Segurança de DNS

O DNS não foi projetado com a segurança em mente e existem muitos tipos de ataques criados para explorar vulnerabilidades no sistema DNS.

Share facebook icon linkedin icon twitter icon email icon

Segurança de DNS

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Entenda o que é o DNSSEC e como ele funciona
  • Familiarize-se com os ataques de DNS mais comuns
  • Diferencie DNSSEC e outras soluções de segurança de DNS

Por que a segurança de DNS é importante?

As consultas de

DNS padrão, necessárias para quase todo o tráfego da web, criam oportunidades para explorações de DNS, como sequestro de DNS e ataques man-in-the-middle. Esses ataques podem redirecionar o tráfego de entrada de um site para uma cópia falsa do site, coletando informações confidenciais do usuário e expondo as empresas a grandes prejuízos. Uma das maneiras mais conhecidas de se proteger contra ameaças de DNS é adotar o protocolo DNSSEC.

O que é DNSSEC?

Como muitos protocolos da internet, o sistema DNS não foi projetado com a segurança em mente e contém várias limitações de design. Essas limitações, combinadas com os avanços da tecnologia, tornaram mais fácil para os invasores invadir uma consulta de DNS para fins mal-intencionados, como enviar um usuário a um site fraudulento que pode distribuir malware ou coletar informações pessoais. As extensões de segurança DNS (DNSSEC) são um protocolo de segurança criado para mitigar esse problema. O DNSSEC protege contra ataques assinando dados digitalmente para ajudar a garantir sua validade. Para garantir uma pesquisa segura, a assinatura deve ocorrer em todos os níveis do processo de pesquisa de DNS.

Como muitos protocolos da internet, o sistema DNS não foi projetado com a segurança em mente e contém várias limitações de design. Essas limitações, combinadas com os avanços da tecnologia, tornaram fácil para os invasores sequestrar uma consulta de DNS para fins mal-intencionados, como enviar um usuário a um site fraudulento que pode distribuir malware ou coletar informações pessoais.


As extensões de segurança de DNS (DNSSEC) são um protocolo de segurança criado para mitigar esse problema. O DNSSEC protege contra ataques assinando dados digitalmente para ajudar a garantir sua validade. Para garantir uma pesquisa segura, a assinatura deve ocorrer em todos os níveis do processo de pesquisa de DNS.


Esse processo de assinatura é semelhante a alguém que assina um documento legal com uma caneta; essa pessoa assina com uma assinatura exclusiva que ninguém mais pode criar, e um especialista do tribunal pode examinar essa assinatura e verificar se o documento foi assinado por essa pessoa. Essas assinaturas digitais garantem que os dados não foram violados.


DNSSEC implementa uma política hierárquica de assinatura digital em todas as camadas do DNS. Por exemplo, no caso de uma pesquisa 'google.com', um servidor de DNS raiz assinaria uma chave para o nameserver .COM e o nameserver .COM assinaria uma chave para o authoritative nameserver do google.com.


Embora a segurança aprimorada seja sempre preferida, o DNSSEC foi projetado para ser compatível com versões anteriores para garantir que as pesquisas tradicionais de DNS ainda sejam resolvidas corretamente, embora sem a segurança adicional. O DNSSEC deve funcionar com outras medidas de segurança como SSL/TLS como parte de uma estratégia holística de segurança na internet.


DNSSEC cria um trem de confiança entre pais e filhos que viaja até a zona raiz. Essa cadeia de confiança não pode ser comprometida em nenhuma camada de DNS; caso contrário, a solicitação ficará aberta a um ataque intermediário.


Para fechar a cadeia de confiança, a própria zona raiz precisa ser validada (comprovadamente livre de adulterações ou fraudes), e isso é realmente feito usando intervenção humana. Curiosamente, na chamada Cerimônia de Assinatura da Zona Raiz, indivíduos selecionados de todo o mundo se reúnem para assinar o DNSKEY RRset raiz de maneira pública e auditada.

Aqui está uma explicação mais detalhada de como o DNSSEC funciona >>>

Quais são alguns ataques comuns que envolvem o DNS?

O DNSSEC é um poderoso protocolo de segurança, mas, infelizmente, não é adotado, no momento, de maneira global. Essa falta de adoção, juntamente com outras vulnerabilidades em potencial, além do fato de o DNS ser parte integrante da maioria das solicitações da internet, faz do DNS o principal alvo de ataques maliciosos. Os invasores encontraram várias maneiras de direcionar e explorar servidores de DNS, eis algumas das mais comuns:

Falsificação de DNS/envenenamento de cache: Este é um ataque no qual os dados de DNS forjados são introduzidos no cache de um resolvedor de DNS, resultando no resolvedor retornando um endereço IP incorreto para um domínio. Em vez de acessar o site correto, o tráfego pode ser desviado para uma máquina mal-intencionada ou para qualquer outro lugar que o invasor desejar; frequentemente, será uma réplica do site original usado para fins maliciosos, como distribuir malware ou coletar informações de login.

Tunelamento de DNS: Esse ataque usa outros protocolos para fazer o tunelamento através de consultas e respostas de DNS. Os invasores podem usar SSH, TCP ou HTTP para transmitir malware ou informações roubadas em consultas de DNS, não detectadas pela maioria dos firewalls.

Sequestro de DNS: No sequestro de DNS, o invasor redireciona as consultas para um servidor de nome de domínio diferente. Isso pode ser feito com malware ou com a modificação não autorizada de um servidor de DNS. Embora o resultado seja semelhante ao da falsificação de DNS, este é um ataque fundamentalmente diferente, pois tem como alvo o registro DNS do site no nameserver, em vez do cache de um resolvedor.

DNS Hijacking

Ataque NXDOMAIN: Esse é um tipo de ataque de inundação de DNS em que um invasor inunda um servidor de DNS com solicitações de registros que não existem, na tentativa de causar uma negação de serviço para tráfego legítimo. Isso pode ser feito usando ferramentas sofisticadas de ataque que podem gerar automaticamente subdomínios exclusivos para cada solicitação. Os ataques NXDOMAIN também podem direcionar um resolvedor recursivo com o objetivo de preencher o cache do resolvedor com solicitações de lixo eletrônico.

Ataque ao domínio fantasma: Um ataque de domínio fantasma tem um resultado semelhante a um ataque NXDOMAIN em um resolvedor de DNS. O invasor configura vários servidores de domínio "fantasma" que respondem a solicitações muito lentamente ou nem respondem. O resolvedor é atingido com uma enxurrada de solicitações para esses domínios e o resolvedor fica preso à espera de respostas, levando ao desempenho lento e à negação de serviço.

Ataque aleatório de subdomínio: Nesse caso, o invasor envia consultas de DNS para vários subdomínios aleatórios e inexistentes de um site legítimo. O objetivo é criar uma negação de serviço para o authoritative nameserver do domínio, impossibilitando a consulta no site a partir do nameserver. Como efeito colateral, o ISP que atende ao invasor também pode ser afetado, pois o cache do resolvedor recursivo será carregado com solicitações incorretas.

Ataque de bloqueio de domínio: Pessoas mal-intencionadas orquestram essa forma de ataque configurando domínios e resolvedores especiais para criar conexões TCP com outros resolvedores legítimos. Quando os resolvedores direcionados enviam solicitações, esses domínios enviam fluxos lentos de pacotes aleatórios, amarrando os recursos do resolvedor.

Ataque de CPE baseado em botnet: Esses ataques são realizados usando dispositivos CPE (Customer Premise Equipment, equipamento fornecido pelos provedores de serviços para uso dos clientes, como modems, roteadores, caixas de cabos etc.) Os invasores comprometem os CPEs e os dispositivos se tornam parte de uma botnet, usada para executar ataques aleatórios de subdomínios contra um site ou domínio.

Qual é a melhor maneira de se proteger contra ataques baseados em DNS?

Além do DNSSEC, um operador de uma zona DNS pode tomar outras medidas para proteger seus servidores. O excesso de provisionamento da infraestrutura é uma estratégia simples para superar ataques de DDoS. Simplificando, se seu nameserver pode lidar com vários múltiplos a mais de tráfego do que o esperado, é mais difícil para um ataque baseado em volume sobrecarregar seu servidor.


O roteamento de Anycast é outra ferramenta útil que pode interromper ataques de DDoS; o Anycast permite que vários servidores compartilhem um único endereço IP; portanto, mesmo que um servidor de DNS seja desligado, ainda haverá outros em funcionamento. Outra estratégia popular para proteger servidores DNS é um DNS Firewall.

O que é um DNS Firewall?

Um DNS Firewall é uma ferramenta que pode fornecer vários serviços de segurança e desempenho para servidores de DNS. Um DNS Firewall fica entre o resolvedor recursivo de um usuário e o authoritative nameserver do site ou serviço que ele está tentando acessar. O firewall pode fornecer serviços de limitação de taxa para desligar os invasores que tentam sobrecarregar o servidor. Se o servidor sofrer um tempo de inatividade como resultado de um ataque ou por qualquer outro motivo, o DNS Firewall poderá manter o site ou o serviço do operador ativo, fornecendo respostas de DNS do cache. Além de seus recursos de segurança, um DNS Firewall também pode fornecer soluções de desempenho, como consultas de DNS mais rápidas e custos reduzidos de largura de banda para o operador de DNS. Saiba mais sobre o DNS Firewall da Cloudflare.

Um DNS Firewall é uma ferramenta que pode fornecer vários serviços de segurança e desempenho para servidores de DNS. Um DNS Firewall fica entre o resolvedor recursivo de um usuário e o authoritative nameserver do site ou serviço que ele está tentando acessar. O firewall pode fornecer serviços de limitação de taxa para desligar os invasores que tentam sobrecarregar o servidor.


Se o servidor sofrer um tempo de inatividade como resultado de um ataque ou por qualquer outro motivo, o DNS Firewall poderá manter o site ou o serviço do operador funcionando, fornecendo respostas de DNS do cache. Além de seus recursos de segurança, um DNS Firewall também pode fornecer soluções de desempenho, como consultas de DNS mais rápidas e custos reduzidos de largura de banda para o operador de DNS. Saiba mais sobre o DNS Firewall da Cloudflare.

DNS como uma ferramenta de segurança

Os resolvedores de DNS também podem ser configurados para fornecer soluções de segurança para seus usuários finais (pessoas navegando na internet). Alguns resolvedores de DNS fornecem recursos como filtragem de conteúdo, que pode bloquear sites conhecidos por distribuir malware e spam, e proteção de botnet, que bloqueia a comunicação com botnets conhecidos. Muitos desses resolvedores de DNS seguros são de uso gratuito e um usuário pode alternar para um desses serviços DNS recursivos alterando uma única configuração no roteador local. DNS da Cloudflare tem ênfase na segurança.