• Tecnologia
  • Equipamento elétrico
  • Indústria de Materiais
  • Vida digital
  • política de Privacidade
  • Ó nome
Localização: Casa / Tecnologia / O que é DNS e como funciona?

O que é DNS e como funciona?

techserving |
2019

O Domain Name System (DNS) é um dos alicerces da Internet, mas a maioria das pessoas fora da rede provavelmente não percebe que o usa todos os dias para fazer seus trabalhos, verificar seus e-mails ou perder tempo com seus smartphones.

Na sua forma mais básica, o DNS é um diretório de nomes que correspondem a números. Os números, neste caso, são endereços IP, que os computadores usam para se comunicar uns com os outros. A maioria das descrições de DNS usa a analogia de uma lista telefônica, o que é bom para pessoas com mais de 30 anos que sabem o que é uma lista telefônica.

Se você tem menos de 30 anos, pense no DNS como a lista de contatos do seu smartphone, que combina os nomes das pessoas com seus números de telefone e endereços de e-mail. Em seguida, multiplique essa lista de contatos por todos os outros no planeta.

Uma breve história do DNS

Quando a internet era muito, muito pequena, era mais fácil para as pessoas corresponderem a endereços IP específicos com computadores específicos, mas isso não durou muito, pois mais dispositivos e pessoas aderiram à crescente rede. Ainda é possível digitar um endereço IP específico em um navegador para acessar um site, mas, como agora, as pessoas queriam um endereço composto de palavras fáceis de lembrar, do tipo que reconheceríamos como um nome de domínio (como networkworld.com) hoje. Nos anos 1970 e início dos anos 1980, esses nomes e endereços foram atribuídos por uma pessoa - Elizabeth Feinler em Stanford - que mantinha uma lista principal de todos os computadores conectados à Internet em um arquivo de texto chamado HOSTS.TXT.

Esta era obviamente uma situação insustentável à medida que a Internet crescia, até porque Feinler só atendeu pedidos antes das 18h. horário da Califórnia e tirei uma folga para o Natal. Em 1983, Paul Mockapetris, pesquisador da USC, foi encarregado de chegar a um meio-termo entre várias sugestões para lidar com o problema. Ele basicamente ignorou todos eles e desenvolveu seu próprio sistema, que apelidou de DNS. Embora obviamente tenha mudado bastante desde então, em um nível fundamental ainda funciona da mesma forma que há quase 40 anos.

Como funcionam os servidores DNS

O diretório DNS que corresponde ao nome aos números não está localizado em um só lugar em algum canto escuro da Internet. Com mais de 332 milhões de nomes de domínio listados no final de 2017, um único diretório seria realmente muito grande. Como a própria Internet, o diretório é distribuído em todo o mundo, armazenado em servidores de nomes de domínio (geralmente chamados de servidores DNS para abreviar) que se comunicam entre si regularmente para fornecer atualizações e redundâncias.

Servidores DNS autoritativos versus servidores DNS recursivos

Quando seu computador deseja encontrar o endereço IP associado a um nome de domínio, ele primeiro faz sua solicitação a um servidor DNS recursivo, também conhecido como resolvedor recursivo< em>. Um resolvedor recursivo é um servidor que geralmente é operado por um ISP ou outro provedor terceirizado e sabe quais outros servidores DNS precisa solicitar para resolver o nome de um site com seu endereço IP. Os servidores que realmente possuem as informações necessárias são chamados de servidores DNS autoritativos.

Servidores DNS e endereços IP

Cada domínio pode corresponder a mais de um endereço IP. Na verdade, alguns sites têm centenas ou mais endereços IP que correspondem a um único nome de domínio. Por exemplo, o servidor que seu computador acessa para www.google.com provavelmente é completamente diferente do servidor que alguém em outro país acessaria digitando o mesmo nome de site em seu navegador.

Outro motivo para a natureza distribuída do diretório é o tempo que levaria para você obter uma resposta quando procurasse um site se houvesse apenas um local para o diretório, compartilhado entre milhões, provavelmente bilhões , de pessoas que também buscam informações ao mesmo tempo. Essa é uma longa fila para usar a lista telefônica.

O que é cache de DNS?

Para contornar esse problema, as informações de DNS são compartilhadas entre vários servidores. Mas as informações de sites visitados recentemente também são armazenadas em cache localmente nos computadores clientes. É provável que você use o google.com várias vezes ao dia. Em vez de seu computador consultar o servidor de nomes DNS para o endereço IP de google.com todas as vezes, essas informações são salvas em seu computador para que ele não precise acessar um servidor DNS para resolver o nome com seu endereço IP. Cache adicional pode ocorrer nos roteadores usados ​​para conectar clientes à Internet, bem como nos servidores do Provedor de Serviços de Internet (ISP) do usuário. Com tanto armazenamento em cache acontecendo, o número de consultas que realmente chegam aos servidores de nomes DNS é muito menor do que parece.

O que é DNS e como funciona ?

Como encontro meu servidor DNS?

De modo geral, o servidor DNS que você usa será estabelecido automaticamente pelo seu provedor de rede quando você se conectar à Internet. Se você quiser ver quais servidores são seus servidores de nomes primários - geralmente o resolvedor recursivo, conforme descrito acima - existem utilitários da Web que podem fornecer uma série de informações sobre sua conexão de rede atual. Browserleaks.com é bom e fornece muitas informações, incluindo seus servidores DNS atuais.

Posso usar DNS 8.8.8.8?

É importante ter em mente, porém, que embora seu ISP defina um servidor DNS padrão, você não é obrigado a usá-lo. Alguns usuários podem ter motivos para evitar o DNS de seu ISP - por exemplo, alguns ISPs usam seus servidores DNS para redirecionar solicitações de endereços inexistentes para páginas com publicidade.

Se você quiser uma alternativa, pode apontar seu computador para um servidor DNS público que atuará como um resolvedor recursivo. Um dos servidores DNS públicos mais proeminentes é o do Google; seu endereço IP é 8.8.8.8. Os serviços DNS do Google tendem a ser rápidos e, embora haja certas dúvidas sobre os motivos ocultos que o Google tem para oferecer o serviço gratuito, eles não podem realmente obter mais informações de você que já não obtenham do Chrome. O Google tem uma página com instruções detalhadas sobre como configurar seu computador ou roteador para se conectar ao DNS do Google.

Como o DNS adiciona eficiência

O DNS é organizado em uma hierarquia que ajuda a manter as coisas funcionando de forma rápida e sem problemas. Para ilustrar, vamos fingir que você deseja visitar networkworld.com.

A solicitação inicial do endereço IP é feita a um resolvedor recursivo, conforme discutido acima. O resolvedor recursivo sabe quais outros servidores DNS ele precisa solicitar para resolver o nome de um site (networkworld.com) com seu endereço IP. Essa pesquisa leva a um servidor raiz, que conhece todas as informações sobre domínios de nível superior, como .com, .net, .org e todos os domínios de países como .cn (China) e .uk (Reino Unido). Os servidores raiz estão localizados em todo o mundo, então o sistema geralmente direciona você para o mais próximo geograficamente.

Depois que a solicitação chega ao servidor raiz correto, ela vai para um servidor de nomes de domínio de nível superior (TLD), que armazena as informações do domínio de segundo nível, as palavras usadas antes de chegar ao .com, .org , .net (por exemplo, essa informação para networkworld.com é “networkworld”). A solicitação então vai para o Domain Name Server, que contém as informações sobre o site e seu endereço IP. Depois que o endereço IP é descoberto, ele é enviado de volta ao cliente, que agora pode usá-lo para visitar o site. Tudo isso leva apenas milissegundos.

Como o DNS está funcionando há mais de 30 anos, a maioria das pessoas não dá valor a ele. A segurança também não foi considerada na construção do sistema, então os hackers tiraram proveito disso, criando uma variedade de ataques.

Ataques de reflexão de DNS

Os ataques de reflexão de DNS podem inundar as vítimas com mensagens de alto volume de servidores de resolução de DNS. Os invasores solicitam grandes arquivos DNS de todos os resolvedores de DNS abertos que podem encontrar e fazem isso usando o endereço IP falsificado da vítima. Quando os resolvedores respondem, a vítima recebe uma enxurrada de dados DNS não solicitados que sobrecarregam suas máquinas.

Envenenamento de cache de DNS

O envenenamento de cache de DNS pode desviar os usuários para sites maliciosos. Os invasores conseguem inserir registros de endereços falsos no DNS para que, quando uma possível vítima solicitar uma resolução de endereço para um dos sites envenenados, o DNS responda com o endereço IP de um site diferente, controlado pelo invasor. Uma vez nesses sites falsos, as vítimas podem ser induzidas a desistir de senhas ou sofrer downloads de malware.

Exaustão de recursos de DNS

Os ataques de exaustão de recursos de DNS podem obstruir a infraestrutura de DNS dos ISPs, impedindo que os clientes do ISP acessem sites na Internet. Isso pode ser feito por invasores registrando um nome de domínio e usando o servidor de nomes da vítima como o servidor autoritativo do domínio. Portanto, se um resolvedor recursivo não puder fornecer o endereço IP associado ao nome do site, ele solicitará ao servidor de nomes da vítima. Os invasores geram um grande número de solicitações para seu domínio e lançam subdomínios inexistentes para inicializar, o que leva a uma torrente de solicitações de resolução sendo disparadas no servidor de nomes da vítima, sobrecarregando-o.

O que é DNSSec?

DNS Security Extensions é um esforço para tornar mais segura a comunicação entre os vários níveis de servidores envolvidos em pesquisas de DNS. Foi concebido pela Internet Corporation for Assigned Names and Numbers (ICANN), a organização encarregada do sistema DNS.

A ICANN tomou conhecimento de deficiências na comunicação entre os servidores de diretório de nível superior, segundo e terceiro nível do DNS, que poderiam permitir que invasores sequestrassem pesquisas. Isso permitiria que os invasores respondessem a solicitações de pesquisas em sites legítimos com o endereço IP de sites maliciosos. Esses sites podem enviar malware para os usuários ou realizar ataques de phishing e pharming.

O DNSSEC resolveria isso fazendo com que cada nível do servidor DNS assinasse digitalmente suas solicitações, o que garante que as solicitações enviadas pelos usuários finais não sejam controladas por invasores. Isso cria uma cadeia de confiança para que, a cada etapa da pesquisa, a integridade da solicitação seja validada.

Além disso, o DNSSec pode determinar se existem nomes de domínio e, se não houver, não permitirá que esse domínio fraudulento seja entregue a solicitantes inocentes que buscam resolver um nome de domínio.

À medida que mais nomes de domínio são criados e mais dispositivos continuam a ingressar na rede por meio de dispositivos da Internet das Coisas e outros sistemas "inteligentes", e à medida que mais sites migram para IPv6, será necessário manter um ecossistema DNS saudável. O crescimento de big data e analytics também traz uma maior necessidade de gerenciamento de DNS.

SIGRed: Uma falha de DNS wormable aparece

O mundo deu uma boa olhada recentemente no tipo de caos que as fraquezas no DNS podem causar com a descoberta de uma falha nos servidores DNS do Windows. A falha de segurança potencial, apelidada de SIGRed, requer uma cadeia de ataque complexa, mas pode explorar servidores DNS do Windows não corrigidos para potencialmente instalar e executar códigos maliciosos arbitrários em clientes. E o exploit é "wormable", o que significa que pode se espalhar de computador para computador sem intervenção humana. A vulnerabilidade foi considerada alarmante o suficiente para que as agências federais dos EUA tivessem apenas alguns dias para instalar os patches.

DNS sobre HTTPS: um novo cenário de privacidade

No momento em que escrevo, o DNS está à beira de uma de suas maiores mudanças em sua história. Google e Mozilla, que juntos controlam a maior parte do mercado de navegadores, estão encorajando um movimento em direção ao DNS sobre HTTPS, ou DoH, no qual as solicitações de DNS são criptografadas pelo mesmo protocolo HTTPS que já protege a maior parte do tráfego da web. Na implementação do Chrome, o navegador verifica se os servidores DNS suportam DoH e, se não, redireciona as solicitações de DNS para o 8.8.8.8 do Google.

É um movimento não sem controvérsia. Paul Vixie, que fez grande parte do trabalho inicial no protocolo DNS na década de 1980, chama a mudança de "desastre" para a segurança: a TI corporativa terá muito mais dificuldade em monitorar ou direcionar o tráfego DoH que atravessa sua rede, por exemplo. Ainda assim, o Chrome é onipresente e o DoH logo será ativado por padrão, então veremos o que o futuro reserva.

(Keith Shaw é ex-editor sênior da Network World e um premiado escritor, editor e revisor de produtos que escreveu para muitas publicações e sites em todo o mundo.)

(Josh Fruhlinger é um escritor e editor que mora em Los Angeles.)

Junte-se às comunidades da Network World no Facebook e LinkedIn para comentar sobre os tópicos mais lembrados.