O que é Resolvedor de DNS?

Um servidor que recebe consultas DNS dos clientes e obtém as respostas consultando servidores autoritativos.

Resolvedor de DNS - O que Significa & Como Funciona

O que é um Resolvedor de DNS?

Um resolvedor de DNS (também chamado de resolvedor recursivo ou servidor DNS recursivo) é um servidor que recebe consultas de DNS de dispositivos cliente e realiza o trabalho de rastrear o endereço IP para um nome de domínio. Os resolvedores atuam como intermediários entre clientes e a hierarquia de DNS, lidando com a recursão através de nameservers raiz, TLD e autoritativos.

Como Funcionam Resolvedores de DNS

O Processo de Resolução

Quando você digita "example.com" no seu navegador:

1. Cliente → Resolvedor: "Qual é o IP para example.com?" 2. Resolvedor verifica cache → Hit em cache: Retorna resultado em cache → Miss em cache: Inicia recursão 3. Resolvedor → Servidor Raiz: "Onde está .com?" Raiz → Resolvedor: "Pergunte a estes nameservers .com" 4. Resolvedor → TLD .com: "Onde está example.com?" .com → Resolvedor: "Pergunte a estes nameservers" 5. Resolvedor → NS Autoritativo: "Qual é o IP do example.com?" Auth NS → Resolvedor: "203.0.113.50" 6. Resolvedor → Cliente: "203.0.113.50"

(Também armazena em cache resultado com base em TTL)

Consultas Recursivas vs Iterativas

Consulta Recursiva (Cliente → Resolvedor):

Cliente: "Me dê a resposta final para example.com" Resolvedor: "Aqui está o IP: 203.0.113.50"

(Resolvedor faz todo o trabalho)

Consulta Iterativa (Resolvedor → Nameservers):

Resolvedor: "Qual é example.com?" Raiz: "Não sei, pergunte servidores .com" Resolvedor: "Qual é example.com?" .com: "Não sei, pergunte ns1.example.com" Resolvedor: "Qual é example.com?"

ns1: "203.0.113.50"

Tipos de Resolvedores

Resolvedor Stub

Incorporado em sistemas operacionais e aplicações:

Encaminha consultas para servidores DNS configurados
Lógica mínima
Não executa recursão

Exemplos: Cliente de DNS do SO, bibliotecas de DNS de aplicação

Resolvedor Recursivo

Servidores completos que executam resolução de DNS completa:

Armazena resultados em cache
Segue referências
Implementa recursos de segurança

Exemplos: DNS ISP, Google (8.8.8.8), Cloudflare (1.1.1.1)

Resolvedor de Encaminhamento

Encaminha consultas para outro resolvedor em vez de executar recursão:

Comum em redes corporativas
Aplicação de política central
Menos consultas externas

Cliente → Resolvedor Corporativo (encaminhamento) → Resolvedor ISP (recursivo) → Internet

Resolvedores Públicos Populares

Provedor	IPv4	IPv6	Recursos
Cloudflare	1.1.1.1, 1.0.0.1	2606:4700:4700::1111	Rápido, foco em privacidade, sem logging
Google	8.8.8.8, 8.8.4.4	2001:4860:4860::8888	Confiável, anycast global
Quad9	9.9.9.9	2620:fe::fe	Filtragem de segurança, bloqueio de ameaça
OpenDNS	208.67.222.222	2620:119:35::35	Filtragem de conteúdo, proteção contra phishing

Alterando Seu Resolvedor

Windows:

Painel de Controle → Rede → Configurações do Adaptador → Propriedades → IPv4 → Usar estes servidores DNS: Preferido: 1.1.1.1

Alternativo: 8.8.8.8

macOS:

Preferências do Sistema → Rede → Avançado → DNS

→ Adicionar: 1.1.1.1, 8.8.8.8

Linux (/etc/resolv.conf):

nameserver 1.1.1.1

nameserver 8.8.8.8

Recursos do Resolvedor

Cache

Resolvedores armazenam respostas de DNS com base em TTL:

Primeira consulta: example.com
→ Recursão completa (50ms)
→ Em cache por 300s (TTL)

Consultas subsequentes: example.com
→ Hit em cache (1ms)
→ Servido até TTL expirar

Estatísticas de cache geralmente mostram taxas de hit acima de 80-90%.

Cache Negativo

Resolvedores também armazenam respostas negativas em cache (NXDOMAIN):

Consulta: nonexistent.example.com Resposta: NXDOMAIN

Armazenado em cache: Com base em TTL mínimo de SOA

Isso evita consultas repetidas para domínios não existentes.

Minimização de Consulta

Resolvedores modernos minimizam divulgação de informações:

Tradicional:

Consulta para .com: "Qual é www.blog.example.com?"

→ Expõe estrutura de subdomínio completa

Minimização de Consulta (RFC 7816):

Consulta para .com: "Qual é example.com?" Consulta para example.com NS: "Qual é blog.example.com?" Consulta para blog.example.com NS: "Qual é www.blog.example.com?"

→ Revela apenas informações necessárias em cada nível

Validação DNSSEC

Resolvedores conscientes de segurança validam assinaturas DNSSEC:

Consulta: example.com (com DNSSEC) → Resolvedor valida assinaturas → Retorna flag AD (Dados Autênticos) se válido

→ Retorna SERVFAIL se assinaturas inválidas

Recursos de Segurança do Resolvedor

DNS sobre HTTPS (DoH)

Criptografa consultas de DNS sobre HTTPS:

DNS Tradicional:
Cliente → Resolvedor (porta UDP 53, texto plano)

DNS sobre HTTPS:
Cliente → Resolvedor (porta TCP 443, criptografado)

Provedores: Cloudflare (https://cloudflare-dns.com/dns-query), Google

DNS sobre TLS (DoT)

Criptografa consultas de DNS sobre TLS:

Cliente → Resolvedor (porta TCP 853, criptografado)

Benefício: ISPs não podem ver ou modificar consultas de DNS

Filtragem de Malware/Phishing

Alguns resolvedores bloqueiam domínios maliciosos conhecidos:

Quad9 (9.9.9.9): Bloqueia domínios associados a malware, phishing Cloudflare para Famílias: Bloqueia malware (1.1.1.2) ou malware+conteúdo adulto (1.1.1.3)

Limitação de Taxa

Protege contra ataques de amplificação de DNS:

Se IP de origem envia > consultas de limite/segundo:

→ Temporariamente limitar taxa ou bloquear

Verificando Seu Resolvedor Atual

Windows:

ipconfig /all | findstr "Servidores DNS"

macOS/Linux:

cat /etc/resolv.conf

Ferramentas Online: browserleaks.com/dns mostra qual resolvedor seu navegador usa Testar resolução:

dig example.com

# Procure por "SERVER:" na saída

Desempenho do Resolvedor

Importância de Latência

Tempo de resposta do resolvedor impacta desempenho web:

Resolvedor	Latência Média	Impacto
ISP Local	10-30ms	Rápido, mas varia
Cloudflare	10-20ms	Consistentemente rápido (anycast)
Google	20-40ms	Confiável, global
Resolvedor Lento	100-200ms	Atraso notável no carregamento de página

Roteamento Anycast

Resolvedores principais usam anycast para baixa latência:

IP de 1.1.1.1 anycast → Roteado para datacenter Cloudflare mais próximo → Consulta de Nova York → datacenter de Nova York → Consulta de Londres → datacenter de Londres

→ Resultado: Resolução global de baixa latência

Medindo Desempenho do Resolvedor

Usando Namebench (testes automatizados):

# Testa múltiplos resolvedores com seus padrões de consulta reais

namebench

Testes Manuais:

# Testar Cloudflare time dig @1.1.1.1 example.com # Testar Google time dig @8.8.8.8 example.com # Testar ISP (atual)

time dig example.com

Problemas Comuns do Resolvedor

Envenenamento de DNS

Os atacantes injetam registros falsos em cache do resolvedor:

Mitigação:

Usar resolvedores com validação DNSSEC
Habilitar randomização de porta de origem
Usar DoH/DoT para prevenir ataques man-in-the-middle

Sequestro de Resolvedor

ISPs ou malware redirecionam consultas de DNS:

Sintoma: Pesquisas mostram anúncios de ISP, redirecionamentos inesperados Solução:

Mudar para resolvedor público (1.1.1.1, 8.8.8.8)
Usar DoH/DoT para evitar interferência de ISP
Verificar malware

Cache Antigo

Resolvedores em cache armazenam registros desatualizados:

Sintoma: Mudanças de DNS não refletem Solução:

Aguardar TTL expirar
Usar resolvedor diferente temporariamente
Limpar cache local

Bloqueio de Resolvedor

Algumas redes bloqueiam resolvedores externos:

Sintoma: Não consegue alcançar 8.8.8.8, 1.1.1.1 Solução:

Usar DNS sobre HTTPS (mais difícil de bloquear)
Usar ponto de extremidade DoH do resolvedor

Configurando um Resolvedor Local

Usando Unbound

# Instalar Unbound (Linux) sudo apt install unbound # Configuração básica (/etc/unbound/unbound.conf) server: interface: 127.0.0.1 do-ip4: yes do-udp: yes do-tcp: yes # Habilitar DNSSEC auto-trust-anchor-file: "/var/lib/unbound/root.key" # Privacidade (minimização de consulta) qname-minimisation: yes # Iniciar serviço sudo systemctl start unbound

sudo systemctl enable unbound

Usando Pi-hole

Resolvedor de DNS de bloqueio de anúncios em toda a rede:

# Instalar Pi-hole curl -sSL https://install.pi-hole.net | bash # Configurar dispositivos para usar Pi-hole como resolvedor

# Definir DHCP do roteador para fornecer IP do Pi-hole como DNS

Melhores Práticas

1. Usar resolvedores públicos reputados: Cloudflare, Google ou Quad9 para confiabilidade

2. Habilitar DoH/DoT: Criptografar consultas para privacidade e segurança

3. Considerar recursos do resolvedor: Escolher com base em necessidades de privacidade, velocidade ou segurança

4. Monitorar desempenho do resolvedor: Testar latência periodicamente

5. Ter resolvedores de backup: Configurar DNS secundário para redundância

6. Usar resolvedores validadores de DNSSEC: Proteger contra envenenamento de cache

7. Entender políticas do resolvedor: Alguns filtram conteúdo, alguns registram consultas

8. Testar após mudanças: Verificar que resolução de DNS funciona corretamente

9. Documentar escolha de resolvedor: Anotar por que escolheu um resolvedor particular

10. Atualizar resolv.conf cuidadosamente: Configuração incorreta quebra DNS completamente

Resolvedor vs Servidor de Nomes Autoritativo

Recurso	Resolvedor	NS Autoritativo
Função	Responde consultas de cliente	Contém registros de DNS reais
Recursão	Sim, consulta outros servidores	Não, apenas responde para suas zonas
Cache	Sim, armazena respostas	Não (dados autoritativos)
Usado por	Clientes, usuários finais	Resolvedores durante recursão
Exemplos	8.8.8.8, 1.1.1.1	ns1.example.com

Resolvedores de DNS são a força de trabalho do sistema DNS — escolher um resolvedor rápido, seguro e respeitador de privacidade impacta significativamente sua experiência de navegação e segurança online.

Resolvedor de DNS