O Funcionamento dos servidores de DNS, que é um serviço de resolução de nomes

...

Toda vez que um nome é resolvido, o nome e seu respetivo número de IP são armazenados em memória, sendo denominado como Cache do cliente DNS.

Uma vez que a resolução seja feita, o servidor DNS irá armazenar essa relação na própria estação de trabalho onde foi feita a consulta , agilizando o processo de resolução de nomes.

Caso não ocorra resolução no cache local do DNS, será enviada uma consulta para o servidor DNS.

Registros de DNS (Comuns)

Registros A: basicamente, associam um ou mais endereços IP a um ou mais domínios. Pode-se utilizar AAAA para endereços IPv6;

Registros CNAME (Canonical Name): servem para criar redirecionamentos para domínios ou subdomínios. É este parâmetro que dever ser utilizado, por exemplo, para criar um endereço do tipo blog.seusite.com.br;

Registros NS (Name Server): indicam quais servidores atuam como serviço de DNS do site. São os endereços mencionados no tópico sobre registros de domínios;

Registros MX (Mail Exchanger): são os parâmetros que devem ser configurados para contas de e-mail no domínio (@seusite.com.br);

[pic 1]

Processo

O DNS tenta resolver o nome, usando o resolver local, utilizando recursos tais como o cache local do DNS e o arquivo hosts.

Pesquisa no servidor DNS: Onde ocorrerá uma consulta no servidor DNS, consultando zonas para qual ele tem autoridade, além da memória cache, também presente no Servidor.

Processo de Recursão: Caso o DNS não responder através de uma Zona Local ou informações no cache do servidor, ele então passará a consultar outros servidores.

Servidor AUTORITATIVO

O autoritativo é o servidor que está autorizado a responder por um domínio. A autoridade para que um servidor de DNS (autoritativo) responda pelo domínio é dada pelos registros de domínios oficiais, de uma determinada região do mundo. No nosso caso, Brasil, quem fornece a autoridade para que um ou mais servidores autoritativos respondam por um domínio é o Registro.br, um NIR (National Internet Register) responsável pelo Brasil e autorizado pelo LACNIC, que é um dos cinco RIRs (Regional Internet Register), do mundo. O Registro.br exige, no mínimo, dois autoritativos para repassar a autoridade. Este servidor, ao receber requisições de resolução de nome, responde um endereço caso possua, uma referência caso conheça o caminho da resolução ou uma negação caso não conheça.

O autoritativo responde por um domínio, ele é um servidor que deve ficar disponível para qualquer consulta feita na Internet sendo um servidor aberto, sob o ponto de vista de consultas aos domínios sob sua jurisdição. Se o servidor autoritativo não estiver muito bem preparado e, não usar o DNSSEC, sua vulnerabilidade passa a ser enorme, ficando suscetível à chamada poluição de DNS (comprometimento, envenenamento).

Servidores RECURSIVOS

O servidor recursivo consulta o autoritativo, mas não está liberado para toda a Internet, somente para as demandas de rede internas. Entretanto, ele traz as informações de domínios vindas de todos os autoritativos. Se algum autoritativo está comprometido, ele passará tais informaçoes para frente. Nesse caso, somente o DNSSEC poderá aliviar a tensão do comprometimento, já que é impossível criptogafar o tráfego entre recursivos e autoritativos se não através do DNSSEC.

Ao receber requisições de resolução de nomes, faz requisições para os servidores autoritativos e conforme a resposta recebida dos mesmos continua a realizar requisições para outros servidores autorizativos até obter a resposta satisfatória

Master x Slave

Para evitar a duplicação de informações, um servidor DNS pode ser configurado para trabalhar em modo Slave. Nesse caso, o administrador não irá configurar os dados de uma zona direto no servidor DNS, ele apenas configura o cabeçalho dela e diz quem é o servidor Master. Então os dados da zona são transferidos e mantidos atualizados entre eles.

DNS Reverso

Além de converter nomes em endereços IP, muitas vezes precisamos fazer o contrário, descobrir qual é o nome de um determinado IP. Para isso utilizamos o DNS Reverso. Como os endereços IP são delegados em blocos para empresas, o que muda são os últimos octetos do endereço, portanto, na hora de resolver o reverso, o IP é escrito de trás para frente.

Existe uma zona chamada in-addr.arpa que é o começo da resolução de um reverso, resolvido pelos RootServers. Portanto, quando resolvemos o reverso do IP 161.148.231.100, o servidor DNS irá resolver um registro do tipo PTR para o endereço 100.231.148.161.in-addr.arpa.

Em resumo

DNS é um sistema hierárquico para resolução de nomes

Atua “traduzindo”