DNS Security: DNSSEC, DoH e Proteção contra Ataques de Cache
Por Que DNS É Crítico e Vulnerável
DNS resolve 99% das conexões à internet — sem ele, nada funciona. É também um dos vetores de ataque menos monitorados: DNS tunneling exfiltra dados em queries DNS que passam por firewalls; DNS hijacking redireciona usuários para sites maliciosos; cache poisoning injeta registros falsos. O DNS foi projetado nos anos 1980 sem segurança — e ainda é o calcanhar de Aquiles de muitas redes corporativas.
📊 DNS Security — 2025
Proteções Essenciais de DNS
Proteger DNS requer controles em múltiplas camadas: autenticidade dos registros, privacidade das queries, filtragem de domínios maliciosos e monitoramento de comportamentos anômalos.
DNSSEC: Assinatura de Registros
DNSSEC assina registros DNS criptograficamente, permitindo que resolvers verifiquem autenticidade. Previne cache poisoning e spoofing. Adoção ainda baixa (~30% dos domínios).
DNS over HTTPS (DoH)
Criptografa queries DNS sobre HTTPS, impedindo ISPs e atacantes de interceptar e monitorar resolução de nomes. Chrome, Firefox e Windows 11 suportam DoH nativamente.
DNS Filtering e RPZ
Response Policy Zones bloqueiam resolução de domínios maliciosos conhecidos. Soluções como Cisco Umbrella, Cloudflare Gateway e NextDNS filtram bilhões de queries/dia.
Monitoramento de DNS
Queries DNS para domínios DGA (Domain Generation Algorithm), subdomínios longos e padrões de tunneling indicam malware C2 ou exfiltração de dados — monitore ativamente.
DNS Privado Interno
Mantenha zonas DNS internas em resolvers privados. Split-horizon DNS serve respostas diferentes para queries internas vs. externas. Evite expor topologia interna em DNS público.
DDOS em DNS
DNS amplification usa resolvers abertos para amplificar tráfego 50-70x. Desabilite resolução recursiva aberta em seus servidores. Rate limiting previne abuso do serviço.
⚠️ Ataques DNS Mais Explorados
Malware codifica dados em subdomínios DNS (abc123.malicious.com) para comunicação C2 que passa por firewalls. Detecte com análise de comprimento e entropia de subdomínios.
BGP hijacking ou comprometimento de registrar redireciona domínio inteiro. DNSSEC e registry lock (domain lock) previnem modificações não autorizadas de registros NS.
Domínios com caracteres Unicode visualmente idênticos a ASCII (рaypal.com vs. paypal.com) enganam usuários. Filtros de IDN Homograph nas ferramentas de segurança de e-mail detectam.
Injeção de registros falsos no cache de resolvers DNS direciona usuários a sites maliciosos. DNSSEC e randomização de source port são as defesas primárias contra cache poisoning.
DNS é o mapa da internet — e atacantes que controlam o mapa controlam para onde você vai, mesmo que você acredite estar indo ao lugar certo.
— iSecPlus, 2026
Implementando DNS Security na Prática
Comece habilitando DNSSEC para seus domínios no registrar. Implante DNS filtering (Cisco Umbrella ou Cloudflare Gateway) para todos os endpoints — este único controle bloqueia 70% das comunicações de malware que usam DNS. Configure monitoring de DNS no SIEM para detectar tunneling e DGA. Habilite DoH em browsers corporativos para proteger queries de funcionários remotos.
