DNS

O Sistema de Nomes de Domínio (DNS) é uma das bases da Internet, mas a maioria das pessoas fora da rede provavelmente não percebe que o usa todos os dias para fazer seu trabalho, verificar seus e-mails ou perder tempo com seus smartphones.

Em sua forma mais básica, o DNS é um diretório de nomes que combinam com números. Os números, neste caso, são endereços IP, que os computadores utilizam para se comunicar uns com os outros. A maioria das descrições do DNS usa a analogia de uma lista telefônica, o que é bom para pessoas maiores de 30 anos que sabem o que é uma lista telefônica.

Se você tem menos de 30 anos, pense no DNS como a lista de contatos do seu smartphone, que combina os nomes das pessoas com seus números de telefone e endereços de e-mail. Em seguida, multiplique essa lista de contatos por todas as outras pessoas do planeta.

Um breve histórico do DNS

Quando a Internet era muito, muito pequena, era mais fácil para as pessoas corresponderem endereços IP específicos com computadores específicos, mas isso não durava muito tempo, pois mais dispositivos e pessoas se juntavam à rede em crescimento. Ainda é possível digitar um endereço IP específico em um navegador para chegar a um site, mas então, como agora, as pessoas queriam um endereço composto de palavras fáceis de lembrar, do tipo que hoje reconheceríamos como um nome de domínio (como networkworld.com). Nos anos 70 e início dos anos 80, esses nomes e endereços foram atribuídos por uma pessoa – Elizabeth Feinler em Stanford – que mantinha uma lista mestra de cada computador conectado à Internet em um arquivo de texto chamado HOSTS.TXT.

Esta era obviamente uma situação insustentável à medida que a Internet crescia, até porque Feinler só atendia pedidos antes das 18h, horário da Califórnia, e tirava uma folga para o Natal. Em 1983, Paul Mockapetris, um pesquisador da USC, foi encarregado de chegar a um compromisso entre várias sugestões para lidar com o problema. Ele basicamente ignorou todas elas e desenvolveu seu próprio sistema, o qual ele chamou de DNS. Embora obviamente tenha mudado bastante desde então, a um nível fundamental ainda funciona da mesma forma que funcionava há quase 40 anos.

Como funcionam os servidores DNS

O diretório DNS que combina nome com números não está localizado em um único lugar em algum canto escuro da Internet. Com mais de 332 milhões de nomes de domínio listados no final de 2017, um único diretório seria de fato muito grande. Como a própria Internet, o diretório é distribuído ao redor do mundo, armazenado em servidores de nomes de domínio (geralmente chamados de servidores DNS) que se comunicam uns com os outros de forma muito regular para fornecer atualizações e redundâncias.

Servidores DNS autorizados vs. servidores DNS recursivos

Quando seu computador quer encontrar o endereço IP associado a um nome de domínio, ele primeiro faz seu pedido a um servidor DNS recursivo, também conhecido como resolvedor recursivo. Um resolvedor recursivo é um servidor que normalmente é operado por um ISP ou outro provedor de terceiros, e ele sabe quais outros servidores DNS precisa pedir para resolver o nome de um site com seu endereço IP. Os servidores que realmente possuem as informações necessárias são chamados de servidores DNS autorizados.

Servidores DNS e endereços IP

Cada domínio pode corresponder a mais de um endereço IP. Na verdade, alguns sites têm centenas ou mais endereços IP que correspondem a um único nome de domínio. Por exemplo, o servidor que seu computador alcança para www.google.com é provavelmente completamente diferente do servidor que alguém em outro país alcançaria digitando o mesmo nome de site em seu navegador.

Outra razão para a natureza distribuída do diretório é a quantidade de tempo que você levaria para obter uma resposta quando estivesse procurando um site se houvesse apenas um local para o diretório, compartilhado entre os milhões, provavelmente bilhões, de pessoas que também procuram informações ao mesmo tempo. Essa é uma longa linha para usar a lista telefônica.

O que é caching DNS?

Para contornar este problema, as informações do DNS são compartilhadas entre muitos servidores. Mas as informações para os sites visitados recentemente também são armazenadas em cache localmente nos computadores dos clientes. É provável que você use o google.com várias vezes ao dia. Em vez de seu computador consultar o servidor de nomes DNS para o endereço IP do google.com toda vez, essas informações são salvas em seu computador para que ele não tenha que acessar um servidor DNS para resolver o nome com seu endereço IP. Caching adicional pode ocorrer nos roteadores utilizados para conectar clientes à Internet, bem como nos servidores do provedor de serviços de Internet (ISP) do usuário. Com tanto cache em andamento, o número de consultas que realmente chegam aos servidores de nomes DNS é muito menor do que parece.

Como posso encontrar meu servidor DNS?

Em geral, o servidor DNS que você utiliza será estabelecido automaticamente pelo seu provedor de rede quando você se conectar à Internet. Se você quiser ver quais servidores são seus principais servidores de nomes – geralmente o resolvedor recursivo, como descrito acima – existem utilitários web que podem fornecer uma série de informações sobre sua conexão de rede atual. Browserleaks.com é um bom serviço, que fornece muitas informações, incluindo seus servidores DNS atuais.

Posso usar o DNS 8.8.8.8?

É importante ter em mente, no entanto, que enquanto seu ISP definirá um servidor DNS padrão, você não é obrigado a usá-lo. Alguns usuários podem ter motivos para evitar o DNS de seu provedor – por exemplo, alguns ISPs usam seus servidores DNS para redirecionar solicitações de endereços inexistentes para páginas com publicidade.

Se você quiser uma alternativa, você pode, ao invés disso, apontar seu computador para um servidor DNS público que atuará como um resolvedor recursivo. Um dos servidores DNS públicos mais proeminentes é o do Google; seu endereço IP é 8.8.8.8. Os serviços DNS do Google tendem a ser rápidos, e embora haja certas perguntas sobre os motivos ocultos que o Google tem para oferecer o serviço gratuito, eles não podem realmente obter mais informações de você que já não obtêm do Chrome. O Google tem uma página com instruções detalhadas sobre como configurar seu computador ou roteador para se conectar ao DNS do Google.

Como o DNS acrescenta eficiência

O DNS está organizado em uma hierarquia que ajuda a manter as coisas funcionando de forma rápida e suave. Para ilustrar, vamos fingir que você queria visitar o networkworld.com.

A solicitação inicial do endereço IP é feita a um resolvedor recursivo, como discutido acima. O resolvedor recursivo sabe quais outros servidores DNS precisa pedir para resolver o nome de um site (networkworld.com) com seu endereço IP. Esta busca leva a um servidor raiz, que conhece todas as informações sobre domínios de primeiro nível, como .com, .net, .org e todos aqueles domínios de países como .cn (China) e .uk (Reino Unido). Os servidores-raiz estão localizados em todo o mundo, portanto o sistema geralmente o direciona para o mais próximo geograficamente.

Uma vez que a solicitação chega ao servidor raiz correto, ela vai para um servidor de nome de domínio de primeiro nível (TLD), que armazena as informações para o domínio de segundo nível, as palavras usadas antes de você chegar a .com, .org, .net (por exemplo, essa informação para networkworld.com é “networkworld”). A solicitação então vai para o Domain Name Server, que guarda as informações sobre o site e seu endereço IP. Uma vez que o endereço IP é descoberto, ele é enviado de volta ao cliente, que agora pode usá-lo para visitar o site. Tudo isso leva apenas milissegundos.

Como o DNS está funcionando há mais de 30 anos, a maioria das pessoas o consideram como um dado adquirido. A segurança também não foi considerada na construção do sistema, portanto, os hackers tiraram o máximo proveito disso, criando uma variedade de ataques.

Ataques de reflexão do DNS

Ataques de reflexão DNS podem inundar as vítimas com mensagens de alto volume de servidores resolvedores DNS. Os atacantes solicitam grandes arquivos DNS de todos os resolvedores DNS abertos que podem encontrar e o fazem usando o endereço IP falsificado da vítima. Quando os resolvedores respondem, a vítima recebe uma enchente de dados DNS não solicitados que sobrecarrega suas máquinas.

Envenenamento do cache DNS

O envenenamento do cache DNS pode desviar os usuários para sites maliciosos. Os atacantes conseguem inserir registros de endereços falsos no DNS para que, quando uma vítima potencial solicita uma resolução de endereço para um dos sites envenenados, o DNS responda com o endereço IP para um site diferente, um controlado pelo atacante. Uma vez nesses sites falsos, as vítimas podem ser enganadas para desistir de senhas ou sofrer downloads de malware.

Esgotamento dos recursos do DNS

Os ataques de exaustão de recursos DNS podem entupir a infra-estrutura DNS dos ISPs, bloqueando os clientes dos ISPs de chegar a sites na Internet. Isto pode ser feito por atacantes que registram um nome de domínio e utilizam o servidor de nomes da vítima como servidor autoritário do domínio. Portanto, se um resolvedor recursivo não puder fornecer o endereço IP associado ao nome do site, ele perguntará ao servidor de nomes da vítima. Os atacantes geram um grande número de solicitações para seu domínio e atiram em subdomínios inexistentes para o boot, o que leva a uma torrente de solicitações de resolução sendo disparada no servidor de nomes da vítima, sobrecarregando-o.

O que é DNSSec?

O DNS Security Extensions é um esforço para tornar mais segura a comunicação entre os vários níveis de servidores envolvidos nas buscas de DNS. Ela foi concebida pela Internet Corporation for Assigned Names and Numbers (ICANN), a organização responsável pelo sistema DNS.

A ICANN tomou consciência das deficiências na comunicação entre os servidores de diretório de primeiro nível, segundo e terceiro nível do DNS que poderiam permitir que os atacantes seqüestrassem as buscas. Isso permitiria que os atacantes respondessem aos pedidos de consultas a sites legítimos com o endereço IP para sites maliciosos. Esses sites poderiam carregar malware para os usuários ou realizar ataques de phishing e pharming.

O DNSSEC trataria disso fazendo com que cada nível do servidor DNS assine digitalmente suas solicitações, o que assegura que as solicitações enviadas pelos usuários finais não sejam comandadas por atacantes. Isto cria uma cadeia de confiança para que em cada etapa da busca, a integridade da solicitação seja validada.

Além disso, o DNSSec pode determinar se existem nomes de domínio, e se não existir, não permitirá que esse domínio fraudulento seja entregue a solicitantes inocentes que procuram ter um nome de domínio resolvido.

medida que mais nomes de domínio são criados, e mais dispositivos continuam a aderir à rede via Internet de coisas dispositivos e outros sistemas “inteligentes”, e à medida que mais sites migram para IPv6, será necessário manter um ecossistema DNS saudável. O crescimento dos grandes dados e análises também traz uma maior necessidade de gerenciamento do DNS.

SIGRed: Uma falha de DNS wormável volta à cabeça

Recentemente, o mundo teve uma boa visão do tipo de caos que as fraquezas do DNS poderiam causar com a descoberta de uma falha nos servidores DNS do Windows. O potencial buraco na segurança, denominado SIGRed, requer uma complexa cadeia de ataque, mas pode explorar servidores DNS Windows não corrigidos para potencialmente instalar e executar código malicioso arbitrário em clientes. E a exploração é “wormable”, significando que pode se espalhar de computador para computador sem intervenção humana. A vulnerabilidade foi considerada alarmante o suficiente para que as agências federais americanas tivessem apenas alguns dias para instalar os patches.

DNS sobre HTTPS: Um novo cenário de privacidade

A partir desta escrita, o DNS está à beira de uma de suas maiores mudanças em sua história. Google e Mozilla, que juntos controlam a maior parte do mercado de navegadores, estão encorajando um movimento em direção ao DNS sobre HTTPS, ou DoH, no qual os pedidos DNS são criptografados pelo mesmo protocolo HTTPS que já protege a maior parte do tráfego web. Na implementação do Chrome, o navegador verifica se os servidores DNS suportam DoH e, se não suportarem, redireciona as solicitações DNS para o 8.8.8.8 do Google.

É um movimento não sem controvérsia. Paul Vixie, que fez muito do trabalho inicial no protocolo DNS nos anos 80, chama a mudança de “desastre” para a segurança: a TI corporativa terá muito mais dificuldade para monitorar ou direcionar o tráfego DoH que atravessa sua rede, por exemplo. Ainda assim, o Chrome é onipresente e o DoH logo será ligado por padrão, então veremos o que o futuro nos reserva.

(Keith Shaw é um antigo editor sênior da Network World e um premiado escritor, editor e revisor de produtos que já escreveu para muitas publicações e websites em todo o mundo).

Servidores DNS grátis

OpenDNS

208.67.222.222
De propriedade da Cisco, OpenDNS tem duas opções livres: Escudo Familiar e Casa. O Family Shield é bom para pais que querem ter certeza de que seus filhos não podem acessar conteúdo inapropriado. Home concentra-se na segurança e no desempenho da Internet.

Cloudflare

1.1.1.1
O “resolvedor DNS mais rápido da Terra”, o serviço DNS gratuito do Cloudflare tem:
  • mitigação sem limites do DDoS
  • CDN global
  • Certificado SSL compartilhado
  • Regras em três páginas
  • Largura de banda ilimitada

1.1.1.1.1 com Warp

1.1.1.1
Um subproduto Cloudflare, 1.1.1.1.1 com Warp é projetado para dispositivos móveis. Quando você baixa o aplicativo em seu smartphone ou tablet, ele “substitui a conexão entre seu telefone e a Internet por um protocolo moderno, otimizado”. Eles também se comprometem a nunca vender seus dados.

DNS Público do Google

8.8.8.8
O próprio produto DNS do Google também é gratuito. Ele se concentra na “velocidade, segurança e validade dos resultados”. Ele oferece apenas resolução DNS e cache – não há bloqueio de site com DNS Público.

DNS Seguro da Comodo

8.26.56.26
O pacote Dome Shield Gold da Comodo Secure DNS baseado em nuvem é gratuito (até 300.000 pedidos mensais de DNS). Isto lhe dá direito:
  • Proteção contra solicitações de domínios maliciosos e respostas IP
  • Segurança contra ameaças avançadas como phishing, malware, sites maliciosos, botnets, eventos de callback C&C, spyware, drive-by-downloads, sites injetados XXS, roubo de cookies, anonimizadores, arquivos criptografados TOR e ataques web
  • Multi-localização, multiusuário e a capacidade de controlar a proteção da rede remotamente
  • Bloqueio de páginas e filtragem de domínio
  • Aplicações móveis
  • Relatório
  • Proteção fora da rede

Quad9

9.9.9.9
Quad9 enfatiza a segurança, privacidade e desempenho – a empresa foi fundada com o objetivo de tornar a internet mais segura para todos. Ela bloqueia domínios maliciosos, phishing e malware enquanto mantém seu anonimato. A Quad9 está constantemente se expandindo para novas regiões. Neste momento, ela aparece no número 6 na análise de desempenho do DNS e classificações comparativas.

DNS Público Verisign

64.6.65.6
A Verisign destaca suas características superiores de estabilidade e segurança, além do fato de não vender dados de usuários a empresas terceirizadas ou para venda/visualização de anúncios.

OpenNIC

13.239.157.177
Em sua essência, o OpenNIC é uma tentativa de combater a censura. Dirigido por voluntários, este servidor DNS gratuito torna a web inteira acessível a todos. Eles também impedem o “sequestro de DNS”, que é quando um ISP assume o controle de URLs comumente mal digitadas.

UncensoredDNS

91.239.100.100
Completamente administrado e financiado pelo fundador Thomas Steen Rasmussen, UncensoredDNS está sediado na Dinamarca. É uma ótima opção para aqueles locais para o FreeDNS, completa com recursos de segurança, melhoria de desempenho e confiabilidade.

CleanBrowsing

185.228.168.168
Tanto a versão gratuita como a paga do CleanBrowsing estão disponíveis. O servidor DNS gratuito se concentra na privacidade, especialmente para lares com crianças. Ele vem com três filtros gratuitos e bloqueia a maioria do conteúdo adulto.

DNS Yandex

77.88.8.7
Esta opção baseada na Rússia tem uma lista completa de características:
  • Desempenho – Proporciona um acesso mais rápido à web
  • Proteção – Bloqueia malware e bots
  • Filtragem de conteúdo – Proíbe o acesso ao conteúdo adulto

DNS UltraRecursivo

156.154.70.1
O DNS UltraRecursivo da Neustar também é uma opção bem fundamentada. Ele oferece melhoria de desempenho com resolução rápida de consultas e uma infra-estrutura confiável. Ele também bloqueia malware, sites maliciosos, phishing, spyware e bots (além de proteção DDoS). Ele também bloqueia conteúdo impróprio ou adulto.

DNS alternativo

198.101.242.72
Cansado de ver tantos anúncios online? O DNS alternativo é a solução para você. Eles mantêm um banco de dados de domínios de anúncios conhecidos e enviam uma resposta nula aos anúncios de bloqueio antes que eles se conectem à sua rede.

DNS AdGuard

176.103.130.130
O AdGuard DNS também se concentra no bloqueio de anúncios. Ele também bloqueia balcões, sites maliciosos e conteúdo adulto.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *