Bilhete aberto 
+373 79 600002 
Chat ao vivo do Telegram 
F.A.Q 
Português
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
DNSO Que É DNS e a Hierarquia DNS? Um Guia Técnico Completo
DNS (Domain Name System) é um sistema de nomenclatura hierárquico e distribuído que traduz nomes de domínio legíveis por humanos — como `www.example.com` — em endereços IP legíveis por máquinas, como `192.0.2.1`. Sem DNS, cada utilizador da internet precisaria de memorizar endereços numéricos para cada website, endpoint de API ou servidor de correio com que interage. DNS é o protocolo que torna a internet moderna navegável em escala.
Na sua essência, o DNS funciona como uma base de dados globalmente distribuída. As consultas são resolvidas através de uma cadeia estruturada de delegação — desde os servidores raiz no topo, passando pelos servidores de domínio de topo (TLD), até aos servidores de nomes autoritativos que contêm os registos reais de um determinado domínio. Esta arquitetura é o que torna o DNS simultaneamente rápido, resiliente e extensível.
Por Que o DNS É Mais do que Apenas uma "Lista Telefónica"
A analogia da "lista telefónica" é um ponto de partida útil, mas subestima dramaticamente o que o DNS realmente faz em ambientes de produção. O DNS sustenta:
- Resolução de nomes — conversão de FQDNs (Fully Qualified Domain Names) para endereços IPv4 e IPv6
- Encaminhamento de correio eletrónico — os registos MX direcionam o tráfego SMTP para a infraestrutura de correio correta
- Descoberta de serviços — os registos SRV permitem que as aplicações localizem serviços dinamicamente (muito utilizado em SIP, XMPP e Kubernetes)
- Engenharia de tráfego — os registos Geo-DNS e de encaminhamento ponderado permitem balanceamento de carga global e failover baseado em latência
- Aplicação de segurança — os registos TXT transportam políticas SPF, DKIM e DMARC; o DNSSEC adiciona validação criptográfica
- Orquestração de CDN — o achatamento de CNAME e o encaminhamento Anycast permitem que as CDNs sirvam o nó de borda mais próximo de forma transparente
Para qualquer pessoa que gere um ambiente de VPS Hosting ou um Servidor Dedicado, compreender o DNS a este nível não é opcional — o DNS mal configurado é uma das causas raiz mais comuns de interrupções de aplicações, falhas na entregabilidade de correio eletrónico e erros de provisionamento de SSL.
O Processo de Resolução DNS: Passo a Passo
Quando um utilizador escreve `www.example.com` num browser, ocorre a seguinte sequência. Compreender cada passo é fundamental para diagnosticar falhas de resolução e otimizar estratégias de TTL.
Passo 1: Verificação da Cache Local
O sistema operativo verifica primeiro a sua cache DNS local (preenchida a partir de consultas anteriores). No Linux, isto pode envolver `systemd-resolved` ou `nscd`. No Windows, o serviço DNS Client mantém esta cache. Se existir um registo em cache válido dentro do seu TTL, a resolução termina aqui.
Passo 2: Stub Resolver para Resolver Recursivo
Se não existir nenhum resultado na cache local, o stub resolver do sistema operativo encaminha a consulta para um resolver DNS recursivo — tipicamente o resolver do seu ISP, ou um resolver público configurado, como:
- Google Public DNS: `8.8.8.8` / `8.8.4.4`
- Cloudflare: `1.1.1.1` / `1.0.0.1`
- Quad9: `9.9.9.9`
O resolver recursivo faz o trabalho pesado de percorrer a hierarquia DNS em nome do cliente.
Passo 3: Consulta ao Servidor Raiz
Se o resolver recursivo não tiver uma resposta em cache, consulta um dos 13 clusters de servidores raiz (endereçados como `a.root-servers.net` a `m.root-servers.net`). Estes não são 13 máquinas individuais — são 13 grupos de endereços Anycast operados por organizações incluindo a ICANN, Verisign, NASA e RIPE NCC, com mais de 1.500 instâncias físicas distribuídas globalmente.
O servidor raiz não devolve um endereço IP. Devolve uma referência — o endereço do servidor TLD autoritativo para o sufixo consultado (por exemplo, `.com`).
Passo 4: Consulta ao Servidor TLD
O resolver recursivo consulta o servidor de nomes TLD apropriado. Para `.com`, este é operado pela Verisign. O servidor TLD devolve outra referência — os servidores de nomes autoritativos para o domínio de segundo nível específico (por exemplo, `ns1.example.com`).
Passo 5: Consulta ao Servidor de Nomes Autoritativo
O resolver recursivo consulta o servidor de nomes autoritativo, que contém o ficheiro de zona para `example.com`. Este servidor devolve o registo DNS real — por exemplo, um registo A que mapeia `www.example.com` para `93.184.216.34`.
Passo 6: Armazenamento em Cache da Resposta e Entrega
O resolver recursivo armazena a resposta em cache de acordo com o valor de TTL (Time to Live) do registo e, em seguida, devolve o endereço IP ao stub resolver do cliente, que o passa ao browser. O browser abre então uma ligação TCP (ou QUIC para HTTP/3) para esse endereço IP.
Nuance crítica: Os valores de TTL são definidos pelo proprietário do domínio no servidor autoritativo. Um TTL de 300 segundos significa que o registo pode ser armazenado em cache durante 5 minutos antes de ser novamente consultado. Durante uma migração ou resposta a um incidente, reduzir os TTLs antecipadamente (para 60–300 segundos) é uma prática operacional padrão para minimizar atrasos de propagação.
A Hierarquia DNS: Arquitetura e Componentes
O espaço de nomes DNS está estruturado como uma árvore invertida. Cada nó na árvore é uma etiqueta, e um caminho completo da folha até à raiz forma um nome de domínio. O ponto final em `www.example.com.` representa a raiz.
Nível 1: A Zona Raiz
A zona raiz é o ápice da hierarquia DNS, representada por uma etiqueta vazia (`.`). Contém registos NS que apontam para servidores TLD de todos os domínios de topo existentes. O ficheiro da zona raiz é mantido pela IANA (Internet Assigned Numbers Authority) e contém atualmente delegações para mais de 1.500 TLDs.
Os servidores raiz operam sob um modelo de âncora de confiança — as cadeias de validação DNSSEC terminam em última instância na Key Signing Key (KSK) da zona raiz, que é gerida através de um processo de cerimónia altamente auditado.
Nível 2: Domínios de Topo (TLDs)
Os servidores TLD são autoritativos para todos os domínios registados sob o seu sufixo. Existem várias categorias:
| Tipo de TLD | Exemplos | Tipo de Operador |
|---|
| — | — | — |
|---|
| TLD Genérico (gTLD) | `.com`, `.net`, `.org`, `.edu` | Registos acreditados pela ICANN |
|---|
| TLD Patrocinado (sTLD) | `.gov`, `.mil`, `.edu` | Organizações patrocinadas com acesso restrito |
|---|
| TLD de Código de País (ccTLD) | `.uk`, `.de`, `.jp`, `.io` | Registos nacionais |
|---|
| Novo gTLD | `.app`, `.tech`, `.cloud`, `.shop` | Operadores de registo privados |
|---|
| Infraestrutura | `.arpa` | IANA (utilizado para DNS reverso) |
|---|
Nível 3: Domínios de Segundo Nível (SLDs) e Subdomínios
O domínio de segundo nível é a etiqueta imediatamente à esquerda do TLD — `example` em `example.com`. Esta é a unidade que os registantes de domínios adquirem e gerem. Quando regista um domínio através de um serviço como o Registo de Domínios, está a adquirir o direito de controlar a delegação DNS para esse SLD.
Os subdomínios são etiquetas adicionadas antes do SLD (`www`, `mail`, `api`, `blog`). São configurados inteiramente dentro do ficheiro de zona do servidor de nomes autoritativo — não é necessário nenhum registo adicional. A profundidade dos subdomínios é teoricamente ilimitada, embora existam limites práticos (o comprimento total do FQDN não deve exceder 253 caracteres; cada etiqueta não deve exceder 63 caracteres).
Nível 4: Servidores de Nomes Autoritativos e Ficheiros de Zona
Os servidores de nomes autoritativos são a fonte de verdade para os registos DNS de um domínio. Respondem a consultas com o sinalizador AA (Authoritative Answer) definido. Um ficheiro de zona é uma base de dados em texto simples que contém todos os registos de recursos de um domínio.
Tipos de registos DNS essenciais que todo o administrador deve conhecer:
| Tipo de Registo | Finalidade | Exemplo |
|---|
| — | — | — |
|---|
| A | Mapeia hostname para endereço IPv4 | `www 300 IN A 93.184.216.34` |
|---|
| AAAA | Mapeia hostname para endereço IPv6 | `www 300 IN AAAA 2606:2800:220:1:248:1893:25c8:1946` |
|---|
| CNAME | Alias que aponta para outro hostname | `blog CNAME www.example.com.` |
|---|
| MX | Servidor de correio com prioridade | `@ 3600 IN MX 10 mail.example.com.` |
|---|
| NS | Delega zona para servidor de nomes | `@ IN NS ns1.example.com.` |
|---|
| TXT | Texto arbitrário; utilizado para SPF, DKIM, DMARC | `@ IN TXT "v=spf1 include:_spf.google.com ~all"` |
|---|
| SOA | Start of Authority; metadados da zona | Serial, refresh, retry, expire, TTL mínimo |
|---|
| SRV | Localização de serviço com porta e peso | `_sip._tcp IN SRV 10 20 5060 sip.example.com.` |
|---|
| PTR | DNS reverso (IP para hostname) | Utilizado em zonas `in-addr.arpa` |
|---|
| CAA | Restringe quais as CAs que podem emitir certificados SSL | `@ IN CAA 0 issue "letsencrypt.org"` |
|---|
Os registos CAA merecem atenção especial: são um controlo de segurança frequentemente ignorado que impede autoridades de certificação não autorizadas de emitir Certificados SSL para o seu domínio. Se o seu registo CAA não listar a CA que está a utilizar, a emissão do certificado falhará.
Resolvers Recursivos vs. Servidores Autoritativos: Uma Distinção Crítica
Estes dois componentes são arquiteturalmente distintos e são frequentemente confundidos por iniciantes.
| Atributo | Resolver Recursivo | Servidor de Nomes Autoritativo |
|---|
| — | — | — |
|---|
| Função | Consulta em nome dos clientes | Responde a consultas sobre as suas próprias zonas |
|---|
| Fonte de dados | Cache + consultas upstream | Ficheiro de zona (base de dados local) |
|---|
| Sinalizador AA na resposta | Não definido | Definido |
|---|
| Exemplos | Resolvers de ISP, 8.8.8.8, 1.1.1.1 | BIND, PowerDNS, NSD, Route 53 |
|---|
| Armazena respostas em cache | Sim (respeita o TTL) | Não (serve dados autoritativos) |
|---|
| Implementado por | ISPs, empresas, fornecedores públicos | Proprietários de domínios, fornecedores de alojamento |
|---|
Um único servidor pode tecnicamente desempenhar ambas as funções, mas isto é fortemente desaconselhado em produção devido a implicações de segurança e desempenho (os resolvers abertos são um vetor para ataques DDoS de amplificação DNS).
DNSSEC: Integridade Criptográfica para a Cadeia DNS
O DNS padrão não tem autenticação incorporada — as respostas podem ser falsificadas através de ataques de envenenamento de cache (sendo o ataque Kaminsky o mais famoso). O DNSSEC (DNS Security Extensions) resolve isto adicionando assinaturas digitais aos registos DNS.
A cadeia de confiança DNSSEC funciona da seguinte forma:
- Cada zona assina os seus registos com uma Zone Signing Key (ZSK)
- A chave pública da ZSK é publicada como um registo DNSKEY
- A zona pai assina um hash do DNSKEY do filho, criando um registo DS (Delegation Signer)
- Esta cadeia estende-se desde a zona raiz (a âncora de confiança definitiva) até aos registos individuais
A validação DNSSEC ocorre ao nível do resolver recursivo. Os validadores verificam as assinaturas em relação às chaves publicadas; se a validação falhar, o resolver devolve `SERVFAIL` em vez de uma resposta potencialmente envenenada.
Advertência operacional: O DNSSEC aumenta significativamente a complexidade da gestão de zonas. As renovações de chaves, a expiração de assinaturas e a sincronização de registos DS com a zona pai são fontes comuns de interrupções. Teste sempre a configuração DNSSEC com ferramentas como `dnsviz.net` antes de a ativar em produção.
DNS em Ambientes de Alojamento: Considerações Práticas
Propagação vs. TTL
"Propagação DNS" é um termo amplamente mal utilizado. O que realmente ocorre é a expiração do TTL nas caches. Quando altera um registo A, os resolvers que armazenaram em cache o valor antigo continuarão a servi-lo até que o TTL expire. Não existe nenhum mecanismo de "push" ativo no DNS padrão.
Para minimizar o tempo de inatividade durante as migrações:
- Reduza o TTL dos registos afetados para 300 segundos pelo menos 24–48 horas antes da alteração (permitindo que as caches existentes expirem)
- Efetue a alteração DNS
- Após confirmar que a nova configuração é estável, restaure o TTL para um valor de produção (3600–86400 segundos)
DNS Split-Horizon
Em ambientes com segmentos de rede públicos e privados — comuns em VPS Hosting ou Servidores Dedicados — o DNS split-horizon (também chamado DNS split-brain) serve respostas diferentes com base na origem da consulta. Os clientes internos resolvem `db.example.com` para um endereço privado RFC 1918; os clientes externos recebem o IP público ou um endereço de balanceador de carga. Isto é implementado no BIND usando diretivas `view` ou no PowerDNS via scripting Lua.
DNS Reverso (Registos PTR)
O DNS reverso mapeia endereços IP de volta para hostnames usando as zonas `in-addr.arpa` (IPv4) ou `ip6.arpa` (IPv6). Os registos PTR são críticos para:
- Entregabilidade de correio eletrónico — muitos servidores de correio recetores rejeitam ou penalizam fortemente o correio proveniente de IPs sem registos PTR correspondentes
- Registo de segurança — enriquecimento de registos de firewall e de acesso com hostnames
- Conformidade — alguns quadros regulatórios exigem DNS reverso para trilhos de auditoria
Se estiver a executar uma configuração de Email Hosting ou um servidor de correio autogerido, certifique-se de que o seu fornecedor de alojamento configurou um registo PTR para o endereço IP do seu servidor.
DNS e Provisionamento de Certificados SSL
Os desafios DNS-01 ACME (utilizados pelo Let’s Encrypt e outras CAs) exigem a escrita de um registo TXT específico na zona do seu domínio para provar o controlo do domínio. Este método é necessário para a emissão de certificados wildcard. A gestão automatizada de certificados (via `certbot` ou `acme.sh`) requer acesso à API do seu fornecedor DNS para criar e remover programaticamente estes registos TXT.
Modos de Falha DNS Comuns e Diagnóstico
Compreender os modos de falha é o que distingue um administrador proficiente de alguém que simplesmente segue tutoriais.
NXDOMAIN — O nome consultado não existe na zona. Causas comuns: erro tipográfico no nome do registo, zona não carregada, ou delegação a apontar para os servidores de nomes errados.
SERVFAIL — O servidor não conseguiu completar a consulta. Causas comuns: falha de validação DNSSEC, servidores autoritativos inacessíveis, ou um ficheiro de zona corrompido (erro de sintaxe nos registos SOA ou NS).
Cache obsoleta — O resolver está a servir um registo expirado ou desatualizado. Use `dig +nocache` ou consulte diretamente o servidor autoritativo para contornar as caches do resolver.
Delegação defeituosa — Os registos NS da zona pai apontam para servidores de nomes que não são realmente autoritativos para a zona (não têm a zona carregada). Este é um modo de falha silencioso que causa falhas de resolução intermitentes.
Comandos de diagnóstico essenciais:
“`bash
Query a specific resolver for an A record
dig @8.8.8.8 www.example.com A
Trace the full resolution path from root
dig +trace www.example.com
Check authoritative answer directly
dig @ns1.example.com www.example.com A +norec
Verify reverse DNS
dig -x 93.184.216.34
Check DNSSEC chain
dig www.example.com A +dnssec
Inspect SOA record (useful for checking serial after zone update)
dig example.com SOA
“`
Otimização do Desempenho DNS
- Implementação Anycast — Os servidores autoritativos implementados via Anycast respondem a partir do nó geograficamente mais próximo, reduzindo a latência das consultas
- Ajuste de TTL — TTLs mais elevados (3600–86400s) reduzem a carga do resolver e melhoram as taxas de acerto na cache para registos estáveis; TTLs mais baixos (60–300s) permitem um failover mais rápido para infraestrutura dinâmica
- Cache negativa — As respostas NXDOMAIN são armazenadas em cache durante o período especificado no campo de TTL mínimo do SOA; TTLs negativos excessivamente longos atrasam a recuperação de configurações incorretas
- EDNS Client Subnet (ECS) — Permite que os resolvers recursivos encaminhem uma parte do IP do cliente para os servidores autoritativos, permitindo decisões de geo-encaminhamento mais precisas (ao custo de alguma privacidade)
- DNS over HTTPS (DoH) / DNS over TLS (DoT) — Encripta as consultas DNS em trânsito, impedindo a interceção e manipulação ao nível do ISP; cada vez mais importante para implementações sensíveis à privacidade
Matriz de Decisão: Escolher a Configuração DNS Correta
| Cenário | Abordagem Recomendada |
|---|
| — | — |
|---|
| Website simples, servidor único | Registo A a apontar para o IP do servidor; baixa complexidade |
|---|
| Aplicação web multi-região | Geo-DNS ou CNAME ponderado via fornecedor DNS gerido |
|---|
| Servidor de correio autogerido | Registos A + MX + PTR + TXT SPF/DKIM/DMARC obrigatórios |
|---|
| Certificado SSL wildcard | Desafio ACME DNS-01; requer acesso à API DNS |
|---|
| Serviços internos (rede privada) | DNS split-horizon com zona interna |
|---|
| Domínio de alta segurança | DNSSEC + registos CAA + política DMARC |
|---|
| Requisito de failover rápido | TTL <= 300s nos registos críticos; encaminhamento baseado em verificação de saúde |
|---|
| Prevenção de tomada de subdomínio | Auditar regularmente registos CNAME pendentes |
|---|
Principais Conclusões Técnicas
- A resolução DNS é uma cadeia de delegação em múltiplos passos: stub resolver > resolver recursivo > raiz > TLD > servidor autoritativo
- Os 13 clusters de servidores raiz (não máquinas individuais) utilizam Anycast para servir mais de 1.500 instâncias físicas globalmente
- O TTL controla a duração da cache — a "propagação" é simplesmente aguardar que as caches expirem, não um push ativo
- Os servidores autoritativos contêm ficheiros de zona; os resolvers recursivos armazenam em cache e encaminham — nunca confunda as duas funções
- O DNSSEC adiciona validação criptográfica mas introduz complexidade operacional; as renovações de chaves e a sincronização DS são pontos de falha comuns
- Os registos PTR são inegociáveis para implementações de servidores de correio e registo de segurança
- Os registos CAA restringem quais as autoridades de certificação que podem emitir certificados SSL para o seu domínio
- As delegações defeituosas e as caches negativas obsoletas estão entre os modos de falha DNS mais insidiosos
- Utilize sempre `dig +trace` para diagnosticar problemas de resolução a partir da raiz, em vez de depender da saída ao nível do resolver
Perguntas Frequentes
Qual é a diferença entre um resolver recursivo e um servidor DNS autoritativo?
Um resolver recursivo consulta a hierarquia DNS em nome de um cliente e armazena as respostas em cache. Um servidor DNS autoritativo contém o ficheiro de zona real de um domínio e devolve respostas definitivas com o sinalizador AA definido. São funções arquiteturalmente separadas, embora tecnicamente um único daemon possa desempenhar ambas.
Por que razão a propagação DNS demora tanto depois de alterar um registo?
O DNS não "propaga" num sentido ativo. Os resolvers armazenam os registos em cache durante o período do TTL definido no registo. Se o seu registo A tiver um TTL de 86400 segundos (24 horas), os resolvers que armazenaram em cache o valor antigo continuarão a servi-lo durante até 24 horas. Para minimizar isto, reduza o TTL para 300 segundos pelo menos 24 horas antes de efetuar uma alteração.
O que causa uma resposta SERVFAIL e como a corrijo?
O SERVFAIL resulta mais comumente de uma falha de validação DNSSEC, servidores de nomes autoritativos inacessíveis, ou um ficheiro de zona corrompido/malformado. Use `dig +dnssec` para verificar problemas de DNSSEC, verifique se os seus servidores autoritativos estão acessíveis e a responder, e valide a sintaxe do seu ficheiro de zona com `named-checkzone`.
Preciso de DNSSEC para o meu domínio?
O DNSSEC é fortemente recomendado para domínios que lidam com transações sensíveis, infraestrutura de correio eletrónico ou serviços financeiros. Previne ataques de envenenamento de cache. No entanto, adiciona sobrecarga operacional — as renovações de chaves e a gestão de registos DS requerem uma automatização cuidadosa. Para a maioria dos domínios de produção, o benefício de segurança supera a complexidade.
Que registos DNS são necessários para um servidor de correio funcional?
No mínimo: um registo MX a apontar para o hostname do seu servidor de correio, um registo A a resolver esse hostname, um registo PTR no IP do servidor (configurado pelo seu fornecedor de alojamento), e registos TXT para SPF, DKIM e DMARC. A ausência de qualquer um destes resultará em falhas de entregabilidade ou rejeição direta pelos servidores de correio recetores.