Para nós, humanos, é fácil navegar na internet. Se quisermos comprar alguma coisa na Loja Virtual do Zé, basta digital www.lojavirtualdoze.com.br e o nosso computador e todos os outros pelo caminho “se viram” pra encontrar o site. Nós, humanos, normalmente não queremos saber como. Mas para as máquinas, tratar com os nomes que usamos para os sites seria um pesadelo. Os computadores só conhecem e só sabem tratar com números. Por isso, para eles os sites não tem nomes e sim números IP. Para unir esses dois mundos existe esse sistema chamado de DNS.
Cada computador na internet tem um endereço único, o endereço IP, formado por uma sequência numérica (ex: 64.233.169.105). Os nomes de domínio que usamos ao navegar (ex: google.com.br) são na verdade um “apelido” para estes endereços, algo de que possamos nos lembrar facilmente.
Quando um endereço “humano” (isto é, com palavras – por exemplo, www.portaldainocencia.blogspot.com ) é digitado no navegador, este faz uma consulta a um servidor DNS para descobrir o IP correspondente e saber para onde encaminhar o pedido de conexão. É como entrar num táxi e dizer “vamos ao MASP”. O taxista faz, mentalmente, a conversão do nome do local para um endereço (“Av. Paulista, 1578”) e traça o melhor caminho até lá. Se o taxista não souber onde fica, consulta o guia de ruas.
Outra analogia pode ser feita com o sistema telefônico. Alguém que queira telefonar para outra pessoa precisa saber na cabeça o número de telefone dessa pessoa. Podemos guardar umas poucas dezenas de números em nossa memória animal, mas não mais que isso. Para resolver o problema, podemos usar a lista telefônica. Lá procuramos o nome da pessoa para quem queremos ligar e anotamos o número.
Quando você digita um nome de domínio no navegador
(por exemplo, www.sattotalbrpt.blogspot.com ), este vai consultar o servidor de DNS para saber o número IP correspondente. O DNS funciona, portanto, como um “Guia de IPs” para o navegador, de forma semelhante à lista telefônica e ao guia de ruas.
Como funciona a pesquisa (ou resolução) de DNS
O ato de procurar um domínio no servidor de DNS e obter seu IP funciona exatamente como descrito acima. Mas imaginemos, por um momento, os bilhões de computadores existentes hoje na internet procurando todos num único servidor. Além de o tráfego nesse servidor hipotético ser monstruoso (toda a internet o consultaria), ele teria que ter uma tabela enorme com todas os computadores do mundo. Tecnicamente, é impraticável.
Para evitar esse problema, a estrutura do DNS (assim como a da internet no geral) é descentralizada. Há milhões de servidores DNS no mundo, cada um conhecendo alguns ou mesmo apenas um domínio. Se o servidor para o qual seu navegador se dirigir não souber dizer qual o IP do site que você pediu, ele sugere um outro servidor. Esse “ping-pong” continua até encontrar um servidor que saiba a resposta.
A organização desse “ping-pong” não é caótica ou aleatória, mas sim bastante organizada e segue uma hierarquia (veja o DNS no mundo, mais adiante). Esse expediente todo permite que a informação, mesmo descentralizada, seja fácil e rapidamente obtida.
A resolução do endereço começa da direita para a esquerda. Os pontos separam cada parte do endereço. Tomemos como exemplo o domínio www.guerraspontocom.blogspot.com . O navegador (seu Internet Explorer, Chrome ou Firefox) só conhece alguns servidores de DNS, muito poucos, os principais da internet chamados de “raiz”. Ele vai perguntar para um desses raízes: “ei, meu chapa, qual o servidor DNS que conhece domínios .com”?
O servidor raiz responde com o número IP do servidor .br. O navegador então, dirige-se a esse outro servidor e pergunta: “campeão, qual o servidor DNS que conhece os domínios .com”? Novamente, recebe o endereço IP do servidor .com.
Para o servidor DNS que cuida dos .com, o navegador pergunta: “chefe, qual o servidor DNS que cuida do guerraspontocom.blogspot.com.”?
Passando a esse novo servidor, pergunta: “gente boa, eu sei que você cuida de todos os sites da Dossiê sobre Guerras (guerraspontocom.blogspot.com). Eu quero o site da web (www.guerraspontocom.blogspot.com), qual o IP dele”?
E aí, só aí, o navegador obtém o endereço IP do site da Dossiê sobre Guerras e usa esse endereço para ir buscar a home page. Note que o navegador só conhecia o DNS raiz. Ele teve que perguntar o endereço de todos os outros DNSs e só quando chegou no de mais baixo nível é que perguntou o endereço do site.
Parece complicado, mas essa técnica permite distribuir um pouquinho de informação entre servidores no mundo todo, desafogando o tráfego e tornando a busca mais rápida. A figura abaixo, retirada da Wikipédia, explica graficamente o funcionamento da coisa.
O DNS no mundo
No mundo todo há 13 servidores DNS “mestres” (os “root servers”), que controlam uma hierarquia de servidores menores abaixo deles. Sem eles, a Internet simplesmente não funcionaria. Dez deles estão localizados nos EUA, um na Ásia e dois na Europa. Para aumentar confiabilidade e dar redundância a falhas para esses servidores, foram criadas réplicas (“mirrors”) localizadas por todo o mundo, inclusive no Brasil, desde 2003.
Abaixo desses servidores mestres há um verdadeiro exército de servidores menores, cada um cuidando de poucos ou mesmo de apenas um domínio. Empresas privadas de todos os tamanhos que tenham um domínio na internet, por exemplo, muitas vezes têm seu próprio servidor DNS. A quantidade total exata de servidores DNS no mundo não é conhecida, mas em 2008 estava estimada em cerca de 16 milhões. Como esse número cresceu 39% entre 2007 e 2008, segundo o serviço NumberOf.net, é possível que hoje, em 2011, a quantidade tenha quadruplicado.
Segurança
O grande problema dessa hierarquia toda é que ela pode ser facilmente subvertida. Uma técnica (bastante antiga e para a qual não há remédio na tecnologia atual) chamada de DNS Poisoning (ou envenenamento de DNS) pode desviar o tráfego de um site válido e direcioná-lo a um site falso, onde criminosos podem aplicar golpes.
Como nesse ataque o endereço (URL) parece ser válido, o internauta não tem como identificar se está no site certo ou não e vira presa fácil para os criminosos. Ao contrário de outros tipos de ataque, em que a “culpa” é da distração ou ignorância do usuário, num ataque de envenenamento de DNS o usuário é totalmente inocente, já que é impossível (mesmo para especialistas) identificar a fraude. A coisa toda parece mesmo legítima.
O DNSSEC é um novo padrão de DNS, criado para tornar toda a estrutura de nomes de domínio da internet menos suscetível a falhas. Se aplicado em conjunto com o novo e muito mais seguro padrão do protocolo IP, o IPv6 (em oposição ao atual IPv4, também bastante falho), a internet passará a ser um lugar muito mais seguro – pelo menos, até novas falhas serem descobertas.
Todavia, as previsões não são muito otimistas a médio prazo. Steve Crocker, um dos criadores da internet, disse em entrevista que DNS seguro só será realidade daqui a pelo menos dez anos. Por outro lado, ainda segundo Crocker, o Brasil é um dos poucos países a ter a infraestrutura de DNS seguro completamente pronta, ainda que por enquanto não esteja em operação.
Fonte:- Geek