Entenda como funciona o Sistema de Nomes de Domínio (DNS)

O Sistema de Nomes de Domínio / Domain Name System (DNS) é uma parte integral da infraestrutura da Internet que converte nomes de domínio amigáveis ao usuário em endereços IP numéricos.

Esta conversão facilita a localização de servidores e sites na Internet, tornando a navegação na web mais eficiente.

O que é DNS?

O Sistema de Nomes de Domínio (DNS) é uma infraestrutura fundamental da internet, operando de forma imperceptível mapeando os nomes de sites, inseridos pelos usuários em uma caixa de pesquisa, com o respectivo endereço IP do destino.

Embora seja possível inserir um endereço IP diretamente em um navegador para acessar um site, é de preferência geral que um endereço de internet seja composto por palavras de fácil memorização, conhecidas como nomes de domínio.

Na década de 1970 e início dos anos 80, a tarefa de mapear nomes de domínio e endereços IP era atribuida ao Stanford Research Institute, que mantinha uma lista mestra de todos os computadores conectados à internet. Com o rápido crescimento da internet, essa abordagem tornou-se insustentável e, em 1983, Paul Mockapetris desenvolveu o DNS, um sistema automatizado e escalável que lida com a tradução de nomes de domínio para endereços IP.

Atualmente, existem mais de 342 milhões de domínios registrados, tornando inviável manter todos esses nomes em um único diretório. Assim como a própria internet, o diretório é distribuído globalmente em servidores de nomes de domínio que se comunicam regularmente para fornecer atualizações e eliminar redundâncias.

A criação de um sistema distribuído também visava aumentar o desempenho. Por exemplo, imagine se todas as solicitações simultâneas em todo o mundo para resolver o nome de domínio Google com o endereço IP subjacente fossem tratadas em um único local. Para resolver este problema, as informações do DNS são compartilhadas entre vários servidores.

Isso significa que um único domínio pode ter mais de um endereço IP. Por exemplo, o servidor físico que seu laptop ou smartphone alcança ao digitar www.google.com é diferente do servidor que alguém em outro país alcançaria ao digitar o mesmo nome de site em seu navegador. No entanto, o DNS ainda direciona você ao local correto, independentemente de onde você esteja no mundo.

Como Funciona o DNS?

Um diagrama ilustrando o processo de como o DNS funciona, mostrando a jornada de uma solicitação do cliente através de vários servidores DNS até os arquivos de um site.

Quando um dispositivo precisa encontrar o endereço IP associado a um nome de domínio, ele inicia uma consulta DNS através de um cliente DNS, geralmente em um navegador da Web. Essa consulta é então direcionada para um servidor DNS recursivo, normalmente operado por Provedores de Serviços de Internet (ISP).

O DNS é organizado de maneira hierárquica. Uma consulta DNS inicial para um endereço IP é direcionada a um servidor DNS recursivo. Essa busca inicialmente alcança um servidor raiz, que detém informações sobre domínios de nível superior (.com, .net, .org), bem como domínios de países. Os servidores raiz estão distribuídos globalmente, portanto, o sistema DNS encaminha a solicitação para o servidor mais próximo geograficamente.

Uma vez que a solicitação chega ao servidor raiz correto, ela é direcionada para um Servidor de Domínio de Nível Superior (TLD name server), que armazena informações para o domínio de segundo nível, que são as palavras que você digita em uma caixa de pesquisa. A solicitação então é encaminhada para um servidor de nomes de domínio, que busca o endereço IP e o retorna ao dispositivo cliente DNS para que ele possa acessar o site apropriado. Todo esse processo ocorre em milissegundos.

A distribuição das informações do DNS entre vários servidores não só permite o gerenciamento eficiente de milhões de domínios registrados, mas também melhora o desempenho, distribuindo as solicitações entre vários servidores.

O que é DNS Caching?

É bastante provável que você utilize o Google diversas vezes ao longo do dia. Em vez de seu computador realizar uma consulta ao servidor DNS para o endereço IP cada vez que você insere o nome do domínio, essa informação é armazenada em cache no seu dispositivo pessoal. Isso elimina a necessidade de acessar um servidor DNS para resolver o nome com o endereço IP a cada solicitação.

O armazenamento em cache adicional pode ocorrer nos roteadores que são utilizados para conectar os clientes à internet, bem como nos servidores do Provedor de Serviços de Internet (ISP) do usuário. Com a quantidade de armazenamento em cache ocorrendo, o número de consultas que realmente chegam aos servidores de nomes DNS é significativamente reduzido. Isso contribui para a velocidade e eficiência do sistema, otimizando o desempenho da resolução de nomes de domínio e melhorando a experiência do usuário na navegação na web.

O DNS é seguro?

O Sistema de Nomes de Domínio (DNS) é uma parte essencial da infraestrutura da Internet, mas, como qualquer sistema, possui vulnerabilidades que podem ser exploradas. De acordo com uma pesquisa da IDC de 2021, 87% das organizações sofreram ataques DNS.

Os “cibercriminosos” são extremamente astutos na identificação de vulnerabilidades que podem ser exploradas em praticamente qualquer sistema, e o DNS tem sido alvo de uma parcela significativa de ataques. Existem múltiplas categorias de ataques DNS, que incluem:

  • Amplificação DNS: Este tipo de ataque explora servidores DNS recursivos abertos para inundar um sistema alvo com tráfego não solicitado, resultando em uma negação de serviço.
  • Falsificação DNS ou Envenenamento de Cache: Neste ataque, os dados no resolvedor DNS do servidor são alterados para redirecionar as solicitações para um endereço IP controlado pelo atacante.
  • Tunelamento DNS: Este método envolve o encapsulamento de dados de outros protocolos ou programas dentro das consultas e respostas DNS, permitindo a comunicação não autorizada para fora de uma rede.
  • Sequestro DNS ou Redirecionamento DNS: Aqui, os atacantes alteram as entradas DNS para redirecionar o tráfego para um servidor controlado por eles, muitas vezes para fins de phishing ou disseminação de malware.

Para mitigar essas ameaças, foram desenvolvidas várias medidas de segurança, como o DNS Security Extensions (DNSSec) e o DNS sobre HTTPS (DoH). Embora essas medidas de segurança possam ajudar a proteger o DNS contra ataques, a segurança do DNS ainda é uma preocupação significativa. De acordo com a Enterprise Management Associates (EMA), apenas 31% dos gerentes de DDI estão totalmente confiantes na segurança de sua infraestrutura DNS.

DNSSec

O DNS Security Extensions (DNSSec) é um protocolo de segurança concebido pela ICANN (Internet Corporation for Assigned Numbers and Names) para aumentar a segurança na comunicação entre os vários níveis de servidores envolvidos nas consultas DNS. Ele visa mitigar vulnerabilidades na comunicação entre os servidores de diretório DNS de primeiro, segundo e terceiro níveis que poderiam permitir a interceptação das consultas por invasores.

O DNSSec exige que cada nível de servidor DNS “assine” digitalmente suas solicitações. Isso garante que as solicitações enviadas pelos usuários finais não sejam interceptadas por atacantes. Isso cria uma cadeia de confiança, de modo que, em cada nível da consulta, a integridade da solicitação é validada.

Além disso, o DNSSec pode determinar se um nome de domínio realmente existe e, caso não existir, impede que um domínio fraudulento seja entregue aos solicitantes que buscam resolver um nome de domínio. Isso contribui para a segurança e a integridade do sistema DNS, protegendo os usuários contra ataques de phishing e malware.

Embora o DNS Security Extensions (DNSSec) trate de potenciais vulnerabilidades na rede distribuída de servidores DNS, isso certamente não impediu ataques cibernéticos baseados em DNS que utilizam alguma forma de engano para injetar código malicioso no sistema DNS.

DNS sobre HTTPS (DoH)

Um diagrama ilustrando o tráfego DNS criptografado usando DNS sobre HTTPS (DoH)

Em uma das maiores mudanças na longa história do DNS, empresas como Google e Mozilla estão incentivando a transição para o DNS sobre HTTPS (DoH), um padrão IETF que criptografa as solicitações DNS da mesma maneira que o protocolo HTTPS já protege a maior parte do tráfego da web.

No entanto, a transição para o DoH não está isenta de controvérsias. Ao criptografar as solicitações DNS, o DoH pode interferir na capacidade da TI corporativa de monitorar a atividade da web dos funcionários. Além disso, isso poderia impedir a implementação de controles parentais sobre o uso da internet.

A adoção do DNS sobre HTTPS tem sido lenta. No lado do cliente, o DoH está disponível nas versões mais recentes do Google Chrome e Mozilla Firefox, mas pode ser desativado pelo usuário final. As organizações que tentam ter algum controle sobre quais navegadores e versões de navegador são usados pelos funcionários têm a opção de simplesmente desativá-lo. Do lado do ISP, muitos dos principais ISPs ainda não habilitaram o DoH em sua extremidade.

Como encontrar o meu dns?

De maneira geral, o servidor DNS que você utiliza é configurado automaticamente pelo seu Provedor de Serviços de Internet (ISP) quando você se conecta à internet. Se você deseja verificar quais são seus servidores de nomes primários, existem utilitários na web que podem fornecer informações sobre sua conexão de rede atual, como o browserleaks.com.

Embora seu ISP configure um servidor DNS padrão, você não é obrigado a usá-lo. Alguns usuários podem preferir evitar o DNS do ISP, por exemplo, se o ISP usar seus servidores DNS para redirecionar solicitações para endereços inexistentes para páginas com publicidade.

Como alternativa, você pode configurar seu computador para usar um servidor DNS público, que atuará como um resolvedor recursivo. Um dos servidores DNS públicos mais conhecidos é o do Google, cujo endereço IP é 8.8.8.8. Esses servidores DNS públicos oferecem uma opção confiável e segura para a resolução de nomes de domínio, além de proporcionar uma performance de navegação na web potencialmente superior em alguns casos.

Compartilhe:
Facebook
LinkedIn
WhatsApp
Comentários
Artigos Relacionados
Redes Sociais
Entre em contato com nosso Departamento de Engenharia.

Preencha o formulário abaixo e nossa equipe entrará em contato para oferecer a solução mais adequada para suas demandas.