Home 01 - Conceitos 01 - Redes 07 - Camada de Aplicação 02 - Protocolos Exemplos 03 - Protocolo DNS 03 - Registro de Recursos

Os Registros de Recursos (Resource Records - RR) são as unidades fundamentais de dados que compõem o sistema DNS. Cada informação contida em um arquivo de zona, desde um simples endereço IP até uma chave criptográfica complexa, é armazenada sob o formato de um RR padronizado. A conformidade técnica destes registros com as eRFC 1034 e RFC 1035 é o que garante que servidores DNS de fabricantes diferentes (como BIND, Microsoft DNS e PowerDNS) possam trocar informações de forma íntegra e interoperável.

1. A Estrutura Genérica de um Registro (RFC 1035)

Independentemente do que um registro armazena (seja uma tradução de nome ou um servidor de e-mail), ele segue um formato binário e textual fixo:

[NAME] [TTL] [CLASS] [TYPE] [RDATA]
  • NAME (Nome): O nome de domínio ao qual o registro se refere (ex: www.empresa.com.).
  • TTL (Time to Live): O tempo em segundos que um servidor recursivo pode manter este registro em cache antes de buscar uma nova versão.
  • CLASS (Classe): Quase universalmente definida como IN (Internet). Outras classes como CH (Chaos) são vestígios históricos pouco usados.
  • TYPE (Tipo): Um código numérico que define a função do registro (ex: A=1, NS=2, MX=15).
  • RDATA (Resource Data): O conteúdo variável do registro, cujo formato depende inteiramente do TYPE (ex: um endereço IP de 32 bits para o tipo A).

2. Categorização Funcional dos Registros

Os RRs são divididos em categorias estratégicas de acordo com o serviço que suportam na Camada de Aplicação.

Registros de Endereçamento e Apelidos

  • A e AAAA: Mapeiam nomes para IPs IPv4 e IPv6, respectivamente.
  • CNAME: Define nomes canônicos (apelidos) para hosts existentes.

Registros de Infraestrutura e Autoridade

  • SOA (Start of Authority): O registro mestre da zona, contendo parâmetros de sincronização e o endereço do administrador.
  • NS (Name Server): Delegam a autoridade de uma zona para servidores específicos.

Registros de Serviço e Comunicação

  • MX (Mail Exchange): Identificam os servidores que processam e-mails para o domínio.
  • SRV (Service): Localizam serviços específicos por porto e protocolo (ex: _sip._udp.empresa.com).

3. Registros Modernos de Texto e Segurança

A flexibilidade do campo TXT permitiu que o DNS se tornasse um repositório de validação de segurança massivo.

  • TXT (Text Record): Originalmente para notas legíveis por humanos, hoje é o motor por trás do SPF (Sender Policy Framework), DKIM (assinaturas de e-mail) e verificações de propriedade de domínio para Google/Microsoft.
  • CAA (Certification Authority Authorization): Informa ao mundo quais Autoridades Certificadoras (CAs) têm permissão para emitir certificados SSL para aquele domínio, prevenindo fraudes de TLS.

4. Perspectiva de Cyber Security: O DNS como Base de Dados de Reconhecimento

Para um analista de Cyber Security, os registros de recursos de uma empresa são o mapa da sua superfície de ataque.

Reconhecimento Passivo (Recon)

Atacantes consultam exaustivamente os RRs de uma organização para identificar:
- Infraestrutura de Nuvem: Através de registros CNAME que apontam para AWS ou Azure.
- Provedores de E-mail: Analisando registros MX e SPF.
- Sistemas Críticos: Buscando nomes como vpn, dev, db, git através de ataques de dicionário ou consultas de registros SRV.

Injeção de RRs Maliciosos (Cache Poisoning)

Se um atacante conseguir injetar um registro de recurso falso em um servidor recursivo, ele assume o controle sobre o destino daquele serviço. Um registro NS falsificado permite que o atacante “sequestre” toda a autoridade de uma sub-zona inteira, redirecionando o tráfego de forma invisível.

5. Diagnóstico e Auditoria de Registros

Dominar as ferramentas de consulta é fundamental para validar a publicação correta dos RRs:

# Consultando todos os registros comuns de um dominio
dig empresa.com ANY

# Verificando as politicas de seguranca em registros TXT
dig empresa.com TXT

# Consultando o registro de autoridade da zona (SOA)
dig empresa.com SOA

Análise de RDLENGTH (Binary Audit): Em análises de pacotes no Wireshark, o campo RDLENGTH informa o tamanho exato em bytes dos dados que seguem, permitindo detectar anomalias ou estouros de buffer em implementações de DNS vulneráveis.

6. O Desafio do TTL na Propagação de Dados

O campo TTL é o maior aliado e o maior inimigo do administrador de redes.
- Baixo TTL (ex: 60s): Permite mudanças rápidas de infraestrutura, mas aumenta a carga de consultas no servidor DNS.
- Alto TTL (ex: 86400s / 1 dia): Reduz o tráfego e aumenta a velocidade de resposta, mas dificulta a correção de um IP errado, que ficará “preso” no cache de milhões de usuários até o tempo expirar.

7. Conclusão: A Inteligência no Registro

Os Registros de Recursos são muito mais do que simples linhas em um arquivo; eles são a inteligência programável do DNS. Sua correta configuração, seguindo os tipos apropriados para cada função de rede, é o que garante a estabilidade dos serviços web, a fidedignidade dos sistemas de e-mail e a segurança contra ataques de infraestrutura. Dominique a anatomia dos RRs e você dominará o fluxo de dados da rede global.