Caching Negativo
================

Cuando un usuario intenta acceder a un dominio bloqueado por un RPZ (Response Policy Zone), el resolver DNS normalmente responde con una respuesta modificada —generalmente un NXDOMAIN 
(dominio inexistente) o una redirección CNAME a un sinkhole. Si la respuesta es un NXDOMAIN, el comportamiento estándar de DNS incluye el caché negativo, donde esa respuesta se almacena temporalmente 
para evitar consultar repetidamente a los servidores superiores.


Este caché negativo puede producirse en varios niveles:

   - En el propio resolver o router, siguiendo el TTL (SOA.MINIMUM) definido por la zona autoritativa o la política del RPZ.

   - En la caché DNS del sistema operativo, como ocurre con servicios como nscd, systemd-resolved o las cachés internas en macOS y Windows.

   - En el navegador web, que suele tener su propia capa de caché DNS independiente del sistema operativo.


Por eso, si un usuario intenta acceder varias veces a un dominio bloqueado, puede recibir un error inmediato (por ejemplo, en el navegador), pero el resolver DNS no será consultado de nuevo hasta que 
expire el caché negativo. Esto explica por qué el contador de NXDOMAINs no aumenta en los registros del RPZ: el cliente no está enviando nuevas consultas DNS, ya que se basa en la información almacenada 
en caché.


En nuestro caso, el resolver realiza una limpieza automática cada una hora de la caché, incluyendo las entradas negativas. Sin embargo, el cliente no tiene forma de forzar esta limpieza por su cuenta, 
por lo que si intenta repetir la consulta antes de que expire el caché, no verá un incremento en los contadores de “NXDOMAIN” ni en los hit counters del RPZ. Esto es un comportamiento normal y esperado 
del sistema de caché DNS.