O que é DNS? Um guia visual para iniciantes sobre como nomes de domínio viram endereços IP

Written by

ToolCluster

in

Quando você digita google.com ou toolcluster.app no navegador, uma página web chega quase instantaneamente a partir de um servidor em algum lugar do mundo. Se você parar para pensar, várias coisas misteriosas aconteceram em sequência.

  • Você digita toolcluster.app e um artigo aparece a partir de um servidor em algum canto do mundo. Mas de onde veio o endereço (o endereço IP)?
  • Você conecta o celular ao Wi-Fi e o Google e o YouTube simplesmente funcionam. Quem está convertendo o nome de domínio em endereço IP nos bastidores?

A maioria de nós usa isso sem nunca pensar a respeito. Mas, se você seguir o caminho de volta, vai encontrar um catálogo telefônico distribuído estendido por toda a Internet, trabalhando em silêncio nos bastidores.

Os dispositivos na Internet não conseguem conversar entre si sem um endereço IP (o endereço numérico na rede) ─ veja o artigo anterior O que é um endereço IP?. Mas, no dia a dia, não digitamos números como 192.168.1.10; usamos nomes amigáveis como toolcluster.app. Quem faz a ponte entre os dois é o DNS (sistema de nomes de domínio).

Neste artigo vamos destrinchar:

  • O que o DNS realmente é e por que ele é necessário (§1)
  • Por que os nomes de domínio se leem da direita para a esquerda (§2)
  • O que acontece nos bastidores em uma única consulta ─ a jornada de 7 fases (§3)
  • O que são, na prática, os registros DNS (§4)
  • O cache de DNS e o TTL que sustentam silenciosamente 90% da Internet (§5)
  • A era do DNS criptografado com DoH/DoT (§6)
  • Como CDNs e Apple Private Relay se conectam ao DNS (§7)
  • Alguns comandos que você mesmo pode rodar para observar o DNS na sua máquina (§8)

Vamos passo a passo, com diagramas, sem assumir nenhum conhecimento prévio.

💡 Dica

Este artigo é a quarta parte da nossa série «Como um PC realmente funciona». Se a instalação é o aperto de mão entre o sistema operacional e o app, o reinício é o SO zerando o estado acumulado e o endereço IP é o “endereço” do lado da rede, este artigo trata do sistema que transforma esses endereços em nomes que um humano consegue de fato lembrar.

1. O que é DNS ─ o «catálogo telefônico» da Internet

1-1. O trabalho de ligar nomes a endereços

Um catálogo telefônico é um livro para procurar o telefone de uma pessoa a partir do nome dela. Na Internet, as peças equivalentes são:

  • Nome de domínio ─ a string fácil de lembrar, equivalente ao nome da pessoa (toolcluster.app)
  • Endereço IP ─ o número que as máquinas usam para conversar, equivalente ao número de telefone (203.0.113.5)

O «catálogo telefônico» que liga os dois é o DNS (sistema de nomes de domínio ─ o sistema usado pela Internet inteira para converter «nomes → endereços»).

1-2. Por que precisamos do DNS

Se o objetivo fosse apenas conectividade pura, dava para digitar diretamente os endereços IP. Mesmo assim, o DNS existe por três motivos:

  • Difíceis de lembrar: toolcluster.app é dramaticamente mais fácil de memorizar do que 203.0.113.5
  • Sujeitos a mudança: os IPs mudam ao migrar servidores ou trocar de provedor de nuvem. Se o usuário só precisa lembrar o nome, o endereço por baixo pode mudar sem que ele perceba
  • Distribuir entre vários servidores: amarrar um nome a vários IPs e direcionar usuários para servidores diferentes pelo mundo (é o que os CDNs fazem, ainda voltamos a isso)

1-3. DNS não é um único banco de dados gigante

Esse é o mal-entendido mais comum. As pessoas imaginam «um quartel-general do DNS em algum lugar do mundo, gerenciando todos os domínios». Na prática, o DNS é um sistema distribuído e hierárquico espalhado pela Internet inteira.

seu navegador
        ↕
    Resolvedor DNS (um «intermediário» que faz a resolução de nomes em seu nome)
        ↕
   Frota de servidores DNS, espalhados pelo mundo
        ├── Servidores raiz («.»)
        ├── Servidores TLD («.app», «.com» etc.)
        └── Servidores de nomes autoritativos (operados por cada dono de domínio)

Por exemplo, os únicos servidores que de fato sabem o endereço de toolcluster.app são os servidores de nomes autoritativos de toolcluster.app, em algum canto do mundo. Qualquer outro servidor só consegue dizer «não sou eu, pergunte ali». O DNS, em essência, é dividir o trabalho e ir passando a pergunta adiante até achar a resposta.

2. A hierarquia dos nomes de domínio ─ leia da direita para a esquerda

2-1. Como um endereço postal, a parte de baixo é a «mais ampla»

Um nome de domínio como www.toolcluster.app funciona como um endereço postal: quanto mais à direita, mais amplo o escopo.

www . toolcluster . app .
└─┬─┘  └────┬─────┘ └┬┘ └← o «.» final costuma ser omitido, mas representa a raiz
  sub-      segundo   TLD
  domínio   nível

Igual a um endereço postal em português, que vai do mais específico («número → rua → cidade → estado → país») com a unidade maior no final. O ponto final tantas vezes esquecido (.) representa a unidade maior de todas: a raiz.

2-2. Quatro camadas, cada uma com seu «responsável»

A hierarquia do DNS tem quatro camadas:

  • Raiz («.»): o topo da Internet. Operada como 13 grupos de servidores pelo mundo
  • TLD (Top Level Domain): .com, .app, .br etc. Operados por Verisign, Google e outros
  • Domínio de segundo nível: a parte toolcluster em toolcluster.app. A responsabilidade fica com quem comprou o domínio
  • Subdomínio: a parte www em www.toolcluster.app. O dono pode dividir como quiser

Cada camada tem seu próprio responsável (o servidor de nomes autoritativo ─ o servidor que «realmente sabe» o IP dos domínios sob sua responsabilidade). A jornada da consulta funciona descendo do topo e seguindo a cadeia de responsabilidade até chegar na resposta.

.                            ← raiz («.»)
├── com                      ← TLD
├── app                      ← TLD ★ a partir daqui perguntamos para o time do «.app»
│    └── toolcluster         ← segundo nível ★ é onde mora o NS autoritativo
│         └── www            ← subdomínio
├── br
└── ...

3. ★ A jornada da resolução de nomes ─ 7 fases

Aqui está o coração do artigo. Do momento em que você digita toolcluster.app até o navegador ter o endereço IP em mãos, o que está realmente acontecendo? Vamos seguir isso em 7 fases.

3-1. Linha do tempo das 7 fases

Cada fase leva de poucos a algumas centenas de milissegundos. Se em qualquer ponto entre 1 e 6 houver um acerto de cache, todas as fases abaixo são puladas (mais detalhes em §5).

  1. 1Verificar o cache do navegadorEsse domínio foi resolvido há pouquíssimo tempo? O navegador olha primeiro a tabela interna dele.
  2. 2Perguntar ao stub resolver do SOSe o navegador não tiver, perguntamos ao pequeno cliente DNS embutido no SO (o stub resolver). O SO também tem cache próprio.
  3. 3Enviar para o resolvedor DNSSe o SO também não tiver, a pergunta vai para um resolvedor DNS externo (o do seu provedor, 8.8.8.8, 1.1.1.1 etc.).
  4. 4Perguntar a um servidor raizO resolvedor pergunta para a raiz: «quem cuida de .app?»
  5. 5Perguntar ao servidor TLDO resolvedor pergunta ao servidor TLD .app (apontado pela raiz): «quem cuida de toolcluster.app?»
  6. 6Perguntar ao servidor de nomes autoritativoPor fim, o resolvedor pergunta ao NS autoritativo de toolcluster.app: «qual o IP de www.toolcluster.app?»
  7. 7A resposta volta para o navegadorA resposta refaz o caminho resolvedor → SO → navegador, sendo cacheada em cada camada por onde passa.

Mnemônico: «Navegador → SO → Resolvedor → Raiz → TLD → Autoritativo → Volta». Do momento em que você aperta Enter ao momento em que a resposta chega, toda consulta passa por essas 7 paradas (a maioria é cortada pelo cache, mas o caminho completo é esse).

3-2. Iterativa vs recursiva ─ «quem é que está sendo passado de mão em mão?»

Se você observar bem essas 7 fases, vai notar que existem na verdade dois estilos diferentes de pergunta.

  • Consulta recursiva: você (navegador/SO) pede ao resolvedor DNS «me devolva apenas a resposta final». O resolvedor faz os passos 4–6 no seu lugar
  • Consulta iterativa: o resolvedor DNS pergunta a cada servidor «me diga apenas para quem eu devo perguntar a seguir». O resolvedor é repassado de servidor em servidor, juntando a resposta passo a passo
TrechoTipo de consultaSignificado
Cliente ↔ ResolvedorRecursiva«Me dê o IP final»
Resolvedor ↔ Raiz / TLD / AutoritativoIterativa«Pra quem eu pergunto agora?»

Ou seja, quem é passado de mão em mão é só o resolvedor. Você só precisa dizer «resolvedor, dá um jeito disso pra mim». É esse design que faz a Internet parecer tão rápida quanto parece.

4. Tipos de registros DNS

O DNS não devolve só «nome → IP». Um domínio carrega todo tipo de informação associada na forma de registros, cada um com seu tipo. Estes são os 8 mais importantes.

RegistroEm uma linhaExemplo
Adomínio → IPv4toolcluster.app A 203.0.113.5
AAAAdomínio → IPv6toolcluster.app AAAA 2001:db8::1
CNAMEapelido para outro domíniowww.toolcluster.app CNAME toolcluster.app
MXonde o e-mail deve ser entreguetoolcluster.app MX 10 mail.example.com
TXTtexto livre (SPF / DKIM etc.)toolcluster.app TXT "v=spf1 -all"
NSquem é autoritativo desta zonatoolcluster.app NS ns1.cloudflare.com
PTRIP → domínio (resolução reversa)5.113.0.203.in-addr.arpa PTR toolcluster.app
SOAmetadados da zona(TTL, e-mail do administrador etc.)

A e AAAA são o par IPv4/IPv6, e os sites modernos costumam configurar os dois. CNAME significa «apelido», então, ao definir www.toolcluster.app como apelido de toolcluster.app, basta atualizar um único IP e os dois nomes seguem juntos.

MX, TXT e NS aparecem quando serviços que não são da Web se ligam ao domínio. Para e-mail, configure MX; para autenticação de domínio e prevenção de spoofing, coloque SPF/DKIM/DMARC dentro de registros TXT ─ esse é o manual padrão.

5. Cache de DNS e TTL ─ o herói silencioso da Internet

Se rodássemos a jornada completa de 7 fases do §3 em toda conexão, os servidores raiz quebrariam sob centenas de milhões de consultas por segundo. Na prática, o cache absorve quase tudo, e a maioria das resoluções termina na fase 1, 2 ou 3.

5-1. O cache tem várias camadas

cache interno do navegador
        ↓ se errar
cache do stub resolver do SO
        ↓ se errar
cache do resolvedor DNS (provedor / 8.8.8.8 / 1.1.1.1)
        ↓ se errar
a jornada de verdade: raiz → TLD → autoritativo

Quanto mais camadas existem, menos carga sobe (raiz e TLD).

5-2. TTL ─ quando jogar fora o cache

Cada registro carrega um TTL (Time To Live ─ a quantidade máxima de segundos em que aquele registro pode ficar em cache). Se TTL = 300, o cache pode ser reutilizado por 5 minutos; depois disso, ele é descartado e a consulta refeita.

  • Definir o TTL mais longo → menos carga acima, mas mudanças de IP demoram mais para se propagar
  • Definir o TTL mais curto → mudanças se propagam rápido, mas mais consultas batem acima

O manual clássico antes de migrar um servidor é «baixar primeiro o TTL para 60 segundos e só então migrar» ─ é exatamente essa propriedade em ação.

5-3. A «propagação do DNS» não é, de fato, propagação

Em migrações de site você ouve direto a expressão «esperando o DNS propagar». Ela costuma ser mal compreendida: na verdade, significa só «esperando os caches do mundo expirarem». O novo registro não está sendo, literalmente, transmitido pelo planeta.

  • ✗ Mal-entendido comum: o novo IP é propagado para todos os servidores DNS do mundo
  • ✓ Realidade: cada resolvedor simplesmente refaz a consulta ao NS autoritativo no momento em que o TTL do cache antigo expira

Por isso, baixar o TTL com antecedência acelera a «propagação». Quando você entende o mecanismo, é óbvio; sem entender, essa fase parece torcer para a sorte.

💡 Dica

Às vezes «limpar o cache do navegador não resolve, mas em outro PC funciona». Quase sempre é o seu resolvedor DNS (do provedor ou do roteador) ainda segurando o cache antigo. Caches que sobrevivem até a ipconfig /flushdns no Windows costumam ser resolvidos reiniciando o roteador ou trocando para outro serviço de DNS.

6. DoH / DoT ─ a era do DNS criptografado

Até aqui, assumimos no silêncio que «as consultas DNS trafegam pela rede em texto puro». E, por muito tempo, foi assim. Mas, nos anos 2020, a maré começou a virar.

6-1. O problema do DNS em texto puro

Em texto puro, suas consultas DNS são visíveis a qualquer um na mesma rede.

  • O operador do Wi-Fi público vê com clareza «o que você está tentando visitar» (os nomes de domínio)
  • O provedor de Internet pode montar um histórico de navegação no nível de domínio
  • Um atacante intermediário pode forjar registros e te redirecionar para um site falso (DNS spoofing)

6-2. Chegam DoH e DoT

A resposta a isso é o DoH (DNS over HTTPS) e o DoT (DNS over TLS). Ambos criptografam a consulta DNS.

ProtocoloFormato na redeVisibilidade na rede
TradicionalUDP/53 (texto puro)consultas totalmente visíveis
DoTTLS/853 (porta dedicada)criptografado, mas dá para ver «isso é DNS»
DoHHTTPS/443 (igual à Web)se mistura ao tráfego web normal

6-3. Como é usado hoje

Os principais navegadores (Firefox / Chrome / Safari) usam DoH automaticamente sob certas condições. Do lado corporativo, isso traz um novo desafio: «como controlar o DoH?» ─ porque filtros parentais e sistemas de detecção de intrusões assistiam ao DNS.

Esse tema merece um artigo próprio, então, por enquanto, fique com a forma geral: «o DNS está sendo criptografado, e isso tem consequências».

7. CDN e DNS ─ a «mentira esperta» do «servidor mais próximo»

Para encerrar, duas aplicações práticas do DNS que sustentam a performance da Web moderna.

7-1. CDNs entregam «o mais próximo» via GeoDNS

Se você resolver google.com a partir de países diferentes, vai receber IPs diferentes dependendo de onde estiver. O servidor de nomes autoritativo olha a origem da consulta e o caminho de rede e devolve o IP do servidor mais próximo. Isso é chamado de GeoDNS (operar o DNS de forma a devolver respostas geograficamente otimizadas). CDNs (redes de distribuição de conteúdo) como Cloudflare e Akamai operam isso em larga escala.

um usuário em São Paulo → IP do servidor de borda em São Paulo
um usuário em Nova York → IP do servidor de borda em Nova York

Mesmo domínio, respostas diferentes ─ é assim que o DNS hoje vai bem além de uma «simples agenda telefônica».

7-2. O Apple Private Relay também gira em torno do DNS

No iOS / macOS, o Apple Private Relay é um serviço que separa as suas consultas DNS e o seu tráfego web em duas etapas, de modo que nenhuma das partes consiga, sozinha, correlacionar os dois. O ponto de partida do «nem a Apple sabe o que você está navegando» é exatamente a criptografia e a separação do DNS.

Assim, o DNS vai além da pura resolução de nomes e passa a ser uma dobradiça tanto para a privacidade quanto para a otimização da entrega.

8. Observe o DNS na sua própria máquina

Depois de seguir a teoria, vale botar a mão na massa. Um uso mais avançado merece um artigo próprio, então aqui mostramos só os dois comandos mínimos que você precisa.

8-1. dig (Linux / macOS)

dig-example 
dig toolcluster.app

Da saída toda, o que interessa é o que aparece abaixo de ;; ANSWER SECTION:.

;; ANSWER SECTION:
toolcluster.app.    300    IN    A    203.0.113.5

300 é o TTL, A é o tipo de registro e 203.0.113.5 é o IP. Quando você sabe ler esses três números, o conhecimento de §4 e §5 vira memória muscular.

8-2. nslookup (Windows / multiplataforma)

nslookup-example 
nslookup toolcluster.app

A linha Server: mostra «o resolvedor DNS que você está usando agora»; a linha Address: mostra «o IP do domínio».

8-3. Limpando o cache

  • Windows: ipconfig /flushdns
  • macOS: sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
  • Linux (systemd): sudo systemd-resolve --flush-caches

O dig tem muito mais a oferecer, mas isso é assunto para outro artigo. Para este, «digitar uma linha e aprender a ler a resposta» é o suficiente.

Resumo ─ a essência em 4 linhas

O artigo foi longo, mas a essência cabe em 4 itens.

  • DNS = o conversor de nomes em endereços. Roda em uma rede de servidores espalhada pelo mundo
  • Os nomes de domínio são hierárquicos, lidos da direita para a esquerda, e cada camada tem um responsável (o servidor de nomes autoritativo)
  • Cache e TTL sustentam cerca de 90% da Internet. A «propagação do DNS» não é propagação; é esperar os TTLs expirarem
  • Conhecer DoH/DoT e CDN é o que permite entender como a Internet moderna se comporta

Com esse esqueleto na cabeça, planejar a migração de um site, isolar latências estranhas e ler notícias relacionadas a DNS viram tarefas do mesmo tipo.

Para o endereço de rede em si, veja O que é um endereço IP?; para a ponte entre o SO e o software, Por que precisamos instalar softwares?; e para zerar o estado acumulado pelo SO, Por que reiniciar resolve as coisas?. Lidos em conjunto, o «encanamento invisível» do PC e da Internet começa a se conectar em uma única imagem tridimensional.

FAQ

Q1. Quando o DNS parece lento, o que dá para fazer?

A. Os dois primeiros suspeitos são o cache e a escolha do resolvedor. Se limpar o cache local (ipconfig /flushdns no Windows, equivalentes em outros sistemas) não ajudar, trocar o resolvedor DNS para um público como 8.8.8.8 (Google), 1.1.1.1 (Cloudflare) ou 9.9.9.9 (Quad9) costuma deixar mais rápido. Você também pode mudar isso direto no roteador de casa. Atenção: sites com TTL longo podem parecer «igualmente lentos para todo mundo» por motivos do servidor, então vale verificar se outras pessoas estão sentindo a mesma lentidão.

Q2. O que é o arquivo hosts? Qual a relação dele com o DNS?

A. O arquivo hosts é uma caderneta de endereços local que o SO consulta antes do DNS. No Mac/Linux fica em /etc/hosts; no Windows, em C:\Windows\System32\drivers\etc\hosts. Adicione uma linha como 127.0.0.1 myapp.local e o tráfego para myapp.local vai para a sua própria máquina sem o DNS entrar na história. É muito usado em desenvolvimento ou para bloquear sites específicos. Como ele fica antes do DNS, uma edição equivocada pode te deixar pensando «por que não consigo acessar este site?».

Q3. O que acontece entre comprar um domínio e ele aparecer na Web?

A. São aproximadamente 3 etapas. (1) Comprar o domínio em um registrador (Registro.br, Cloudflare Registrar etc.); a base de dados do TLD é atualizada com o seu cadastro. (2) Indicar os servidores de nomes autoritativos (NS) no painel do registrador ─ rodar os seus próprios ou usar um DNS gerenciado como Cloudflare DNS ou Route 53. (3) Nesses NS autoritativos, configurar registros A ou CNAME apontando para o IP do seu servidor. A partir desse ponto, os resolvedores ao redor do mundo vão pegar o novo registro à medida que os TTLs deles forem expirando.

Q4. 8.8.8.8 vs 1.1.1.1 ─ qual usar?

A. Os dois são resolvedores DNS públicos, gratuitos e estáveis. A velocidade costuma empatar fora diferenças regionais, então a escolha cai em política e funções extras. 8.8.8.8 (Google) traz infraestrutura massiva e um longo histórico; 1.1.1.1 (Cloudflare) se apoia em compromissos de privacidade como «logs apagados em até 24 horas». Se quiser filtragem (bloquear conteúdo adulto etc.), 1.1.1.3 (Cloudflare for Families) e 9.9.9.9 (Quad9, que bloqueia domínios de malware) são opções. Para uso pessoal ou doméstico, o 1.1.1.1 é uma escolha segura como padrão; em uso corporativo, em que SLA e suporte importam, apoiar-se no DNS do provedor ou em um serviço pago é mais pragmático.

Q5. Habilitar DoH quebra a segurança da empresa?

A. Em parte verdade, em parte já resolvido. A segurança corporativa antiga se baseava em «olhar o DNS para bloquear domínios suspeitos», e o DoH realmente esconde o DNS dentro do HTTPS, o que enfraquece esse modelo. Mas os ambientes corporativos modernos compensam com agentes nos endpoints, ou forçando o DoH a passar por um resolvedor interno. No uso pessoal não há grande risco, mas em um PC fornecido pela empresa, não habilite DoH por conta própria ─ provavelmente vai bater de frente com a política interna.

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

More posts