
L’implémentation de dig de BIND 9 prend en charge la spécification de plusieurs requêtes sur la ligne de commande (en plus de la prise en charge de l’option de fichier batch -f). Chaque argument de requête représente une requête individuelle dans la syntaxe de ligne de commande décrite ci-dessus. Chaque requête se compose de toutes les options et indicateurs standard, du nom à rechercher, d’un type et d’une classe de requête facultatifs, et de toutes les options de requête qui doivent être appliquées à cette requête.
Un ensemble global d’options de requête, qui doivent être appliquées à toutes les requêtes, peut également être fourni.
Ces options de requête globales doivent précéder le premier tuple de nom, classe, type, options, indicateurs et options de requête fournies en ligne de commande. Toutes les options de requête globales (à l’exception de +cmd et des options +short) peuvent être remplacées par un ensemble d’options de requête spécifiques à une requête. Par exemple :
dig +qr www.isc.org any -x 127.0.0.1 isc.org ns +noqr
montre comment dig peut être utilisé à partir de la ligne de commande pour effectuer trois recherches : une requête ANY pour
www.isc.org, une recherche inversée de 127.0.0.1 et une requête pour les enregistrements NS de isc.org. Une option de requête globale de +qr est appliquée, de sorte que dig affiche la requête initiale qu’il a effectuée pour chaque recherche. La
dernière requête a une option de requête locale de +noqr, ce qui signifie que dig n’imprime pas la requête initiale lorsqu’il recherche les enregistrements NS pour isc.org.
CODES DE RETOUR
Les codes de retour de dig sont les suivants :
0 Réponse DNS reçue, y compris le statut NXDOMAIN
1 Erreur d’utilisation
8 Impossible d’ouvrir le fichier batch
9 Aucune réponse du serveur
10 Erreur interne
FICHIERS
/etc/resolv.conf
${HOME}/.digrc
CONSULTER AUSSI
delv(1), host(1), named(8), dnssec-keygen(8), RFC 1035.
BOGUES
Il y a probablement trop d’options de requête.
AUTEUR
Internet Systems Consortium
COPYRIGHT
2025 Internet Systems Consortium