INTRODUÇÃO

O Sistema de Nomes de Domínio é um sistema de nomenclatura hierárquico e distribuído para computadores, serviços ou qualquer outro recurso conectado à Internet ou a uma rede privada. Sempre que você precisa que seu navegador localize e se conecte a um serviço ou dispositivo de computador, o DNS trabalha nos bastidores para traduzir um nome de domínio facilmente memorizável no endereço numérico de Protocolo de Internet (IP) desse recurso. Você pode pensar no DNS como a lista telefônica da Internet: Ele foi criado para permitir que as pessoas identifiquem facilmente pelo nome todos os dispositivos e serviços conectados à internet.

A terminologia DNS
Nomes de Domínio

Um nome de domínio é um nome amigável associado a uma fonte da internet. Por exemplo, www.f5.com é um nome de domínio e a URL está associada aos servidores de propriedade da F5.

A subdivisão de um domínio é conhecida como subdomínio. Por exemplo, support.f5.com é o subdomínio de suporte no F5.com. Um subdomínio é qualquer coisa à esquerda do nome do domínio, seguido por um ponto.

Pesquisa DNS

A pesquisa de DNS é um processo pelo qual um cliente (como um navegador da web) consulta um servidor DNS para um domínio específico. O servidor DNS então responde com um endereço IP, que então leva o cliente ao destino desejado.

Espaço de Nome de Domínio

O Espaço de Nomes de Domínio define a estrutura geral de nomenclatura da Internet. É uma estrutura em forma de árvore de nomes de domínio, com um nome de domínio raiz no topo. A partir desse domínio raiz, domínios importantes como .com, .net, .org e outros domínios se ramificam.

Zonas

Uma árvore de espaço de nomes é subdividida em zonas. Ele define os recursos disponíveis em um domínio específico.

Servidores de Nomes

Os servidores de nomes armazenam informações sobre uma zona. Existem dois tipos de servidores de nomes: Primário e Secundário. Cada zona tem seus dados armazenados em servidores de nomes primários e secundários.

Resolvedores DNS

Um resolvedor de DNS é o lado cliente do DNS. Ele é responsável por iniciar e sequenciar as consultas que, em última análise, levam à tradução de um nome de domínio em um endereço IP.

Como o DNS funciona?

A versão curta é que um nome de domínio digitado por um usuário em um navegador (como www.f5.com) é traduzido por um servidor DNS em um endereço IP (104.219.105.148). Isso permite que o dispositivo encontre o recurso que você está procurando na internet — neste caso, a página inicial do F5.

Vamos analisar esse processo com mais detalhes:

Digamos que um usuário digita o nome de domínio www.f5.com em um navegador. Como o navegador não tem ideia de onde fica www.F5.com, ele envia uma solicitação ao Servidor DNS Local (LDNS) perguntando se ele tem o registro do site. Se o LDNS não tiver nenhum registro para aquele site específico, ele inicia uma busca recursiva dos domínios da internet para descobrir quem é o proprietário de www.F5.com.

Primeiro, o LDNS vai para um dos servidores raiz, que o direciona para o servidor DNS .com. O servidor .com então determina o proprietário de www.F5.com e notifica o LDNS com um registro de servidor de nomes (NS) para F5.com.

Primeiro, o LDNS vai para um dos servidores raiz, que o direciona para o servidor DNS .com. O servidor .com então determina o proprietário de www.F5.com e notifica o LDNS com um registro de servidor de nomes (NS) para F5.com.

O LDNS então consulta o registro NS do servidor DNS F5.com. O servidor DNS f5.com procura o nome www.F5.com . Se encontrar o nome, ele retorna um registro de Endereço (A) para o LDNS. Este registro A contém o nome da solicitação, o endereço IP atribuído a esse nome no LDNS e o Tempo de Vida (ou TTL) do nome. O TTL informa ao LDNS por quanto tempo manter o registro A antes de consultar novamente o servidor DNS F5.com.

Quando o LDNS recebe o registro A, ele armazena em cache as informações do endereço IP pelo tempo especificado no TTL; se qualquer outro cliente precisar das mesmas informações, o LDNS responderá à consulta a partir de seu próprio cache de nomes antes de enviá-la. Como ele pode manter as informações localmente, não precisa ficar consultando o servidor DNS f5.com, tornando as conexões futuras com esse recurso mais rápidas.

O LDNS então consulta o registro NS do servidor DNS F5.com. O servidor DNS f5.com procura o nome www.F5.com . Se encontrar o nome, ele retorna um registro de Endereço (A) para o LDNS

O navegador então usa o endereço IP para abrir uma conexão com www.F5.com :80 e envia um GET /…. que então faz com que o servidor web retorne a resposta da página web.

Na prática, o DNS é muito mais complicado do que o exemplo acima mostra, mas ele deve lhe dar uma boa ideia de como ele funciona.

Registros DNS e seus tipos comuns

Os registros DNS são arquivos de mapeamento que informam ao servidor DNS qual endereço IP está associado a qual nome de domínio. Ele também informa ao servidor DNS como lidar com essas solicitações. Existem vários tipos de registros DNS, mas todos os registros DNS de um domínio específico estão contidos em algo chamado Zona DNS. Pense na Zona DNS como um contêiner que permite à Internet procurar o endereço IP de um, e somente um, domínio específico.

Os tipos comuns de registro DNS são os seguintes:

Registros A e AAAA

Registros de endereço ou A (também conhecidos como registros de host) são os registros centrais do DNS. Esses registros vinculam um domínio a um endereço IP. O registro AAAA é o mesmo que o registro A, mas em vez de um endereço IP IPv4 de 32 bits, ele retorna um endereço IPv6 de 128 bits.

Registro NS

Os registros do Servidor de Nomes (NS) determinam quais servidores comunicam informações de DNS para um domínio. Geralmente, você terá registros de servidor de nomes primário e secundário para seu domínio.

Registro MX

O Mail Exchange registra mensagens de e-mail diretas para os servidores de um domínio específico. Vários registros MX podem ser definidos para um domínio, cada um com uma prioridade diferente. O menor número é a maior prioridade. Se o correio não puder ser entregue usando o primeiro registro de prioridade, o segundo registro de prioridade será usado, e assim por diante.

Registro TXT

Registros de texto ou TXT podem conter texto arbitrário, mas também podem ser usados para definir texto legível por máquina.

Registro CNAME

Os registros NAME ou CNAME canônicos vinculam um nome de alias a outro nome de domínio canônico. Por exemplo, alias.example.com pode ter um link para example.com.

Importância e limitações do DNS

O DNS é uma das principais tecnologias que viabilizam a internet. É também um componente vital na infraestrutura de rede. Como ter uma infraestrutura de DNS disponível, inteligente, segura e escalável é fundamental, o DNS não apenas entrega conteúdo e aplicativos: ele gerencia uma arquitetura distribuída e redundante, garantindo alta disponibilidade e tempo de resposta de qualidade ao usuário. Se o DNS falhar, a maioria dos aplicativos da web não funcionará corretamente. Isso não só torna o DNS crítico, mas também um alvo principal para ataques. Se você não tiver uma infraestrutura de DNS adequada, os clientes não conseguirão acessar seus aplicativos ou conteúdo, o que pode levá-los a procurar outros serviços para atender às suas necessidades.

No entanto, existem certas limitações nos serviços DNS padrão. Primeiro, embora o DNS torne seu aplicativo/site/conteúdo disponível, ele não se importa se ele está ativo e funcionando, ou mesmo se existe.

Além disso, o DNS não tem capacidade real de distribuir carga. Ele continuará usando todos os endereços IP, mesmo que o aplicativo suportado por esse IP esteja sobrecarregado ou inativo.

O DNS também não tem o conceito de aplicação com estado: ele não pode garantir que um usuário retorne ao mesmo endereço IP. Por exemplo, se você for a um data center específico e criar um carrinho de compras mantido naquele data center, não há garantia de que na próxima vez que você resolver o nome, obterá o mesmo IP.

Por fim, os servidores DNS padrão só podem responder a um número limitado de consultas DNS por segundo, o que os torna vulneráveis a ataques de negação de serviço distribuído (DDoS).

Problemas de segurança

O DNS é a espinha dorsal da internet, mas também é um dos pontos mais vulneráveis da sua rede, o que o torna um alvo de alto valor. Ataques DDoS podem inundar seus servidores DNS a ponto de sequestro ou falha, levando ao redirecionamento das solicitações para um servidor malicioso. Para evitar isso, uma arquitetura de alto desempenho, distribuída e segura deve ser integrada à rede. As empresas também devem adicionar mais servidores DNS durante picos de DNS e ataques DDoS.

Embora os servidores DNS e os serviços de nuvem possam lidar com quantidades variáveis de solicitações por segundo, com custos aumentando conforme as consultas aumentam, essa solução geralmente requer intervenção manual quando alterações são necessárias. E como novas vulnerabilidades continuam surgindo, os servidores DNS tradicionais exigem manutenção e patches frequentes, o que os torna ainda mais caros.

A função dos controladores de entrega de aplicativos na infraestrutura de DNS

Agora que estabelecemos que o DNS é propenso a ataques sérios, vamos falar sobre como os Application Delivery Controllers (ADCs) ajudam a proteger a infraestrutura do DNS. Os ADCs podem balancear as cargas de vários servidores DNS e armazenar em cache as respostas, fornecendo escala e permitindo que os servidores DNS lidem com grandes quantidades de tráfego e ataques em massa. Essa funcionalidade permite que os clientes implantem muitos servidores DNS ao mesmo tempo, o que lhes permite maximizar a disponibilidade dos aplicativos, fornecer maior velocidade e melhorar o desempenho. Os ADCs também detectam rapidamente ataques DDoS e encaminham essas conexões para longe dos servidores – ou as rejeitam completamente. Os ADCs oferecem suporte ao DNSSEC e permitem que as organizações se defendam contra ameaças como envenenamento de cache e ataques do tipo man-in-the-middle. Por tudo isso, os ADCs reduzem o custo total de propriedade dos clientes, reduzindo a necessidade de servidores DNS extras serem provisionados como backups em caso de sobrecarga ou ataque.

Resumindo, um ADC de alto desempenho não só pode proteger servidores DNS de vários ataques, mas também pode fornecer escala, melhorar o desempenho e reduzir o TCO, ao mesmo tempo em que permite que servidores DNS lidem com cargas de tráfego pesadas.

O Futuro

Com o crescimento de aplicativos móveis e novas tecnologias, como dispositivos de Internet das Coisas (IoT), o DNS também está crescendo. Além disso, o número de aplicativos está aumentando rapidamente, assim como o volume de tráfego que acessa esses aplicativos. Nos últimos 5 anos, o volume de consultas DNS dobrou para .com e outros endereços. Mais de 10 milhões de nomes de domínio foram adicionados à internet em 2016; e à medida que mais e mais implementações de nuvem, dispositivos móveis e IoT são implementadas, espera-se que o DNS cresça a um ritmo ainda mais rápido. Alguns estudos recentes feitos sobre o tráfego global da internet mostram que o número de usuários da internet aumentará para 4,1 bilhões até o final de 2020. Como os servidores DNS são tão essenciais para a internet, sem um DNS que funcione bem, a internet seria praticamente inútil.

Assim como a IoT, a popularidade dos serviços de nuvem aumentou imensamente nos últimos anos. Como resultado, é mais importante do que nunca pensar sobre sua infraestrutura de DNS e os benefícios e ameaças associados a ela. Por um lado, o DNS autoritativo baseado em nuvem oferece melhor desempenho, alta disponibilidade, segurança e escalabilidade. Por outro lado, também é vulnerável a ameaças como infraestrutura de DNS e ataques DDoS.

Essas ameaças têm o potencial de interromper significativamente o acesso a sites, aplicativos, serviços de nuvem e outros recursos. Planejar e gerenciar sua infraestrutura de TI de forma eficaz é absolutamente vital para manter esses ataques afastados e continuar dando aos seus funcionários e clientes acesso aos recursos de que precisam, quando e onde precisarem.

Publicado em 05 de outubro de 2017
  • Compartilhe no Facebook
  • Compartilhar para X
  • Compartilhe no Linkedin
  • Compartilhar por e-mail
  • Compartilhe via AddThis

Conecte-se com F5

F5 LABS

O que há de mais moderno em inteligência de ameaças a aplicativos.

DevCentral

A comunidade F5 para fóruns de discussão e artigos de especialistas.

Sala de redação da F5

Notícias, blogs F5 e muito mais.