DNS
1. Definition:
Section titled “1. Definition:”DNS (Domain Name System) é um sistema hierárquico que atua como um catálogo dos nomes de domínio indexados ao longo de uma rede.
Entre outras palavras, é um serviço (porta 53) que traduz nomes de domínio para endereços de IP e vice-versa.
O serviço de DNS corresponde ao endereço humano com endereço numérico.
2. Reverse lookup
Section titled “2. Reverse lookup”Em segurança da informação, resolução reversa (ou reverse DNS lookup) é o processo de descobrir o nome de domínio associado a um endereço IP — o contrário da resolução DNS comum, que traduz domínio → IP.
É uma consulta ao DNS para verificar qual domínio (ex.: exemplo.com) está registrado para um determinado endereço IP (ex.: 192.0.2.10).
Isso é feito acessando registros especiais chamados PTR (Pointer Records).
A resolução reversa é justamente o ato de descobrir qual domínio (ou hostname) está associado a um determinado endereço IP.
Em termos simples:
| Resolução normal | Resolução reversa |
|---|---|
| domínio → IP | IP → domínio |
2. 1. Por que isso é importante em segurança?
Section titled “2. 1. Por que isso é importante em segurança?”-
Verificação de legitimidade e identificação: Ajuda a confirmar se um IP realmente pertence ao domínio que ele afirma representar — útil para validar servidores, identificar origem de tráfego e detectar disfarces.
-
Detecção de atividades suspeitas: Em logs de firewall, IDS/IPS ou servidores, a resolução reversa auxilia a reconhecer se um IP está associado a hosts legítimos ou a fontes potencialmente maliciosas.
-
Autenticação e reputação em serviços críticos: Protocolos como SMTP usam reverse DNS para verificar se um servidor de e-mail é confiável. Ausência ou inconsistência de PTR é frequentemente sinal de spam ou spoofing.
2.2. Vantagens de localizar um domínio a partir de um IP:
Section titled “2.2. Vantagens de localizar um domínio a partir de um IP:”1. Identificação e análise de origem do tráfego
Section titled “1. Identificação e análise de origem do tráfego”Saber a que domínio um IP pertence ajuda a:
- Reconhecer se o tráfego vem de uma organização legítima (Google, AWS, Microsoft etc.) ou de uma rede suspeita.
- Entender o perfil de quem está acessando, escaneando ou atacando um sistema. Isso torna mais fácil distinguir acessos benignos de potenciais ameaças.
2. Detecção de comportamento malicioso
Section titled “2. Detecção de comportamento malicioso”Quando um IP aparece em logs de firewall, IDS/IPS ou servidores, a resolução reversa pode revelar se:
- O host pertence a um provedor associado a botnets.
- O domínio é recém-criado, genérico ou sem reputação.
- Há inconsistência entre o host declarado e o domínio real — sinal comum de spoofing ou atividade fraudulenta.
3. Validação e confiança em serviços críticos
Section titled “3. Validação e confiança em serviços críticos”Em muitos protocolos, especialmente e-mail (SMTP), a resolução reversa é usada como medida de segurança:
- Servidores só aceitam conexões de IPs cujo PTR (reverse) combina com o A record (forward).
- Falta de reverse DNS é frequentemente tratada como indicador de spam, phishing ou servidores mal configurados.
Em resumo: Localizar o domínio de um IP ajuda a verificar legitimidade, identificar anomalias e reduzir riscos, tornando a análise de incidentes e o monitoramento de redes muito mais eficazes.
DNS Response
Section titled “DNS Response”Uma resposta DNS é a mensagem enviada por um servidor DNS a um cliente (navegador/dispositivo) contendo o endereço IP correspondente a um nome de domínio (ex: traduzir example.com para ). Ela confirma se a busca foi bem-sucedida (NOERROR) ou se houve erros, permitindo a conexão com sites, baseando-se em registros como A, AAAA ou CNAME.
Whether you successfully make it to the website or not, every response you get includes a code. The four most common ones, returned with virtually all DNS queries, are NOERROR, NXDOMAIN, SERVFAIL, and REFUSED.
https://bluecatnetworks.com/blog/the-top-four-dns-response-codes-and-what-they-mean/