por que o dig + trace, às vezes, responde com uma lista de servidores de nomes autorizados, bem como o registro?

A diferença é que yahoo.com e bbc.com estão retornando uma seção AUTHORITY , mas stackoverflow.com e google.com não estão.

$ dig @ns1.yahoo.com +noall +question +authority yahoo.com
;yahoo.com.                     IN      A
yahoo.com.              172800  IN      NS      ns2.yahoo.com.
yahoo.com.              172800  IN      NS      ns6.yahoo.com.
yahoo.com.              172800  IN      NS      ns5.yahoo.com.
yahoo.com.              172800  IN      NS      ns4.yahoo.com.
yahoo.com.              172800  IN      NS      ns3.yahoo.com.
yahoo.com.              172800  IN      NS      ns1.yahoo.com.
$ dig @ns1.google.com +noall +question +authority google.com
;google.com.                    IN      A

Você poderia ocultar isso do seu rastreio com a opção +noauthority , mas também tornaria a saída inútil, já que você também ocultaria a seção AUTHORITY dos servidores de nomes intermediários. (que, sendo delegações, é praticamente tudo o que há para ser visto, a menos que você tenha definido +additional )

Cabe às implementações individuais dos servidores de nomes se eles desejam ou não fornecer uma seção AUTHORITY nos cenários em que eles não são estritamente exigidos pelo RFC. O BIND é uma das implementações do servidor que exibe essa informação por padrão, mas também fornece uma opção minimal-responses para desabilitar o comportamento. Eu recomendo strongmente essa opção em cenários de recursividade voltados ao cliente, pois isso reduz a sobrecarga de ataques de amplificação contra IPs de origem falsificados. (infelizmente, BCP 38 não é tão amplamente implementado como precisa ser)

Do BRAÇO DE BIND:

minimal-responses
If yes, then when generating responses the server will only add records to the authority and additional data sections when they are required (e.g. delegations, negative responses). This may improve the performance of the server. The default is no.

Com +trace , dig prosseguirá e consultará os verdadeiros nameservers do domínio. Portanto, a resposta que você está vendo não é do seu resolvedor de DNS local, mas dos verdadeiros 'mestres' do domínio.

Se olharmos para google.com e yahoo.com , usamos ns1.google.com e ns1.yahoo.com como servidores de nomes, respectivamente. Consultar o servidor de nomes do google para o Google.com revelará 12 registros A com IPs, enquanto que a consulta do servidor de nomes yahoos para o Yahoo.com revelará 3 registros A, 6 registros NS e mais alguns.

Não há necessidade de usar +trace . Você pode consultar os servidores diretamente usando uma combinação de dig ns yahoo.com (para localizar servidores de nomes) e, em seguida, dig @ns1.yahoo.com yahoo.com (para consultar o domínio usando ns1.yahoo.com ).

Esse comportamento é determinado pelo servidor DNS em questão. Por exemplo, se eu consultar o google.com por meio de um servidor DNS do Windows, receberei apenas os registros A, mas se eu fizer o mesmo por meio de uma instância BIND local, obterei uma infinidade de registros de autoridade. Esta pergunta, Resposta DNS com / sem autoridade, seções adicionais , toques no mesmo tópico, mas eles também não encontraram uma configuração que o controle.