Segurança de DNS

O DNS não foi projetado com a segurança em mente e existem muitos tipos de ataques criados para explorar vulnerabilidades no sistema DNS.

Share facebook icon linkedin icon twitter icon email icon

Segurança de DNS

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Entenda o que é o DNSSEC e como ele funciona
  • Familiarize-se com os ataques de DNS mais comuns
  • Diferencie DNSSEC e outras soluções de segurança de DNS

Por que a segurança de DNS é importante?

As consultas padrão de DNS, que são necessárias para quase todo o tráfego da internet, criam oportunidades para explorações do DNS como o sequestro de DNS e ataques man-in-the-middle. Esses ataques podem redirecionar o tráfego que chega a um site para uma cópia falsa do site, coletando informações confidenciais do usuário e expondo as empresas a um grande risco de responsabilidade civil. Uma das maneiras mais conhecidas de se proteger contra as ameaças ao DNS é adotar o protocolo DNSSEC.

O que é DNSSEC?

Como muitos protocolos da internet, o sistema DNS não foi projetado tendo a segurança em mente e contém várias limitações de design. Essas limitações, combinadas aos avanços da tecnologia, tornaram mais fácil para os invasores sequestrar uma pesquisa de DNS para fins mal-intencionados, como enviar um usuário para um site fraudulento que pode distribuir malware ou coletar informações pessoais. As Extensões de Segurança do DNS (DNSSEC) são um protocolo de segurança criado para mitigar esse problema. O DNSSEC protege contra ataques assinando os dados digitalmente para ajudar a garantir sua validade. Para garantir uma pesquisa segura, a assinatura deve ocorrer em todos os níveis do processo de pesquisa de DNS.

Como muitos protocolos da internet, o sistema DNS não foi projetado tendo a segurança em mente e contém várias limitações de design. Essas limitações, combinadas aos avanços da tecnologia, tornaram mais fácil para os invasores sequestrar uma pesquisa de DNS para fins mal-intencionados, como enviar um usuário para um site fraudulento que pode distribuir malware ou coletar informações pessoais.


As Extensões de Segurança do DNS (DNSSEC) são um protocolo de segurança criado para mitigar esse problema. O DNSSEC protege contra ataques assinando os dados digitalmente para ajudar a garantir sua validade. Para garantir uma pesquisa segura, a assinatura deve ocorrer em todos os níveis do processo de pesquisa de DNS.


Esse processo de assinatura é semelhante a alguém que assina um documento legal com uma caneta: essa pessoa assina de uma forma exclusiva que ninguém consegue copiar, e um perito forense pode examinar a assinatura e confirmar se o documento foi realmente assinado por essa pessoa. Essas assinaturas digitais garantem que os dados não foram adulterados.


O DNSSEC implementa uma política hierárquica de assinatura digital em todas as camadas de DNS. Por exemplo, no caso de uma pesquisa do domínio "google.com", um servidor raiz de DNS assinaria uma chave para o nameserver .COM e o nameserver .COM assinaria uma chave para o nameserver autoritativo do Google.com.


Embora uma segurança aprimorada seja sempre a melhor opção, o DNSSEC foi projetado para ser compatível com versões anteriores para garantir que as pesquisas tradicionais de DNS ainda sejam resolvidas corretamente, embora sem a segurança adicional. O DNSSEC foi criado para funcionar com outras medidas de segurança, como os protocolos SSL/TLS, como parte de uma estratégia holística de segurança na internet.


O DNSSEC cria um elo de confiança do tipo principal-secundário que viaja até a zona raiz. Essa cadeia de confiança não pode ser comprometida em nenhuma camada do DNS; caso contrário, a solicitação ficará vulnerável a um ataque man-in-the-middle.


Para fechar a cadeia de confiança, a própria zona raiz precisa ser validada (como comprovadamente livre de adulterações ou fraudes), e na realidade isso é feito usando intervenção humana. Curiosamente, naquilo que é chamado Cerimônia de Assinatura da Zona Raiz, pessoas selecionadas do mundo inteiro se reúnem para assinar o DNSKEY RRset da zona raiz de maneira pública e auditada.

Abaixo uma explicação mais detalhada de como o DNSSEC funciona >>>

Quais são alguns dos ataques comuns envolvendo o DNS?

O DNSSEC é um poderoso protocolo de segurança, mas, infelizmente, não é adotado universalmente no momento. Essa falha na adoção, somada a outras possíveis vulnerabilidades, além do fato de o DNS ser parte integrante da maioria das solicitações da Internet, faz do DNS o principal alvo de ataques maliciosos — os invasores descobriram várias maneiras de visar e explorar os servidores DNS. Abaixo algumas das mais comuns:

Falsificação de DNS/envenenamento de cache: trata-se de um ataque no qual dados forjados de DNS são introduzidos no cache de um resolvedor de DNS e, como resultado, o resolvedor retorna um endereço IP incorreto para um domínio. Ao invés de ir para o site correto, o tráfego pode ser desviado para uma máquina mal-intencionada ou para qualquer outro lugar que o invasor desejar; frequentemente, será uma réplica do site original usada para fins mal-intencionados, como a distribuição de malware ou a coleta de informações de login.

Tunelamento de DNS: esse ataque encapsula outros protocolos para atravessar as consultas e respostas de DNS. Os invasores podem usar SSH, TCP ou HTTP para transmitir malware ou informações roubadas nas consultas de DNS sem serem detectados pela maioria dos firewalls.

Sequestro de DNS: no sequestro de DNS, o invasor redireciona as consultas para um nameserver de domínio diferente. Isso pode ser feito com malware ou com a modificação não autorizada de um servidor DNS. Embora o resultado seja semelhante ao da falsificação de DNS, trata-se de um ataque fundamentalmente diferente, pois visa o registro DNS do site no nameserver, e não no cache de um resolvedor.

DNS Hijacking

Ataque NXDOMAIN: trata-se de um tipo de ataque de inundação do DNS no qual um invasor inunda um servidor DNS com solicitações, solicitando registros que não existem, na tentativa de causar negações de serviço para o tráfego legítimo. Isso pode ser feito usando ferramentas de ataque sofisticadas que podem gerar automaticamente subdomínios exclusivos para cada solicitação. Os ataques NXDOMAIN também podem visar um resolvedor recursivo com o objetivo de encher o cache do resolvedor com solicitações falsas (lixo eletrônico).

Ataque de domínio fantasma: um ataque de domínio fantasma tem um resultado semelhante ao de um ataque NXDOMAIN a um resolvedor de DNS. O invasor configura vários servidores de um domínio "fantasma" que não respondem às solicitações ou o fazem muito lentamente. O resolvedor é atingido por uma enxurrada de solicitações para esses domínios e fica paralisado à espera de respostas, acarretando um desempenho lento e a negação de serviço.

Ataque de subdomínio aleatório: nesse caso, o invasor envia consultas de DNS para vários subdomínios aleatórios inexistentes de um site legítimo. O objetivo é criar uma negação de serviço do nameserver autoritativo do domínio, impossibilitando as pesquisas do site no nameserver. Como efeito colateral, o ISP que atende ao invasor também pode ser afetado, pois o cache do resolvedor recursivo ficará carregado de solicitações incorretas.

Ataque de bloqueio de domínio: os criminosos orquestram essa forma de ataque configurando domínios e resolvedores especiais para criar conexões TCP com outros resolvedores legítimos. Quando os resolvedores visados enviam solicitações, esses domínios retornam fluxos lentos de pacotes aleatórios, paralisando os recursos do resolvedor.

Ataque de CPEs baseado em botnet: esses ataques são realizados usando dispositivos de CPE (Equipamento Local do Cliente, ou seja, hardware fornecido por provedores de serviços para uso de seus clientes, como modems, roteadores, caixas de cabos etc.). Os invasores comprometem os CPEs e os dispositivos se tornam parte de uma botnet que é usada para executar ataques de subdomínios aleatórios contra um site ou domínio.

Qual é a melhor maneira de se proteger contra ataques baseados em DNS?

Além do DNSSEC, um operador de uma zona DNS pode adotar outras medidas para proteger seus servidores. A infraestrutura de provisionamento em excesso é uma estratégia simples para superar os ataques de DDoS. Simplificando, se o seu nameserver for capaz de lidar com um tráfego muitas vezes superior ao esperado, será mais difícil para um ataque baseado em volume conseguir sobrecarregar seu servidor.


O roteamento Anycast é outra ferramenta útil que pode prejudicar os ataques de DDoS; o Anycast permite que diversos servidores compartilhem um único endereço IP, então, mesmo se um servidor DNS for desligado, ainda haverá outros em funcionamento. Outra estratégia popular para proteger os servidores DNS é um DNS Firewall.

O que é um DNS Firewall?

O DNS Firewall é uma ferramenta que pode fornecer diversos serviços de segurança e desempenho para servidores DNS. Um DNS Firewall fica entre o resolvedor recursivo de um usuário e o nameserver autoritativo do site ou serviço que ele está tentando acessar. O firewall pode fornecer um serviço de limitação de taxa para desligar os invasores que tentam sobrecarregar o servidor. Se o servidor tiver um tempo de inatividade como resultado de um ataque ou por qualquer outro motivo, o DNS Firewall poderá manter o site ou o serviço do operador funcionando, fornecendo respostas de DNS a partir do cache. Além de seus recursos de segurança, um DNS Firewall também pode fornecer soluções de desempenho, como pesquisas de DNS mais rápidas e custos reduzidos de largura de banda para o operador de DNS. Saiba mais sobre o DNS Firewall da Cloudflare.

O DNS Firewall é uma ferramenta que pode fornecer diversos serviços de segurança e desempenho para servidores DNS. Um DNS Firewall fica entre o resolvedor recursivo de um usuário e o nameserver autoritativo do site ou serviço que ele está tentando acessar. O firewall pode fornecer um serviço de limitação de taxa para desligar os invasores que tentam sobrecarregar o servidor.


Se o servidor tiver um tempo de inatividade como resultado de um ataque ou por qualquer outro motivo, o DNS Firewall poderá manter o site ou o serviço do operador funcionando, fornecendo respostas de DNS a partir do cache. Além de seus recursos de segurança, um DNS Firewall também pode fornecer soluções de desempenho, como pesquisas de DNS mais rápidas e custos reduzidos de largura de banda para o operador de DNS. Saiba mais sobre o DNS Firewall da Cloudflare.

O DNS como uma ferramenta de segurança

Os resolvedores de DNS também podem ser configurados para fornecer soluções de segurança para seus usuários finais (pessoas que navegam na internet). Alguns resolvedores de DNS fornecem funcionalidades como a filtragem de conteúdo, que pode bloquear sites conhecidos por distribuir malware e spam, e a proteção contra botnets, que bloqueia a comunicação com botnets conhecidas. Muitos desses resolvedores de DNS seguros são de uso gratuito e um usuário pode se transferir para um desses serviços recursivos de DNS alterando uma única configuração em seu roteador local. O DNS da Cloudflare enfatiza a segurança.