O que é o DNS Recursivo?
DNS recursivo é um método de resolução DNS onde um solucionador recursivo lida com todo o processo de busca em nome de um cliente, atravessando a hierarquia DNS de servidores root para servidores de nomes autoritários e retornando a resposta final.Como Recursivo DNS Obras
Client Query: "What is the IP for www.example.com?"
Step 1: Client → Recursive Resolver
"Please resolve www.example.com"
Step 2: Resolver → Root Server (.)
"Who handles .com?"
← Response: "Try a.gtld-servers.net"
Step 3: Resolver → TLD Server (.com)
"Who handles example.com?"
← Response: "Try ns1.example.com at 192.0.2.1"
Step 4: Resolver → Authoritative Server (example.com)
"What is the A record for www.example.com?"
← Response: "192.0.2.10"
Step 5: Resolver → Client
"www.example.com is at 192.0.2.10"
(Resolver caches result for future queries)
DNS Recursivo vs Iterativo
| Característica | Recursivo | Iterativo |
|---|---|---|
| Trabalho de consulta | Resolver faz todo o trabalho | Cliente segue referências |
| Complexidade do cliente | Simples | Complexo |
| Uso frequente | Resolução do utilizador final | Servidor- a- servidor |
| Tipo de resposta | Resposta final | Resposta ou encaminhamento |
Fluxo de Resolução DNS
DNS Hierarchy:
Root Servers (.)
│
┌────────┼────────┐
│ │ │
.com .org .net ← TLD Servers
│
example.com ← Authoritative Servers
│
┌───┴───┐
www mail ← Host Records
Resolução Recursiva Pública
| Fornecedor | Primário | Secundário | Características |
|---|---|---|---|
| 8.8.8.8 | 8.8.4.4 | Anycast global | |
| Cloudflare | 1.1.1.1 | 1.0.0.1 | Focado na privacidade |
| Quad9 | 9.9.9.9 | 149.112.112.112 | Filtragem de segurança |
| OpenDNS | 208.67.222.222 | 208.67.220.220 | Filtragem de conteúdo |
Comportamento de Cache
| Localização da 'Cache' | TTL Controlado por | Duração Típica |
|---|---|---|
| Resolução recursiva | Administrador da zona | Horas a dias |
| Navegador | cabeçalhos HTTP + DNS TTL | Minutos a horas |
| Resolução do SO | DNS TTL | Minutos a horas |
Considerações sobre segurança
- Envenenamento por taquicardia: Os atacantes injetam registros falsos no cache do solucionador
- Amplificação do DNS: Os atacantes usam resolvedores abertos para DDoS
- Privacidade: Resolvedores ver todas as consultas de seus usuários
- Mitigação: validação DNSSEC, limitação de taxa, DNS criptografado (DoH/DoT)
Marcas de Consulta
Recursion Desired (RD): Client requests recursive resolution
Recursion Available (RA): Server supports recursion
Query: dig example.com @8.8.8.8
;; flags: qr rd ra ← RD set by client, RA confirmed by server
Melhores Práticas
1. Use resolvedores confiáveis: Escolha resolvedores com bom tempo de serviço e desempenho
2. Habilitar validação DNSSEC: Proteger contra ataques furtivos
3. Considere privacidade: Use DNS criptografado (DoH/DoT) para consultas sensíveis
4. Latência do monitor: A localização da solução afecta a velocidade de procura
5. Configure retrocessos: Usar vários endereços de resolução
DNS recursivo simplifica a resolução para usuários finais, manipulando automaticamente a complexidade da hierarquia de DNS transversal.