O que é servidor DNS?

Eles formam a base do Domain Name System (DNS), muitas vezes chamado de "lista telefônica da internet", permitindo que os usuários acessem sites inserindo nomes de domínio em um navegador da web em vez de endereços IP numéricos.

O DNS é composto por dois tipos de servidores DNS: servidores DNS recursivos – também chamados de resolvedores recursivos, resolvedores DNS ou recursors DNS – e servidores de nomes autoritativos, que incluem servidores de nomes raiz, servidores de nomes de domínio de nível superior (TLD) e servidores de nomes de domínio de segundo nível.

Os servidores DNS recursivos fazem a "pergunta", localizando os registros DNS com as informações necessárias para conectar um cliente a um site ou recurso, e os servidores autoritativos armazenam esses registros e fornecem as "respostas". Em conjunto, esses servidores são responsáveis pelo processo de resolução de DNS, traduzindo os nomes de domínio legíveis para humanos em códigos numéricos Internet Protocol (IP) adequados para computadores.

Por exemplo, quando um usuário insere um nome de host (como www.example.com) em um navegador da web, é iniciada uma consulta de DNS, também chamada de solicitação de DNS, e inicia-se o processo de pesquisa de DNS. O navegador envia a consulta ao resolvedor recursivo configurado, que consulta progressivamente os servidores DNS autoritativos para localizar os registros de recursos apropriados para atender à solicitação do usuário.

Esse processo continua até que o resolvedor encontre o servidor de nomes autoritativo associado a esse domínio, juntamente com o A (ou registro AAAA, para endereços IPv6) que contém o endereço IP correto para o domínio. O resolvedor retorna o endereço IP ao navegador e o usuário é conectado aos recursos que ele está procurando.

Os servidores DNS são a infraestrutura essencial que permite que o DNS e a Internet funcionem como os usuários estão acostumados.

Os servidores DNS localizam e armazenam registros DNS e impulsionam a resolução das consultas à medida que elas migram pela sua estrutura hierárquica. O nível mais alto compreende os servidores de nomes raiz do DNS, que direcionam as consultas para os servidores de domínio de nível superior apropriados e, em seguida, para os servidores de nomes de domínio de segundo nível, que armazenam os registros autorizados para um determinado domínio.

Há muitos tipos de registros DNS, e eles servem como uma espécie de banco de dados de instruções sobre onde os recursos estão localizados, além de outras informações críticas do DNS. O exemplo mais familiar podem ser os registros A (para endereços IPv4, ou registros AAAA, para endereços IPv6) que contêm os endereços de IP que os navegadores precisam para ajudar os usuários a acessar os sites que estão procurando.

Mas também existem registros MX que direcionam para o servidor de e-mail de um domínio, registros CNAME que direcionam domínios alternativos para domínios canônicos, registros DNAME que são usados para redirecionar vários subdomínios com um único registro e apontá-los para outro domínio, e muito mais.

Esses registros são hospedados em servidores DNS autoritativos e, para que o DNS funcione, esses servidores devem permanecer íntegros e seguros. Sem servidores DNS em funcionamento, não existe DNS.

Desde o início, o DNS foi projetado com uma estrutura de banco de dados hierárquica e distribuída para facilitar uma abordagem mais dinâmica para a resolução de nomes de domínio, capaz de acompanhar o ritmo de uma rede de computadores em rápida expansão. A hierarquia começa com o nível raiz, indicado por um ponto (.), e se ramifica em domínios de nível superior (TLDs), como ".com", ".org", ".net" ou TLDs com código de país (ccTLDs). ) como ".uk" e ".jp" – e domínios de segundo nível.

As arquiteturas de DNS consistem em dois tipos de servidores de DNS: recursivos e autoritativos. Os servidores DNS recursivos são os que fazem a "solicitação", procurando as informações que conectam um usuário a uma página ou recurso da web. Os servidores autoritativos apresentam as “respostas”.

Os servidores recursivos, também conhecidos como resolvedores recursivos ou resolvedores DNS, normalmente são gerenciados por provedores de serviços de internet (ISPs) ou provedores de serviços de DNS de terceiros. Uma organização também pode hospedar e gerenciar seu próprio resolvedor.

Os resolvedores recursivos atuam em nome do usuário final para lidar com o nome de domínio em um endereço IP. Os resolvedores recursivos também armazenam em cache (temporariamente armazenam os resultados de pesquisas DNS recentes) as respostas a uma solicitação por um período específico (definido pelo valor do time-to-live, ou TTL) para melhorar a eficiência do sistema em consultas futuras ao mesmo domínio.

Quando um usuário digita um endereço da web em um navegador, o navegador conecta um servidor DNS recursivo para resolver a solicitação. Se o servidor recursivo tiver a resposta armazenada em cache, poderá conectar o usuário e concluir a solicitação. Caso contrário, o resolvedor recursivo consulta a hierarquia do DNS até encontrar os registros A (ou AAAA) que contêm o endereço para um determinado domínio.

Os servidores de nomes autoritativos mantêm os registros definitivos de um domínio e respondem às solicitações sobre nomes de domínio armazenados em suas respectivas zonas (normalmente com respostas configuradas pelo proprietário do domínio). Existem diferentes servidores autoritativos, cada um responsável por uma parte distinta do namespace.

Os servidores de nomes DNS autoritativos incluem:

Servidores de nomes raiz

Os servidores de nomes raiz ficam no topo da hierarquia do DNS e são responsáveis por atender a zona raiz (o banco de dados central do DNS). Há 13 "identidades" ou "autoridades" de servidores de nomes raiz (agrupamentos lógicos de servidores raiz), identificadas por letras de A a M. Elas respondem a consultas de registros armazenados na zona raiz e encaminham as solicitações para o servidor de nomes TLD apropriado.

Servidores de nomes de domínio de nível superior (TLD)

Os servidores TLD são responsáveis por gerenciar o próximo nível da hierarquia, incluindo domínios genéricos de nível superior (gTLDs). Os servidores de nomes de TLD direcionam consultas aos servidores de nomes autoritativos para os domínios específicos dentro do seu TLD. Assim, o servidor de nomes de TLD para ".com" direcionaria domínios que terminam em ".com", o servidor de nomes TLD para ".gov" direcionaria domínios que terminam em ".gov", e assim por diante.

Outros servidores de nomes de domínio

Os servidores de nomes de domínio de segundo nível (a maioria dos servidores de nomes de domínio) mantêm arquivos de zona com o endereço IP do nome de domínio completo (por exemplo: "ibm.com").

Os servidores DNS são a infraestrutura sobre a qual o sistema DNS é construído e os componentes que alimentam sua função principal: conectar os usuários a recursos da internet. Os servidores DNS autoritativos armazenam registros DNS e os servidores recursivos consultam esses servidores autoritativos para encontrar os registros necessários para concluir uma solicitação DNS.

A resolução de consultas DNS envolve vários processos e componentes importantes:

Um usuário insere um nome de domínio, como "ibm.com", em um navegador ou aplicativo. Se o endereço IP do site em questão não estiver no cache do navegador, a solicitação será enviada a um resolvedor de DNS recursivo. Normalmente, o dispositivo do usuário tem configurações de DNS predefinidas, fornecidas pelo ISP, que determinam qual resolvedor recursivo recebe a solicitação.

Esse processo está em evolução, já que muitos navegadores modernos suportam DNS over HTTPS (DoH), permitindo consultas DNS via HTTPS, e diversos provedores já contam com servidores preparados para esse tipo de consulta. Por exemplo, se você usar o Firefox nos Estados Unidos, ele enviará, por padrão, a consulta para um servidor DoH da Cloudflare em vez do servidor do seu provedor de internet local. O DoH está se tornando mais popular porque oferece maior privacidade e melhor desempenho, além de outros benefícios.

O resolvedor recursivo verifica seu próprio cache em busca do endereço IP correspondente ao domínio. Se o resolvedor recursivo não tiver os registros necessários em seu cache, ele inicia o processo de busca, começando pelo servidor raiz.

O resolvedor recursivo consulta um servidor de nomes raiz, que responde com uma referência ao servidor de TLD apropriado para o domínio em questão (o servidor de nomes TLD responsável pelos domínios ".com", neste caso).

O resolvedor consulta o servidor de nomes TLD ".com", que responde com o endereço do servidor de nomes autoritativo para "ibm.com."

O resolvedor consulta o servidor de nomes de domínio, que procura o arquivo de zona DNS e responde com o registro correto do nome de domínio fornecido.

O resolvedor recursivo retorna o endereço IP para o dispositivo do usuário. O navegador ou aplicativo pode então iniciar uma conexão com o servidor host nesse endereço IP e acessar o site ou serviço solicitado. O navegador e o resolvedor armazenam em cache os registros de acordo com suas respectivas configurações e TTLs.

O DNS é, basicamente, um protocolo público. Embora os termos "DNS público" e "DNS privado" sejam usados de maneiras diferentes, sem uma definição universal padrão para cada um, eles são frequentemente usados para se referir a configurações e processos de infraestrutura distintos. A maior diferença está na sua finalidade e no público-alvo.

O DNS público é frequentemente usado para se referir ao processo de resolução de DNS "padrão", ou resolvedores de DNS públicos, em que um resolvedor recursivo consulta uma sucessão de servidores autorizados que possuem registros DNS publicamente disponíveis para localizar um endereço IP e, finalmente, conectar um usuário ao site que ele está procurando. Muitas vezes, trata-se de um resolvedor fornecido pelo ISP do usuário ou por um serviço de DNS como o DNS público "quad 8" do Google. Os resolvedores privados também podem ser configurados para consultar o DNS público, mas são mais comumente usados para redes restritas ou corporativas.

Essa consulta DNS padrão provavelmente é chamada de DNS público devido a esses resolvedores disponíveis publicamente e ao fato de que os registros DNS nesses servidores autoritativos podem ser acessados por qualquer pessoa com acesso à internet.

O "DNS privado" às vezes é usado para descrever o uso de protocolos de criptografia como DNS over TLS (DoT) ou DNS over HTTPS (DoH). No entanto, eles são descritos mais precisamente como "funcionalidades de privacidade" ou "protocolos de privacidade" em vez de "DNS privado". O processo de resolução permanece o mesmo, pois um resolvedor utiliza o DNS disponível publicamente para encontrar o que precisa. Nesse caso, isso é feito apenas com transferência criptografada.

O DNS privado também é usado para se referir à pesquisa dentro de uma rede interna fechada, como redes corporativas ou nuvens privadas virtuais, com acesso restrito a usuários autorizados. Nesse sistema, os resolvedores privados configurados localmente consultam servidores privados para localizar recursos e sites dentro de uma rede interna. Esses servidores são configurados para atender apenas zonas privadas e endereços IP internos, e a rede mantém URLs internas e endereços IP ocultos do restante da internet. Esse tipo de DNS privado proporciona às organizações maior controle e segurança.

Há muitas maneiras de configurar esse tipo de rede. Uma maneira é por meio de um domínio de uso especial, como ".local", que é usado para resolução em redes locais. Outra opção é ter subdomínios privados de domínios que estão disponíveis publicamente na internet. Esse subdomínio privado está disponível apenas para indivíduos ou agentes que usam resolvedores na rede interna.

Uma configuração corporativa comum que combina o DNS "público" e o "privado" é chamada de "DNS de horizonte dividido" ou "split brain DNS". Nessa configuração, um servidor recursivo local consulta servidores autoritativos privados e locais para requisições internas e utiliza o DNS padrão para consultas externas. O DNS de horizonte dividido normalmente inclui uma lista de nomes de domínio (uma espécie de "lista de permissões") que informa ao servidor quais solicitações vão para os servidores internos e quais devem ser encaminhadas para a internet pública.

Além do roteamento anycast, balanceamento de carga, direcionamento de tráfego DNS, recursos de monitoramento e solução de problemas em tempo real, muitos provedores de DNS gerenciado oferecem proteções avançadas de segurança como parte de seu serviço. Independentemente de uma organização usar um provedor de DNS gerenciado ou autogerenciar sua infraestrutura de DNS, proteger os servidores é uma parte importante para manter as redes e os recursos de rede seguros.

As práticas e os protocolos de segurança de DNS que ajudam a manter os servidores protegidos e disponíveis incluem: