Como proteger melhor seu DNS

David Strom, 24 Março 2021

Ataques DNS crescem tanto em sofisticação quanto em números. Ao escolher uma proteção DNS, é bom saber quais funcionalidades são importantes

Quase todo mundo sabe o que é um ataque de negação de serviço distribuído (DDoS) e que ele se aproveita de diversos terminais que enviam grandes quantidades de tráfego de rede a um alvo.

O que poucos sabem é que essa é apenas uma entre muitas formas de exploração do Domain Name System (DNS). Infelizmente, ataques DNS estão em alta, tanto em termos de números absolutos*, quanto em sofisticação. Já publicamos um artigo sobre proteção de DNS* no site do Avast Business, que explica as melhores formas de impedir esse e outros tipos de ataques DNS.

Mas os cibercriminosos estão cada vez mais espertos. Recentemente, um grupo de acadêmicos relatou um novo método de ataque DNS por meio de envenenamento de cache*. Isso significa que o típico servidor DNS guarda em sua memória uma lista de solicitações já feitas. Quando uma nova solicitação entra para combinar um nome de domínio, como “google.com”, com a entrada do DNS correto, o servidor primeiramente verifica sua memória para conferir se esse trabalho já foi feito antes. Só depois disso é que ele envia a solicitação para o caminho correto.

Mas o que aconteceria se fosse possível alterar esses endereços na memória do computador para enviar o tráfego a destinos controlados por bandidos? É basicamente isso que o envenenamento de cache faz. Anteriormente, ataques de envenenamento eram bloqueados com implementação de criptografia e outros truques no processamento do DNS. Mas pesquisadores descobriram formas de contornar essa proteção, além de que um terço dos provedores de DNS estão vulneráveis, inclusive os serviços mais utilizados.


Saiba mais: Como alterar as configurações de DNS do seu roteador e evitar hackers


Esses ataques não são completamente inesperados. Por exemplo, em 2016, bandidos descobriram como usar o DNSSEC para amplificar ataques DDoS*. DNSSEC é apenas uma entre muitas funcionalidades e protocolos avançados de proteção de DNS. Outras formas incluem DNSCrypt* e DNS em HTTPS*.

Paul Vixie é um dos principais desenvolvedores de DNS. Segundo ele, um gerente de TI pode construir defesas melhores contra todos os tipos de ataques se ele aprendesse como monitorar o que acontece ao longo da infraestrutura de DNS. “Isso é importante, pois obriga os bandidos a criarem conteúdo DNS para atingir suas vítimas”, afirma ele.

Então vamos dar uma olhada em alguns provedores DNS alternativos. A Techradar revisou muitos deles* que oferecem planos de assinatura gratuitos e pagos. Há uma grande variedade de provedores. Antes de contratar um plano pago, é melhor testar um dos diversos serviços gratuitos para ver o que cada um oferece.

Mas se a proteção de DNS é importante para você, então é melhor avaliar quais funcionalidades os provedores pagos oferecem e qual o preço de cada serviço. Alguns oferecem análise de tráfego quase que instantâneo, outros contam com regras sofisticadas de geofencing, que podem ser utilizadas para prevenir ataques phishing, e há ainda alguns com carregamento balanceado e outros proxies de conteúdo para que a rede opere com mais eficiência. Alguns fornecedores dizem onde seus servidores DNS estão localizados fisicamente, enquanto outros não. É bom levar isso em consideração. A Geekflare conta com serviços de comparação de desempenho*, a maioria grátis, que mostram se a troca de provedor de DNS pode ajudar a melhorar o tempo de resposta de rede e reduzir a latência. Mesmo que esses não sejam problemas de segurança, não faz sentido trocar de provedor de DNS se ele não melhora seu tempo de resposta.

Os grandes fornecedores em nuvem, como Google, Amazon e Microsoft Azure, todos contam com suas próprias especialidades em DNS. Se você for implementar uma infraestrutura significativa em qualquer um desses sistemas em nuvem, definitivamente você deveria utilizar seus serviços de DNS.

E não se esqueça, há diversos produtos Avast que podem ajudar a proteger seu DNS. Entre eles, você encontra o Avast SecureLine VPN, o Avast Secure Browser e o Avast Antivirus.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

Artigos relacionados