Home 01 - Conceitos 01 - Redes 07 - Camada de Aplicação 02 - Protocolos Exemplos 03 - Protocolo DNS 01 - Fundamentos

O DNS (Domain Name System) é a base de dados distribuída mais antiga, resiliente e escalável da história da computação. Pela sua própria natureza técnica, o DNS não é um repositório central único; em vez disso, é uma federação de milhões de servidores independentes que colaboram para fornecer um serviço de resolução de nomes global. Esta arquitetura distribuída, padronizada nas RFC 1034 e RFC 1035, é o que permite à Internet suportar bilhões de consultas diárias com redundância e sem pontos únicos de falha catastrófica.

1. A Estrutura de Particionamento: Zonas DNS

Diferente de um banco de dados relacional clássico (como MySQL ou Oracle), o DNS segmenta seus dados em Zonas.
- A Zona: É um fragmento contíguo do espaço de nomes sobre o qual um administrador específico tem autoridade técnica.
- Folhas e Ramos: Uma zona pode conter apenas um domínio simples (empresa.com) ou abarcar subdomínios, desde que a autoridade não tenha sido delegada para outro servidor.
- Zone Files: No nível do sistema de arquivos do servidor, cada zona é representada por um arquivo de texto plano que contém os Resource Records (RRs) do domínio.

2. O Modelo Mestre-Escravo e Replicação (RFC 1996)

A distribuição de dados no DNS segue um modelo de replicação hierárquica para garantir que a carga de consultas seja dividida e que o sistema sobreviva a quedas de servidores individuais.

Servidor Primário (Master)

É o servidor onde reside a cópia “fonte da verdade” do arquivo de zona. Todas as alterações, como a adição de um novo IP de host, devem ser feitas obrigatoriamente aqui.

Servidores Secundários (Slaves)

São réplicas idênticas do primário que atendem consultas de leitura.
- Transferência de Zona (AXFR): O ato técnico de copiar todo o arquivo de zona do mestre para o escravo através de uma conexão TCP.
- Transferência Incremental (IXFR): Uma otimização que permite transferir apenas as linhas do arquivo que sofreram alterações desde a última sincronização, economizando banda e tempo de processamento.
- NOTIFY: Quando o mestre sofre uma alteração, ele envia um alerta imediato aos escravos para que iniciem a sincronização.

3. Consistência Eventual e o SOA (Start of Authority)

O DNS não garante consistência “em tempo real” em toda a rede mundial. Ele utiliza o modelo de Consistência Eventual gerenciado pelo registro SOA.
- Serial Number: Um número de versão da zona. O escravo só sincroniza se o serial do mestre for maior que o seu.
- Refresh / Retry / Expire: Parâmetros definidos no SOA que instruem os escravos sobre com que frequência devem verificar alterações e por quanto tempo podem continuar servindo dados se o mestre ficar offline.

4. Cyber Security: Riscos na Distribuição de Dados

Para um profissional de Cyber Security, a distribuição de dados é uma superfície de ataque crítica.

Vazamento de Informações via AXFR (Transferência de Zona Não Autorizada)

Se o servidor DNS primário estiver mal configurado, qualquer pessoa pode solicitar um AXFR e baixar o mapa completo da infraestrutura interna da empresa.
- O Perigo: O atacante obtém todos os nomes de servidores internos, IPs de VPNs, endereços de roteadores e gateways que não deveriam ser públicos, facilitando a fase de reconhecimento (Reconnaissance).
- A Defesa: Configurar o MTA/DNS para permitir transferências de zona apenas para IPs específicos dos servidores secundários conhecidos.

DNS Cache Poisoning no Nível de Distribuição

Ataques que miram servidores recursivos de grandes ISPs impactam milhões de usuários. Como a base de dados é distribuída, se um servidor de “salto intermediário” for envenenado, a resposta falsa será propagada como se fosse legítima para todos os clientes abaixo dele na cadeia de resolução.

5. Escalabilidade e Anycast no Banco de Dados

O banco de dados DNS escala através da redundância física e lógica.
- Anycast Routing: Servidores críticos (como os Root e grandes TLDs) utilizam endereços IPs Anycast. Isso significa que o banco de dados é replicado em centenas de locais físicos ao redor do globo, e o roteamento BGP entrega a consulta ao “nó” mais próximo. Se um nó na Europa cair, as consultas são desviadas automaticamente para um nó nos EUA sem alteração de IP.

6. Diagnóstico e Auditoria: O Laboratório de Dados

Um analista de redes deve saber verificar a integridade da base de dados distribuída.

Consultando o Serial Number para Sincronismo:

dig @ns1.empresa.com.br empresa.com.br SOA +short
dig @ns2.empresa.com.br empresa.com.br SOA +short
# Se os seriais forem diferentes, os dados estao desconectados.

Testando a Vulnerabilidade de AXFR:
dig @ns1.alvo.com alvo.com AXFR
Se este comando retornar a lista completa de subdomínios, o servidor está vulnerável e expondo segredos de rede.

7. Conclusão: A Robustez da Descentralização

O DNS foi um dos primeiros sistemas a provar que a descentralização é o caminho para a sobrevivência em redes de escala planetária. Sua arquitetura de banco de dados distribuído garante que, mesmo que partes inteiras da Internet sofram apagões ou ataques, a resolução de nomes para o restante do mundo continue operante. Entender os mecanismos de zonas, transferências e consistência eventual é obrigatório para quem deseja administrar redes seguras e resilientes.