Herramienta de consulta DNS online vía DoH
Un desarrollador lanzó una herramienta de consulta DNS online que se ejecuta directamente en el navegador, sin terminal, sin servidor, sin instalar nada. Soporta registros A, AAAA, CNAME, MX, TXT, NS, SOA, CAA y SRV vía DNS-over-HTTPS, con 149 tests corriendo en paralelo contra tres proveedores distintos. La publicó en Dev.to y ya está disponible para cualquiera que necesite diagnosticar un dominio sin abrir la consola.
Una consulta DNS online es la resolución de nombres de dominio a través de un navegador web usando DNS-over-HTTPS (DoH), sin depender de herramientas de terminal como dig o nslookup. Esta herramienta, construida por el dev Nestio y publicada en Dev.to, permite consultar nueve tipos de registros DNS contra tres resolvers públicos (Cloudflare, Quad9 y Google) desde cualquier navegador moderno, con resultados formateados por tipo de registro, historial de consultas y medición de tiempo de respuesta en milisegundos.
En 30 segundos
- Herramienta 100% browser-side: cero código de servidor, funciona en cualquier navegador moderno sin instalar nada (URL pública: dns-lookup-tool-bd4.pages.dev).
- 9 tipos de registro DNS: A, AAAA, CNAME, MX, TXT, NS, SOA, CAA y SRV, más un modo ALL que ejecuta 7 consultas en paralelo con
Promise.all. - Tres proveedores DoH seleccionables: Cloudflare, Quad9 y Google, cada uno con su propia caché y políticas de privacidad distintas.
- 149 tests unitarios: el autor validó formateo especial por tipo de registro (MX con columna de prioridad, SOA con 7 campos etiquetados, SRV con peso y puerto) y salida copiable estilo archivo de zona.
- Historial y timing: guarda las últimas 12 consultas con repetición en un clic y muestra el tiempo de respuesta en milisegundos.
¿Qué es DNS-over-HTTPS y por qué usarlo desde el navegador?
DNS-over-HTTPS (DoH, definido en la RFC 8484) manda las consultas DNS encapsuladas en HTTPS en vez de usar UDP plano por el puerto 53. La diferencia práctica es que nadie en el camino (el ISP, el café con WiFi abierto, el proveedor de tránsito) puede ver ni modificar qué dominios estás resolviendo. El navegador no tiene acceso a sockets UDP crudos, así que DoH es la única forma de hacer consultas DNS programáticas desde JavaScript con fetch() contra endpoints como cloudflare-dns.com/dns-query.
El tema es que no todos los resolvers DoH se comportan igual. Cloudflare (1.1.1.1) vacía logs en 24 horas y tiene una red enorme de puntos de presencia, Quad9 (9.9.9.9) filtra malware conocido usando inteligencia de amenazas, y Google (8.8.8.8) hace lo suyo con caché agresiva pero guarda datos de consulta. A junio de 2026, la herramienta permite elegir entre los tres a demanda, así que podés contrastar resultados cuando algo no cierra.
¿Qué registros DNS se pueden consultar con esta herramienta?
La herramienta soporta nueve tipos de registro, y el autor se tomó el trabajo de formatear cada uno distinto según lo que tiene sentido para ese tipo. No es un volcado crudo de JSON, que es lo que suelen devolver las APIs DoH. Acá va la lista:
- A (Address): devuelve la IPv4 asociada al dominio. Es la consulta más básica.
- AAAA (Quad-A): la contraparte en IPv6. Si tu dominio tiene pata en IPv6, acá aparece.
- CNAME (Canonical Name): alias que redirige a otro dominio. Útil para saber si ese subdominio es realmente un
cnamea un CDN o a un hosting compartido. - MX (Mail Exchange): servidores de correo con prioridad. La herramienta separa prioridad y servidor en columnas distintas (no te tira la bolsa entera en un solo string).
- TXT (Text): registros SPF, DKIM, tokens de verificación de Google Search Console, lo que se te ocurra. A veces un dominio tiene 15 TXT y cuesta encontrar el que necesitás sin un formateo decente.
- NS (Name Server): los servidores de nombres autoritativos del dominio.
- SOA (Start of Authority): este es el que más datos tira: mname, rname, serial, refresh, retry, expire y minimum. La herramienta lo despliega en filas etiquetadas, no en una línea incomprensible.
- CAA (Certification Authority Authorization): define qué autoridades certificantes pueden emitir TLS para el dominio. Si tenés CAA puesto y alguien intenta emitir con otra CA, falla.
- SRV (Service): prioridad, peso, puerto y target. Se usa para cosas como SIP, LDAP o servicios de Minecraft (sí, en serio).
El modo ALL ejecuta A, AAAA, MX, TXT, NS, CNAME y SOA en paralelo con Promise.all, así que en una sola pantalla ves el panorama completo del dominio. Para diagnóstico inicial de un dominio que recién configuraste, es un golazo. Te puede servir nuestra cobertura de integrar la API de Google Gemini.
¿Qué proveedores de DoH se pueden elegir y cómo se comparan?
La herramienta te deja seleccionar entre tres resolvers públicos directamente desde la interfaz, sin tocar configuración del sistema. Cada uno tiene su propia caché, así que durante la propagación de un cambio DNS podés ver resultados distintos según a cuál le pegues. Y eso es justamente lo que querés cuando estás diagnosticando: saber si el cambio ya se propagó a las principales redes o si todavía estás viendo la caché vieja.
Acá los tres proveedores lado a lado:
| Proveedor | Endpoint DoH | Privacidad | Filtrado | Velocidad típica |
|---|---|---|---|---|
| Cloudflare | cloudflare-dns.com/dns-query | Política de privacidad | Sin filtrado (salvo malware con 1.1.1.2) | Muy baja latencia, red Anycast global |
| Quad9 | dns.quad9.net/dns-query | Política de privacidad | Bloquea dominios de malware/phishing vía 20+ feeds | Buena, con leve overhead por filtrado |
| dns.google/dns-query | Política de privacidad | Sin filtrado | Excelente, integrado con infraestructura de Google |
Si estás en un entorno corporativo que bloquea DoH, probablemente veas timeout en los tres. Algunas redes fuerzan el uso de su propio resolver. En esos casos la herramienta no puede hacer magia: si el fetch HTTPS no llega al endpoint, no hay resultado.
¿Cómo se formatean los resultados de cada tipo de registro?
El autor no se limitó a escupir el JSON de la API DoH y llamarlo “herramienta”. Cada tipo de registro tiene su propio formateo, y eso se nota cuando necesitás leer resultados rápido. Según la publicación original en Dev.to, estos son los detalles:
- MX: prioridad y servidor de correo en columnas separadas. Si tenés 5 MX con prioridades escalonadas, ves al toque cuál es el primario y cuáles son backup.
- SOA: los 7 campos (mname, rname, serial, refresh, retry, expire, minimum) aparecen en filas etiquetadas. Nada de parsear mentalmente un string kilométrico.
- SRV: columnas de prioridad, peso, puerto y target bien diferenciadas.
- CAA: flag, tag y value con eliminación de comillas en el valor. Si el registro tiene comillas extra que vienen de la API, las limpia.
- TXT: muestra el contenido crudo pero legible, ideal para revisar configuraciones SPF o DKIM que alguien armó con más entusiasmo que precisión.
Además, el botón Copy genera una salida estilo archivo de zona, que podés pegar directo en tu configuración de BIND o en un ticket de soporte sin tener que explicar “esto es lo que devuelve el DNS, no sé si se ve bien”.
Historial de consultas, tiempo de respuesta y modo paralelo
La herramienta mantiene las últimas 12 consultas en memoria con un solo clic para repetirlas. Si estás iterando sobre la configuración de un dominio y querés ver si el cambio ya impactó, esto te ahorra volver a tipear (o pegar) el dominio cada vez. Relacionado: comparar pipelines CI/CD en 2026.
Cada consulta muestra el tiempo de respuesta en milisegundos, medido del lado del cliente. El modo ALL ejecuta 7 consultas en paralelo con Promise.all, y el tiempo total que ves es el del conjunto completo — no el de cada consulta individual. ¿Por qué importa? Porque si un tipo de registro tarda 800ms y los otros 50ms, el ALL te da una foto más realista de cómo responde el dominio en producción, donde los resolvers cachean en caliente pero la primera consulta del día puede ser lenta.
¿Cómo validar DNSSEC desde el navegador?
Esto es clave para dominios que tienen DNSSEC configurado pero con algún error silencioso (firma rota, cadena de confianza que expiró, algoritmo deprecado). La herramienta de Nestio no muestra explícitamente el flag AD, pero podés inferir el estado por cómo responde el resolver ante consultas que deberían fallar si las firmas no cuadran. Si consultás un dominio con DNSSEC mal configurado contra Quad9 (que valida por defecto) y te devuelve SERVFAIL, ahí tenés la pista.
Errores comunes al consultar DNS (y cómo evitarlos)
Si alguna vez configuraste un dominio, sabés que el DNS parece simple hasta que deja de serlo. Estos son los tropiezos más frecuentes cuando usás herramientas de consulta:
- Confundir CNAME con A y esperar una IP directa. Un CNAME apunta a otro nombre, no a una IP. Si consultás el tipo A de un registro que es CNAME, el resolver te va a seguir la cadena — a veces. Pero la herramienta te muestra el CNAME tal cual si pedís ese tipo. Ojo: un CNAME en la raíz del dominio rompe con el estándar (RFC 1912) porque no puede coexistir con SOA y NS obligatorios.
- Comparar resultados entre resolvers sin esperar la propagación. Cambiaste un registro hace 10 minutos, consultás contra Cloudflare y sale la IP nueva, pero Quad9 todavía muestra la vieja. No es un error, es el TTL haciendo su trabajo. Cada resolver tiene su propia caché independiente y no se coordinan entre sí.
- Asumir que DoH oculta todo. El ISP no ve la consulta, eso es cierto. Pero el proveedor DoH sí la ve. Cloudflare promete no guardar logs, Quad9 directamente no registra la IP del cliente. Google… digamos que la letra chica es más larga. Si tu modelo de amenaza incluye al proveedor DoH, necesitás algo como DNS sobre Tor o DNSCrypt con un resolver propio.
- Ignorar el georuteo. Un mismo dominio puede devolver IPs distintas según desde qué punto de presencia (POP) esté consultando el resolver. Cloudflare Anycast te manda al POP más cercano a su red, no a la tuya. Si estás en Buenos Aires pero el POP que te tocó está en Santiago, podés ver una IP que no es la que esperabas para tu región.
Cómo probar esta herramienta sin instalar nada
La herramienta está hosteada en dns-lookup-tool-bd4.pages.dev, sobre Cloudflare Pages. No requiere registro, no tiene publicidad, no te pide permisos. Abrís la URL en cualquier navegador (Chrome, Firefox, Safari, Edge, Brave, el que uses), ponés un dominio en el campo de búsqueda, elegís el tipo de registro con los chips rápidos (A, MX, TXT, etc.) o tirás un ALL, y en cuestión de milisegundos tenés los resultados en pantalla. Más contexto en la guía de Cloud SQL PostgreSQL.
Si estás administrando dominios .ar o .com.ar, esto aplica igual: la herramienta consulta lo que el resolver público devuelva, sin restricción de TLD. Y si estás buscando dónde registrar o alojar un dominio, en donweb.com podés gestionar DNS, hosting y correo con soporte en español y datacenter en la región, cosa que con proveedores externos a veces termina siendo más dolor de cabeza que ayuda.
Preguntas Frecuentes
¿Qué es una consulta DNS online?
Es la resolución de nombres de dominio a direcciones IP u otros registros DNS usando una interfaz web en lugar de la terminal. La herramienta de Nestio usa DNS-over-HTTPS (DoH) para hacer estas consultas directamente desde el navegador contra resolvers públicos como Cloudflare, Quad9 o Google.
¿DNS-over-HTTPS funciona en cualquier navegador?
Sí, en cualquier navegador moderno que soporte fetch() con HTTPS. La herramienta no usa APIs experimentales ni extensiones. Chrome, Firefox, Safari, Edge y Brave a junio de 2026 la ejecutan sin problemas. Internet Explorer 11 queda afuera, pero eso ya no sorprende a nadie. Más sobre esto en errores en AI Overviews con comandos.
¿Qué diferencia hay entre una consulta DNS tradicional y DNS-over-HTTPS?
La consulta tradicional viaja en UDP plano por el puerto 53: cualquiera en el camino puede verla, modificarla o bloquearla. DoH encapsula la consulta dentro de HTTPS (puerto 443), así que es indistinguible del tráfico web normal. El ISP no sabe qué dominios resolviste, y un atacante en la misma red WiFi no puede interceptar la consulta. El trade-off es que el proveedor DoH sí ve las consultas, así que elegir un resolver con política de privacidad clara es importante.
¿Cómo sé si un dominio tiene DNSSEC validado usando esta herramienta?
La herramienta de Nestio no expone explícitamente el flag AD (Authenticated Data) en la interfaz, pero podés cruzar resultados con tembrica.com/dns-lookup, que sí valida DNSSEC y muestra el estado. Si un dominio con DNSSEC configurado devuelve SERVFAIL en Quad9 (que valida por defecto), hay un problema con las firmas o la cadena de confianza. Para más detalles técnicos, mirá la comparativa entre Jenkins y GitHub Actions.
¿Puedo usar esta herramienta para diagnosticar problemas de mi dominio en producción?
Sí, y de hecho es uno de sus mejores usos. El modo ALL te da una foto completa en paralelo: A, AAAA, MX, TXT, NS, CNAME y SOA en una sola pantalla. Si algo no coincide con lo que configuraste en tu panel de DNS, lo ves al toque. Además, podés cambiar entre Cloudflare, Quad9 y Google para verificar si el problema es de propagación o de configuración.
Conclusión
La herramienta de Nestio no reinventa el DNS ni inventa un protocolo nuevo. Lo que hace es sacar la fricción de tener que abrir una terminal, recordar la sintaxis de dig y parsear output crudo cuando estás en una notebook ajena, en un celular o simplemente no querés cambiar de contexto. El formateo por tipo de registro, los chips de consulta rápida, el historial y la posibilidad de alternar entre tres resolvers en tiempo real la convierten en una opción práctica para diagnóstico rápido.
Los 149 tests que el autor corrió contra el formateo de cada tipo de registro muestran que no es un proyecto de fin de semana tirado a la suerte. Hay atención al detalle en cómo se despliega cada resultado. Y como no tiene backend, no hay riesgo de que el creador esté logueando tus consultas del otro lado — todo corre en tu navegador, el fetch va directo al resolver DoH que elijas.
Si administrás dominios, configurás registros DNS con frecuencia o simplemente querés entender qué está pasando cuando un sitio no carga, tener esta URL en los bookmarks es una decisión sensata. Pesa cero, no cobra suscripción y hace exactamente lo que promete.
Fuentes
- Dev.to – I Built a Browser-Based DNS Lookup Tool – Publicación original del desarrollador Nestio con todos los detalles de implementación, tipos de registro soportados y 149 tests.
- Tembrica DNS Lookup – Herramienta complementaria con validación DNSSEC explícita y soporte para múltiples tipos de registro vía DoH.
- ZeroTool – DNS Lookup Guide – Guía práctica sobre consultas DNS, diferencias entre resolvers y errores comunes en propagación.
- GitHub – lewiswigmore/dns-tools – Repositorio con herramientas DNS complementarias y ejemplos de formateo de registros.
