O DNS (Domain Name System) e a lista telefonica da internet: traduz nomes legiveis como decripte.com.br em enderecos IP. Projetado nos anos 1980 sob a premissa de uma rede confiavel, ele nasceu sem autenticacao nem criptografia nativas. Decadas depois, essa heranca transformou o DNS em um dos vetores de ataque mais explorados e, ao mesmo tempo, em uma das fontes de telemetria mais valiosas para deteccao. Este artigo explica por que o DNS e alvo, quais ameacas o exploram e como DNSSEC, DNS over HTTPS/TLS, protective DNS e monitoramento em SOC compoem uma defesa em camadas.
Por que o DNS e um alvo prioritario
Praticamente toda comunicacao na internet comeca com uma consulta DNS. Antes de um navegador abrir um site, de um e-mail ser entregue ou de um malware contatar seu servidor de comando e controle, ha uma resolucao de nome. Essa onipresenca torna o DNS uma camada estrategica tanto para o atacante quanto para o defensor.
O problema estrutural e que o protocolo DNS classico foi concebido como confiavel por padrao. As respostas chegam, em sua maioria, sobre UDP na porta 53, em texto claro e sem qualquer prova de autenticidade. O cliente nao tem como verificar se a resposta veio realmente do servidor autoritativo legitimo ou se foi forjada por um terceiro no caminho. Tambem nao ha confidencialidade: qualquer dispositivo na rota — um provedor, um ponto de Wi-Fi publico ou um adversario em posicao de man-in-the-middle — pode ler e registrar quais dominios um usuario consulta.
Essas duas lacunas — ausencia de integridade e ausencia de confidencialidade — sao a raiz de quase todas as ameacas a seguir, e cada mecanismo moderno de seguranca de DNS ataca especificamente uma delas.
As principais ameacas ao DNS
Cache poisoning e spoofing
No envenenamento de cache, o atacante injeta registros DNS falsos em um resolver recursivo. Como o resolver guarda respostas em cache para acelerar consultas futuras, um unico registro forjado pode redirecionar milhares de usuarios para um servidor malicioso. O ataque classico de Kaminsky (2008) demonstrou como adivinhar o identificador de transacao e a porta de origem permitia falsificar respostas antes da chegada da resposta legitima, levando usuarios de um banco ou webmail para paginas de phishing sem que nada parecesse errado na barra de enderecos.
DNS hijacking
O sequestro de DNS ocorre quando o atacante altera a configuracao de resolucao de uma vitima ou de uma organizacao. Pode acontecer no roteador domestico (mudando os servidores DNS configurados), na conta do registrador de dominios (comprometendo as credenciais e apontando os registros NS para servidores hostis) ou via malware no endpoint. A campanha conhecida como Sea Turtle, alertada pela CISA, comprometeu registradores e provedores para redirecionar trafego de orgaos governamentais inteiros.
DNS tunneling: exfiltracao e C2
Como o trafego DNS quase sempre e liberado em firewalls — afinal, sem DNS nada funciona — atacantes o usam como canal encoberto. No tunelamento de DNS, dados sao codificados em subdominios de consultas (por exemplo ZXhmaWx0cmFkbw.atacante.com) e respostas, criando um canal bidirecional para exfiltrar dados sensiveis ou manter comunicacao de comando e controle (C2). Volumes anomalos de consultas TXT, dominios com entropia alta e nomes excessivamente longos sao sinais classicos desse abuso.
DDoS via DNS amplification
Resolvers abertos e mal configurados podem ser usados para amplificar ataques de negacao de servico. O atacante envia consultas pequenas com endereco de origem forjado (o da vitima) e provoca respostas muito maiores, multiplicando o trafego direcionado ao alvo. Registros como ANY e respostas com DNSSEC, por serem grandes, sao especialmente atraentes para essa tecnica de reflexao e amplificacao.
Domain shadowing e typosquatting
No domain shadowing, o criminoso compromete a conta de DNS de um dominio legitimo e cria subdominios maliciosos sob ele, herdando a reputacao do dominio-pai e escapando de listas de bloqueio. Ja o typosquatting registra variacoes com erros de digitacao de marcas conhecidas (por exemplo decrlpte.com.br) para capturar trafego desatento, hospedar phishing ou distribuir malware. Ambas as tecnicas exploram a confianca visual do usuario no nome do dominio.
DNSSEC: garantindo integridade e autenticidade
O DNSSEC (DNS Security Extensions), padronizado nas RFC 4033, 4034 e 4035, adiciona ao DNS uma camada de assinaturas criptograficas. Em vez de confiar cegamente em uma resposta, o resolver passa a poder verificar que ela foi assinada pela zona legitima e nao foi adulterada no caminho.
O mecanismo se apoia em alguns registros novos:
- DNSKEY — publica as chaves publicas da zona, usadas para verificar as assinaturas.
- RRSIG — contem a assinatura digital de um conjunto de registros (RRset).
- DS (Delegation Signer) — um resumo (hash) da DNSKEY publicado na zona-pai, criando o elo da cadeia de confianca entre niveis.
- NSEC/NSEC3 — provam de forma autenticada a inexistencia de um nome, impedindo a falsificacao de respostas negativas.
A seguranca nasce de uma cadeia de confianca que comeca na raiz da internet (a zona ., cuja chave e gerida em cerimonias publicas) e desce ate o dominio: a raiz assina o TLD (.br), que assina decripte.com.br. Cada nivel publica um registro DS que ancora a chave do nivel seguinte. Se qualquer assinatura nao bater, o resolver validador trata a resposta como invalida (SERVFAIL) e nao a entrega.
E crucial entender o que o DNSSEC protege e o que NAO protege. Ele garante integridade e autenticidade — voce sabe que a resposta e autentica e nao foi adulterada. Ele nao oferece confidencialidade: as consultas e respostas continuam trafegando em texto claro, visiveis a quem observa a rede. DNSSEC tambem nao protege contra DDoS (na verdade, suas respostas maiores podem agravar amplificacao) nem contra o comprometimento da propria conta no registrador. Por isso ele resolve cache poisoning e spoofing, mas precisa ser combinado com outros controles.
DNS over HTTPS (DoH) e DNS over TLS (DoT): confidencialidade
Se o DNSSEC cuida da integridade, o DoT e o DoH cuidam da confidencialidade, cifrando o transporte das consultas para que ninguem no caminho possa ler ou alterar quais dominios estao sendo resolvidos.
O DNS over TLS (DoT), definido na RFC 7858, encapsula o trafego DNS dentro de uma conexao TLS em uma porta dedicada (853). Por usar uma porta propria, e facilmente identificavel e gerenciavel pela equipe de rede — uma vantagem para ambientes corporativos que querem controlar e inspecionar o uso.
O DNS over HTTPS (DoH), definido na RFC 8484, envia consultas DNS como requisicoes HTTPS na porta 443, misturando-se ao trafego web comum. Isso maximiza a privacidade contra observadores, mas tambem cria um desafio de governanca: como o DoH e indistinguivel do trafego HTTPS normal, navegadores e aplicacoes podem contornar o resolver corporativo e suas politicas de seguranca. Por isso, muitas organizacoes desabilitam o DoH nativo dos navegadores e o canalizam para um resolver gerenciado proprio.
Importante: DoT e DoH protegem o transporte entre o cliente e o resolver recursivo, mas nao substituem o DNSSEC, que protege a autenticidade dos dados de ponta a ponta. As tecnologias sao complementares, nao concorrentes.
Protective DNS e DNS filtering como controle de seguranca
Alem de proteger o protocolo, o DNS pode ser transformado em um ponto de aplicacao de politica. O conceito de protective DNS (PDNS), promovido pela CISA e pela NSA, usa um resolver que consulta inteligencia de ameacas e bloqueia ou redireciona consultas para dominios maliciosos conhecidos — phishing, C2 de malware, sites de exfiltracao — antes que a conexao se estabeleca.
O DNS filtering aplica a mesma logica para fins de governanca e seguranca: categorias inteiras (jogos de azar, dominios recem-registrados, conteudo adulto) podem ser bloqueadas por politica. Como cada conexao maliciosa comeca por uma resolucao, interromper no DNS e barato, escalavel e eficaz mesmo quando o endpoint ainda nao tem assinatura do malware. E uma das formas mais custo-eficientes de reduzir a superficie de ataque de uma organizacao de qualquer porte.
Monitoramento de DNS em SOC e SIEM
O DNS e uma das fontes de log mais ricas para deteccao. Centralizar os logs de consultas no SIEM permite que o SOC cace comportamentos anomalos que escapam de outros controles. Padroes de interesse incluem:
- Consultas a dominios recem-registrados ou com baixa reputacao, frequentemente usados em campanhas novas.
- Subdominios longos e de alta entropia, sinal de tunelamento e exfiltracao.
- Picos de consultas TXT ou NULL fora do padrao da linha de base.
- Beaconing — consultas periodicas e regulares a um mesmo dominio, tipico de C2.
- Algoritmos de geracao de dominios (DGA), com muitos NXDOMAIN sequenciais.
Correlacionar essa telemetria com inteligencia de ameacas e com os demais logs (proxy, EDR, firewall) eleva o DNS de uma simples utilidade de rede a um sensor de deteccao de primeira linha. A publicacao NIST SP 800-81 (Secure Domain Name System Deployment Guide) e uma referencia para arquitetar essa infraestrutura com seguranca desde o projeto.
Tabela: ameacas, mecanismos e mitigacoes
| Ameaca | O que explora | Mitigacao principal |
|---|---|---|
| Cache poisoning / spoofing | Falta de autenticidade das respostas | DNSSEC (RRSIG/DNSKEY/DS); randomizacao de porta e TXID |
| DNS hijacking | Comprometimento de config ou registrador | MFA e registry lock no registrador; DNSSEC; monitoramento de NS |
| DNS tunneling (exfiltracao/C2) | Porta 53 liberada como canal encoberto | Inspecao e analise de logs no SIEM; protective DNS; deteccao de entropia |
| DDoS por amplificacao | Resolvers abertos e respostas grandes | Fechar recursao aberta; rate limiting (RRL); anti-spoofing BCP38 |
| Domain shadowing | Conta DNS legitima comprometida | MFA na conta DNS; monitoramento de subdominios; PDNS |
| Typosquatting | Confianca visual no nome | Monitoramento de marca; bloqueio de dominios recem-registrados; filtering |
| Interceptacao / vigilancia | Consultas em texto claro | DNS over TLS (DoT) e DNS over HTTPS (DoH) |
| Acesso a dominios maliciosos | Resolucao sem politica | Protective DNS / DNS filtering com threat intel |
Uma defesa em camadas
Nenhum mecanismo isolado resolve a seguranca de DNS. O DNSSEC garante que voce recebe a resposta certa; DoT/DoH garantem que ninguem viu nem alterou a pergunta; o protective DNS impede que a resposta certa leve a um destino errado; e o monitoramento no SOC transforma cada consulta em sinal de deteccao. Juntos, esses controles fecham as lacunas de integridade e de confidencialidade que o DNS classico deixou abertas — e fazem do DNS um aliado da defesa, nao apenas um vetor de risco.
Como a Decripte ajuda
A Decripte e uma empresa B2B de ciberseguranca que atende organizacoes de 1 a mais de 100.000 colaboradores. Implementamos protective DNS, validacao DNSSEC, hardening de resolvers, monitoramento de DNS integrado ao SOC/SIEM e resposta a incidentes de sequestro e tunelamento de DNS — sempre dimensionados ao porte e ao apetite de risco de cada cliente. Seja voce um time enxuto ou uma operacao global, a seguranca de DNS pode ser um dos controles de maior retorno que voce ativa.
Comece a entender sua exposicao hoje: comece gratis pelo nosso Intelligence Center ou conheca os planos que crescem com a sua organizacao.
