DNS

Computadores se comunicam por endereços IP — sequências numéricas como 142.250.79.46. Humanos memorizam nomes — google.com, auspert.com. DNS — Domain Name System — é o sistema que traduz nomes em endereços IP, permitindo que você digitar "google.com" resulte na conexão ao servidor correto sem precisar saber qual é o IP.

É a lista telefônica da internet — mas distribuída por milhares de servidores ao redor do mundo, processando bilhões de consultas por dia, com atualizações que se propagam globalmente em minutos a horas. Sem DNS, a internet como a conhecemos não funciona.

A maioria das pessoas só pensa em DNS quando algo quebra — o site não carrega, o e-mail não chega, a migração de servidor não propagou. Entender como DNS funciona é entender por que algumas dessas situações levam horas ou dias para se resolver, e o que pode ser feito para acelerar.

Quando você digita "auspert.com" no navegador, um processo de múltiplas etapas acontece em milissegundos.

1. Cache local: o sistema operacional verifica se já tem a resposta em cache de uma consulta recente. Se sim, usa o cache e termina aí.

2. Resolver recursivo: se não há cache, a consulta vai para o resolver DNS configurado no dispositivo — tipicamente o do provedor de internet ou um resolver público como 8.8.8.8 (Google) ou 1.1.1.1 (Cloudflare). O resolver faz o trabalho pesado de encontrar a resposta.

3. Root servers: o resolver pergunta a um dos 13 conjuntos de root servers (distribuídos globalmente, com centenas de instâncias) "quem é responsável pelo .com?" O root server responde com os servidores TLD responsáveis pelo .com.

4. TLD servers: o resolver pergunta ao servidor TLD ".com" quem é responsável por "auspert.com". O servidor TLD responde com os nameservers autoritativos do domínio.

5. Nameserver autoritativo: o resolver pergunta ao nameserver autoritativo de "auspert.com" qual é o IP. O nameserver responde com o registro DNS correto.

6. Resposta e cache: o resolver retorna o IP para o dispositivo, que armazena em cache pelo tempo definido no TTL do registro. Próximas consultas usam o cache enquanto o TTL não expirar.

DNS não armazena apenas endereços IP. Diferentes tipos de registro têm propósitos diferentes.

A: mapeia nome para endereço IPv4. auspert.com → 142.250.79.46. O registro mais fundamental.

AAAA: mapeia nome para endereço IPv6. auspert.com → 2607:f8b0:4004:c07::6a.

CNAME: alias — mapeia nome para outro nome. www.auspert.com → auspert.com. Útil para criar subdomínios que apontam para o mesmo destino que o domínio principal, ou para apontar para domínios de serviços externos (CDN, hospedagem).

MX: define os servidores de e-mail responsáveis pelo domínio. Sem registro MX correto, e-mails enviados para @auspert.com não chegam. Cada registro MX tem prioridade — o servidor tenta o de menor número primeiro.

TXT: texto arbitrário associado ao domínio. Usado para verificação de propriedade de domínio (Google Search Console, Facebook Business), SPF (Sender Policy Framework — define quais servidores podem enviar e-mail pelo domínio), DKIM (autenticação de e-mail) e DMARC (política de autenticação de e-mail).

NS: define quais nameservers são autoritativos para o domínio. Quando você muda de provedor de DNS, atualiza os registros NS no registrador do domínio.

SOA: Start of Authority — metadados sobre a zona DNS, incluindo o nameserver primário e o TTL padrão.

TTL (Time to Live) define por quanto tempo resolvers e sistemas operacionais devem cachear uma resposta DNS antes de verificar novamente. Um registro com TTL de 3600 é atualizado pelos resolvers no máximo a cada hora.

TTL alto (horas a dias) reduz carga nos nameservers e acelera respostas para usuários que já têm o cache. TTL baixo (minutos) permite mudanças que propagam mais rapidamente.

Propagação de DNS é o tempo que leva para uma mudança num registro DNS ser vista por todos os resolvers do mundo. Quando você altera um registro, os resolvers que têm o valor antigo em cache continuam servindo-o até o TTL expirar. Em teoria, a propagação máxima é igual ao TTL atual do registro. Na prática, alguns resolvers têm comportamentos inconsistentes, e "propagação de DNS" pode levar de minutos a até 48 horas em casos extremos.

Estratégia para migrações: antes de uma migração de servidor, reduzir o TTL dos registros relevantes para 5 minutos (300 segundos) com 24-48h de antecedência. Isso garante que, quando a mudança for feita, ela propagará em minutos. Depois da migração estável, aumentar o TTL de volta.

DNS é infraestrutura crítica com vetores de ataque específicos.

DNS hijacking: atacante redireciona consultas DNS para IP malicioso — usuário digita o domínio correto mas é levado a site falso. Pode acontecer por comprometimento do registrador, do provedor de DNS ou do resolver do usuário.

DNS spoofing / cache poisoning: atacante insere registro falso no cache de um resolver, fazendo com que usuários que passam por aquele resolver recebam IP errado.

DNSSEC: extensão de segurança do DNS que usa assinaturas criptográficas para verificar a autenticidade das respostas DNS. Protege contra spoofing e cache poisoning. Adoção ainda parcial mas crescente.

DNS sobre HTTPS (DoH) e DNS sobre TLS (DoT): criptografam a consulta DNS, evitando que o ISP ou atacante na rede veja quais domínios o usuário está consultando. Cloudflare 1.1.1.1 e Google 8.8.8.8 suportam ambos.

DNS é infraestrutura que raramente precisa de atenção — até que precisa urgentemente. Os cenários mais comuns de problema: e-mail que para de funcionar (registros MX ou SPF incorretos), site que fica inacessível após mudança de servidor (TTL alto que atrasa propagação), ou domínio que expira porque o registrador não era monitorado.

As práticas preventivas que evitam esses problemas são simples: documentar todos os registros DNS críticos (especialmente MX, SPF, DKIM, DMARC), monitorar expiração de domínio com anos de antecedência e renovar automaticamente, e ter alguém com acesso ao painel do registrador identificado — não apenas no conhecimento tácito de uma pessoa.

Para times de desenvolvimento, entender DNS é entender por que "apontei o CNAME para o novo servidor mas o site ainda mostra o antigo" é comportamento esperado quando o TTL é de 24 horas — e como evitar esse problema planejando a mudança de TTL com antecedência.