Às vezes, um site ou aplicativo não funcionam corretamente devido a problemas de DNS, incluindo registros de DNS configurados incorretamente, latência ou ataques mal-intencionados.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
O Sistema de Nomes de Domínio, ou DNS, mapeia nomes de domínio para endereços de IP de forma que as pessoas possam usar aplicativos web sem memorizar endereços de rede precisos. O DNS também é usado para armazenar muitas outras informações associadas a um domínio — como, por exemplo, para onde direcionar e-mails. O DNS poderá causar problemas se não for configurado corretamente, se estiver na mira de invasores ou se outros desafios técnicos ocorrerem. Aqui está uma visão geral de alguns dos problemas de DNS mais comuns que os administradores de sites provavelmente precisarão enfrentar.
Os registros de DNS para o domínio podem ter sido configurados incorretamente. Se o nome do domínio apresentar erros de ortografia nos registros, se o endereço de IP errado estiver listado no registro ou se outras informações essenciais estiverem ausentes ou incorretas, provavelmente não será possível resolver o DNS.
Além desses erros básicos, vários tipos de registros de DNS estão associados a um domínio e problemas nesses registros poderiam causar erros de DNS. Por exemplo, um domínio poderia ter um registro A, mas não ter um registro AAAA, o que causaria uma falha inicial na resolução de DNS para clientes que usam IPv6. Por outro lado, se o cliente estivesse tentando acessar um domínio alternativo (por exemplo, "blog.example.com" em vez de "www.example.com"), o registro CNAME do domínio poderia não apontar para o lugar certo.
Para corrigir esse erro, os administradores do site devem verificar os registros de DNS no provedor de hospedagem ou no painel de controle do provedor de DNS e se certificar de que não há nenhum erro. A seguir, os registros de DNS precisarão ser resgatados pelos resolvedores de DNS — os servidores que respondem às consultas de DNS —, para que o sistema mantenha as versões mais atualizadas. Desde que o TTL configurado não seja muito alto (veja abaixo), isso não deve demorar muito.
Todos os registros de DNS incluem um tempo de vida (TTL),* que é o número de segundos pelos quais um servidor poderá considerar o registro válido antes de precisar consultar novamente para obter uma atualização. Essencialmente, o TTL é como uma data de "vencimento" de um pacote de alimentos: os registros são considerados utilizáveis até que o tempo do TTL se esgote.
Se o TTL configurado for muito alto, os servidores precisarão esperar demais para verificar se houve uma atualização nos registros de DNS. Isso significa que quaisquer alterações serão disseminadas muito lentamente pelo sistema de nomes de domínio. Se os registros de DNS tiverem sido atualizados para um domínio, mas os navegadores não tiverem recebido as atualizações, poderão ocorrer tentativas de acessar sites no endereço de IP errado.
Para evitar esse problema de DNS, certifique-se de que os TTLs não sejam muito longos. Normalmente, o valor máximo absoluto é de 86.400 (o que, em segundos, equivale a 24 horas), mas a maioria dos TTLs é muito mais curta (6 horas ou menos). O TTL exato para um registro deve depender da frequência e da rapidez com que se espera que esse registro seja atualizado no futuro (confira as informações sobre TTL para os registros de DNS da Cloudflare).
Além disso, alguns resolvedores de DNS permitem que os administradores de domínio forcem uma atualização de seus caches para um domínio — você pode fazer isso para o 1.1.1.1 da Cloudflare aqui. Porém, fazer isso não limpa todos os caches de todos os resolvedores no mundo inteiro e, portanto, não substitui uma configuração adequada de TTLs.
* O TTL também é usado em outras áreas da rede, como o roteamento e o armazenamento em cache.
Os ataques de negação de serviço distribuída (DDoS) visam fazer exatamente o que seu nome diz: negar serviço. Os ataques de DDoS bombardeiam o alvo com um tráfego inútil de forma que os usuários legítimos não possam usar o serviço. Esses ataques podem deixar um site, um aplicativo, uma API ou um servidor indisponíveis por vários minutos ou horas de cada vez.
Quando o alvo do DDoS for o DNS propriamente dito, os navegadores serão incapazes de resolver domínios, o que significa que os usuários não poderão carregar sites e aplicativos porque seu endereço IP não poderá ser encontrado. Um ataque massivo desse tipo ocorreu em 2016, quando um ataque à Dyn deixou usuários em muitas partes do mundo incapazes de usar a internet. Ataques de DDoS menores ao DNS ocorrem regularmente e podem ser mais focados.
Evite esse problema ao se certificar de que o provedor de DNS de cada domínio tenha uma proteção contra DDoS implementada, ou ao implementar uma mitigação de DDoS para resoluções de DNS auto-hospedadas.
Latência é o tempo que os dados levam para ir de um ponto a outro. Uma latência muito alta resulta em respostas lentas, ou até mesmo em tempos limite de solicitação atingidos que encerram a conexão.
O congestionamento de rede pode causar latência, mas geralmente o maior responsável é a localização do servidor. As consultas de DNS são bastante leves se comparadas a outros tipos de tráfego da web, mas um resolvedor de DNS distante significa que um usuário poderá precisar aguardar muitos segundos enquanto a solicitação viaja até o servidor e a resposta retorna do servidor. Esse problema poderá aparecer quando os usuários estiverem tentando carregar conteúdo da web a partir de um local inesperado, ou de uma região do mundo diferente da habitual, longe da rede de servidores de um provedor de DNS.
Para corrigir uma alta latência de DNS, use um provedor de DNS que tenha pontos de presença próximos aos usuários da internet no mundo inteiro. Saiba mais sobre a rede global da Cloudflare.
Nos ataques de envenenamento de cache de DNS, um agente mal-intencionado engana um resolvedor de DNS fazendo com que armazene em cache um endereço IP incorreto para um domínio. O resultado é que os usuários que estiverem tentando carregar esse domínio serão direcionados para o endereço IP fornecido pelo invasor.
Adotar o DNSSEC é uma forma de evitar que dados não verificados entrem nos caches do resolvedor de DNS. O DNSSEC autentica as mensagens entre servidores de DNS. Sem o DNSSEC, o DNS opera adotando um princípio de confiança que os invasores podem explorar.
Um ataque de sequestro de domínio ocorre quando invasores alteram os registros de DNS associados a um domínio. Uma maneira frequente de conseguir isso é fazendo com que os registradores de nome de domínio transfiram domínios para eles. Como resultado, os visitantes do site talvez carreguem a página web errada — muitas vezes mal-intencionada —, ou o domínio simplesmente não seja resolvido.
A aplicação de bloqueios de domínio, tanto no nível do registrador quanto no nível do registro, poderá dificultar consideravelmente o sequestro de DNS para os invasores.
"NXDOMAIN", em linguagem de computador, significa "domínio inexistente". Essencialmente, esse erro significa que, segundo a determinação do dispositivo do usuário, o domínio não existe: seria como tentar ligar para um número de telefone inexistente ou enviar um pacote para uma cidade que não existe.
Trata-se de um erro abrangente, que tanto pode ser causado pelos problemas listados acima quanto por problemas do lado do cliente (o dispositivo no qual a pessoa estiver tentando carregar o site):
Os usuários podem tentar se reconectar à rede local, fazer uma atualização forçada da página da web (Ctrl/Command + Shift + R), abri-la em um navegador diferente ou alterar suas configurações de DNS para usar um resolvedor diferente (a Cloudflare oferece o resolvedor de DNS 1.1.1.1 gratuito, altamente confiável).
Um erro "NXDOMAIN" pode resultar em uma mensagem do tipo "Esse site não pode ser acessado" ou "O servidor de DNS não está respondendo" no navegador. Conforme descrito acima, vários problemas podem causar essa mensagem de erro.
Para as pessoas e empresas que executam aplicativos web, a maioria desses problemas pode ser corrigida ou mitigada com a adoção da Cloudflare, que faz proxy do tráfego para os sites e usa as medidas de segurança mais recentes para proteger contra ataques de DDoS, sequestro de DNS, envenenamento de cache de DNS e configurações de DNS incorretas. Confira os planos da Cloudflare e comece a usar.