Home 01 - Conceitos 01 - Redes 07 - Camada de Aplicação 02 - Protocolos Exemplos 03 - Protocolo DNS 01 - Fundamentos

A Distribuição e Hierarquia do DNS são os pilares que garantem a escalabilidade massiva da Internet. Diferente de uma base de dados centralizada que colapsaria sob o peso de bilhões de consultas simultâneas, o DNS utiliza um modelo de Árvore Invertida e a Delegação de Autoridade para segmentar a responsabilidade técnica sobre o espaço de nomes global. Sem essa arquitetura hierárquica, a resolução de nomes seria lenta, insegura e administrativamente impossível.

1. O Modelo da Árvore Invertida

O espaço de nomes DNS é estruturado como uma árvore onde a Raiz (Root) está no topo e os ramos (domínios e subdomínios) descem em níveis crescentes de especificidade.

A Raiz (Root Zone: .)

Representada tecnicamente por um ponto invisível no final de cada FQDN (Full Qualified Domain Name), como google.com..
- Servidores Raiz: Existem 13 endereços IP lógicos (A a M) que gerenciam a zona raiz.
- Anycast: Embora existam apenas 13 IPs, existem centenas de servidores físicos distribuídos globalmente usando a técnica de Anycast, permitindo que uma consulta à raiz seja atendida pelo servidor geograficamente mais próximo, reduzindo a latência e aumentando a resiliência contra ataques DDoS.

2. Níveis de Hierarquia e Gestão

Cada nível da árvore é gerenciado por uma entidade diferente, o que descentraliza o controle e a carga de trabalho.

TLD (Top-Level Domains)

São os sufixos que identificam o propósito ou a origem do domínio.
- gTLD (Generic TLD): .com, .net, .org, .info. Gerenciados por entidades como Verisign (.com).
- ccTLD (Country Code TLD): .br, .uk, .jp, .de. Gerenciados por órgãos nacionais (ex: Registro.br no Brasil).
- Servidores TLD: Estes servidores não sabem o IP do seu site; eles sabem apenas quais servidores DNS cuidam do seu domínio.

SLD (Second-Level Domains)

É o nome que as empresas registram, como empresa.com. A responsabilidade técnica pela zona empresa.com é delegada para os servidores DNS escolhidos pelo proprietário.

3. O Mecanismo de Delegação e Glue Records

A delegação é o ato técnico de passar a autoridade sobre uma parte da árvore para outro servidor.

O Papel dos Registros NS e Glue

Imagine que a zona .br delega o domínio site.com.br para o servidor ns1.site.com.br. Surge o problema: como o DNS encontra o IP de ns1.site.com.br se ele mesmo é um subdomínio de algo que ainda não foi resolvido?
- Glue Records (Registros de Cola): São registros A ou AAAA injetados na zona superior (pai) que “colam” o IP do servidor de nomes ao seu nome. Sem as Glue Records, a resolução entraria em um loop infinito de dependência.

4. Distribuição de Carga e Alta Disponibilidade

A distribuição não é apenas hierárquica, mas redundante. Cada zona DNS de produção deve possuir, no mínimo, dois servidores DNS autoritativos (Primário e Secundário) em redes fisicamente distintas.
- Sincronização: O servidor secundário solicita transferências de zona (AXFR / IXFR) periodicamente para garantir que sua cópia da base de dados esteja idêntica à do primário.
- Round-Robin DNS: Quando consultado, o servidor DNS pode retornar múltiplos IPs para um único nome, distribuindo o tráfego dos usuários entre vários servidores web de forma simples e eficaz.

5. Escalabilidade através do Caching Distribuído

O segredo da velocidade do DNS não é a rapidez dos servidores, mas o fato de que a maioria das consultas nunca chega aos servidores raiz.
- Recursive Resolvers: Servidores como os do Google (8.8.8.8) ou Cloudflare (1.1.1.1) armazenam em cache os resultados das consultas anteriores.
- TTL (Time to Live): Cada registro DNS define por quantos segundos ele pode ser guardado no cache antes de uma nova consulta ser obrigatória. Isso reduz drasticamente o tráfego nos servidores de nível superior da hierarquia.

6. Perspectiva de Cyber Security: Vulnerabilidades de Hierarquia

A hierarquia cria pontos de confiança que podem ser explorados.

Ataques de Subdomain Takeover

Ocorre quando uma zona DNS ainda aponta para um subdomínio de um serviço de terceiros (ex: Amazon S3 ou GitHub Pages) que foi abandonado pelo dono original.
- Risco: Um atacante pode registrar aquele subdomínio abandonado e assumir o controle técnico sobre o nome de domínio da empresa, capturando cookies, sessões e realizando phishing com a reputação da marca.

Ataques aos Servidores Raiz

Embora o Anycast torne os servidores raiz extremamente resistentes a ataques DDoS tradicionais, um “apagão” da zona raiz tornaria a Internet global inoperante em poucas horas, à medida que os caches TTL dos servidores recursivos fossem expirando.

7. Diagnóstico Técnico de Hierarquia

Para entender como a hierarquia está delegando o seu domínio:

# Rastreia cada salto desde a raiz ate o servidor autoritativo
dig +trace meu-dominio.com.br

Este comando mostra ao analista de redes exatamente em qual ponto da hierarquia ocorre uma possível falha de configuração ou sequestro de DNS.

[!IMPORTANT]
A integridade da hierarquia DNS é mantida pela confiança mútua fundamentada em chaves criptográficas (DNSSec). Garantir que a delegação de autoridade entre o PAI (TLD) e o FILHO (SLD) esteja correta é a tarefa número um de qualquer administrador de sistemas que preze pela disponibilidade de seus serviços online.