Cosa fa#
Invia query DNS a un nameserver e mostra la risposta grezza e completa. A differenza di nslookup, dig mostra tutti i dettagli della risposta — TTL, sezione authority, sezione additional — ed e' lo strumento standard per diagnostica DNS in contesto operativo.
Sintassi#
dig [@server] dominio [tipo] [opzioni]
Comandi essenziali#
| Comando | Flag/Argomento | Significato | Cosa fa |
|---|---|---|---|
dig esempio.com | — | — | Query A di default — restituisce l'IPv4 |
dig esempio.com A | A | tipo record | Record A — IPv4 |
dig esempio.com MX | MX | tipo record | Mail server del dominio |
dig esempio.com NS | NS | tipo record | Nameserver autoritativi |
dig esempio.com TXT | TXT | tipo record | Record TXT — SPF, DKIM, DMARC, verifiche |
dig esempio.com CNAME | CNAME | tipo record | Alias — a cosa punta il nome |
dig +short esempio.com | +short | output breve | Solo la risposta, niente metadati |
dig +trace esempio.com | +trace | traccia catena | Segue la risoluzione da root a NS autoritativo |
dig -x 93.184.216.34 | -x | reverse | Reverse DNS — da IP a nome |
dig @8.8.8.8 esempio.com | @server | server specifico | Usa Google come resolver invece del default |
Leggere l'output#
dig google.com A
; <<>> DiG 9.18.1 <<>> google.com A
;; QUESTION SECTION:
;google.com. IN A # cosa hai chiesto
;; ANSWER SECTION:
google.com. 300 IN A 142.250.x.x
# ^ ^
# TTL in secondi IP risposta
;; Query time: 12 msec
;; SERVER: 192.168.1.1#53 # resolver usato
;; WHEN: Mon Mar 30 07:00:00 2026
;; MSG SIZE rcvd: 55Le sezioni principali:
QUESTION— cosa hai chiestoANSWER— la rispostaAUTHORITY— chi e' autoritativo per questo dominioADDITIONAL— info extra (spesso IP dei nameserver)
Combinazioni utili#
# Confronta risposte di resolver diversi
dig @1.1.1.1 esempio.com A
dig @8.8.8.8 esempio.com A
# Se le risposte differiscono: cache avvelenata o propagazione in corso
# Controlla record email (diagnosi spam)
dig esempio.com TXT
# Cerca v=spf1 (SPF), v=DKIM1 (DKIM), v=DMARC1 (DMARC)
# Segui la catena completa di risoluzione
dig +trace esempio.com
# Mostra: root → TLD → nameserver autoritativo
# Reverse DNS su un IP sospetto
dig -x 185.220.101.x
# Scopri a chi appartiene quell'IP senza aprire il browserScenario Reale — Subdomain Takeover (CNAME pendente)#
Un attaccante ricerca CNAME orfani con dig:
# Step 1 — scopre il CNAME
dig blog.azienda.com CNAME
# blog.azienda.com. CNAME quiet-lake-1234.herokuapp.com.
# Step 2 — verifica se la destinazione esiste ancora
dig quiet-lake-1234.herokuapp.com A
# NXDOMAIN — nessuno lo possiede piu'
# Step 3 — registra quella app su Heroku
# Step 4 — blog.azienda.com punta ora al suo serverDifesa: monitora i CNAME verso servizi esterni. Se il servizio viene dismesso, rimuovi il record immediatamente.
Scenario Reale — DNS Hijacking (incident response)#
Un utente segnala pagina di login anomala su intranet.azienda.com:
# Controlla cosa risponde il resolver locale
dig intranet.azienda.com
# Confronta con il resolver aziendale legittimo
dig @dns-aziendale.com intranet.azienda.com
# Se gli IP differiscono: il resolver locale e' compromesso
# Controlla /etc/resolv.conf sulla macchina sospetta
cat /etc/resolv.confDove l'ho usato#
- Room DNS in Detail — TryHackMe settimana 5
Note personali#
dig +short e' il tuo alias mentale per "dammi solo la risposta" — utile negli script e quando vuoi solo verificare un IP rapidamente.
dig +trace e' il tuo debugger DNS — quando qualcosa non risolve, questo mostra esattamente dove la catena si rompe.
dig -x IP su un IP sospetto trovato nei log e' il primo passo di threat intel manuale — spesso rivela il provider o il nome dell'host attaccante.
Collegato a#
- network — categoria
- dns-records — tutti i tipi di record che dig interroga
- dns-resolution-flow — la catena che +trace segue
- nslookup — alternativa piu' semplice, meno dettagli
