BrowserTools
Publicidade
Início / Rede / Consulta DNS

Consulta DNS

Consulta registos DNS (A, AAAA, MX, TXT, NS, CNAME, SOA, CAA) de qualquer domínio público.

A carregar Consulta DNS… Se nada acontecer, ativa o JavaScript.

O Sistema de Nomes de Domínio (DNS) é a lista telefónica da internet, traduzindo nomes de anfitrião legíveis por humanos como example.com nos endereços IP numéricos que os computadores usam de facto para encaminhar o tráfego. Sem DNS, cada utilizador teria de memorizar endereços IP para cada site que visita. O DNS é uma base de dados hierárquica e distribuída, gerida por servidores de nomes autoritativos em todo o mundo, e processa milhares de milhões de consultas por segundo. Para além das simples pesquisas de endereços, os registos DNS transportam uma rica variedade de informação, incluindo configurações de servidores de correio, tokens de verificação de propriedade de domínios, políticas de segurança e assinaturas criptográficas.

Perguntas frequentes

Que dados envia esta ferramenta para os vossos servidores?
Apenas o nome de domínio que escreves na caixa de pesquisa é enviado para o nosso servidor. Não registamos o teu endereço IP juntamente com as tuas consultas nem armazenamos qualquer informação de identificação pessoal. Os resultados das consultas são guardados brevemente em cache para reduzir a carga, mas não são associados a utilizadores individuais.
Que tipos de registo DNS são suportados?
A ferramenta suporta os tipos de registo A, AAAA, MX, TXT, NS, CNAME, SOA e CAA. Estes cobrem a grande maioria das necessidades operacionais, desde a resolução de endereços e o encaminhamento de correio até à verificação de domínios e às restrições de autoridades de certificação. As consultas PTR (DNS inverso) não estão atualmente incluídas.
A minha alteração de DNS não aparece, quanto tempo demora a propagação?
O tempo de propagação depende do TTL do registo antigo. Se o TTL anterior era de 3600 segundos (uma hora), os resolvedores que guardaram em cache o registo antigo continuarão a servi-lo durante até uma hora antes de voltarem a consultar. Definir um TTL baixo (300-600 segundos) antes de fazer uma alteração planeada acelera muito a propagação. A propagação global a todos os resolvedores do mundo pode demorar até 48 horas no pior dos casos.
O que me diz o registo SOA?
O registo de início de autoridade identifica o servidor de nomes primário da zona, o email de contacto responsável (codificado com um ponto em vez de @), o número de série da zona (um contador de versão incrementado a cada alteração) e os parâmetros de tempo para os intervalos de atualização e nova tentativa dos servidores de nomes secundários. Se dois servidores de nomes não concordarem quanto ao conteúdo da zona, comparar os seus números de série SOA revela qual tem os dados mais recentes.
Existem limites de frequência para o número de consultas que posso fazer?
Sim. Para manter o serviço gratuito e disponível para todos, aplicam-se limites de frequência por IP às consultas DNS do backend. A utilização ligeira do dia a dia nunca é afetada. As consultas em massa automatizadas serão limitadas e podem receber bloqueios temporários. Para necessidades de scripting de elevado volume, considera executar o teu próprio resolvedor ou usar uma API DNS comercial.
Como é que isto se compara com executar 'dig' ou 'nslookup' num terminal?
A ferramenta é funcionalmente equivalente a 'dig @8.8.8.8 example.com ANY' para os tipos de registo que suporta. Consulta a partir da localização do nosso servidor, o que pode ser útil para verificar como o DNS aparece a partir de uma região de rede diferente. O 'dig' e o 'nslookup' consultam a partir da tua máquina local e também podem visar servidores de nomes específicos, o que é útil ao testar alterações de zona antes de elas se propagarem.
O que é o DNSSEC e vou vê-lo nos resultados?
O DNSSEC (extensões de segurança do DNS) adiciona assinaturas criptográficas aos registos DNS para que os resolvedores possam verificar que as respostas não foram adulteradas em trânsito. Quando o DNSSEC está ativado, verás tipos de registo adicionais como RRSIG, DNSKEY e DS numa consulta dig em bruto. Esta ferramenta foca-se atualmente nos tipos de registo operacionais em vez dos dados da cadeia DNSSEC em bruto, mas uma zona assinada mostrará registos NS e SOA com a delegação correta.
Esta ferramenta regista as minhas consultas para análise ou publicidade?
Não. As consultas de domínio são usadas apenas para realizar a pesquisa e devolver-te os resultados. Não criamos históricos de consultas, não partilhamos dados com anunciantes nem associamos as consultas a contas de utilizador. Podem ser registadas estatísticas de utilização agregadas e não identificativas (como a contagem total de consultas) para o planeamento de capacidade.
O que é um registo CNAME e quando devo usá-lo?
Um registo CNAME (nome canónico) cria um alias de um nome de anfitrião para outro. Por exemplo, www.example.com pode fazer CNAME para example.com para que ambos se resolvam para o mesmo endereço IP. É importante notar que um CNAME não pode coexistir com outros tipos de registo no mesmo nome de anfitrião, razão pela qual o ápice da zona (o domínio simples como example.com) não pode usar um CNAME, aí deves usar um registo A em vez disso.
Posso consultar registos DNS de domínios privados ou internos?
Não. As consultas são resolvidas usando a infraestrutura DNS pública e o nosso servidor só consulta domínios encaminháveis publicamente. Os nomes de anfitrião internos que existem apenas num servidor DNS empresarial privado ou num router doméstico (como printer.local ou server.corp) não serão resolvidos. Para consultar o DNS interno, terias de executar 'dig' ou 'nslookup' a partir de dentro da rede onde esses registos estão alojados.

Sobre Consulta DNS

Os administradores de sistemas recorrem às ferramentas de consulta DNS ao resolver falhas de entrega de correio (verificando os registos MX e SPF TXT), ao diagnosticar indisponibilidade de sites (confirmando que os registos A e AAAA apontam para o servidor correto) ou ao validar que uma alteração recente de DNS se propagou globalmente. Os programadores usam-na para confirmar que os desafios de verificação de domínio para certificados SSL ou serviços de terceiros como o Google Search Console estão corretamente publicados. As equipas de segurança consultam os registos CAA para restringir quais as autoridades de certificação que podem emitir certificados para um domínio, reduzindo o risco de emissão indevida. Até os utilizadores comuns podem beneficiar de verificar se o seu registador de domínios configurou corretamente os seus servidores de nomes.

Esta ferramenta realiza consultas DNS em direto a partir do nosso servidor contra a infraestrutura DNS pública, por isso os resultados refletem o que a internet em geral vê, em vez do teu resolvedor local ou da cache do teu fornecedor de acesso. Podes consultar todos os principais tipos de registo: A (endereço IPv4), AAAA (endereço IPv6), MX (troca de correio), TXT (texto, usado para SPF, DKIM e verificação de domínio), NS (servidores de nomes), CNAME (alias de nome canónico), SOA (início de autoridade, mostrando o servidor de nomes primário e o número de série da zona) e CAA (autorização da autoridade de certificação). As consultas são brevemente guardadas em cache do nosso lado para reduzir a carga sobre os servidores de nomes autoritativos e manter o serviço gratuito para todos. Não são retidos dados de identificação pessoal depois de a resposta ser devolvida.

Ao interpretar os resultados, presta atenção ao valor TTL (tempo de vida) junto a cada registo, indica-te quanto tempo os resolvedores guardarão esse registo em cache antes de o voltarem a consultar. Um TTL muito baixo (abaixo de 300 segundos) significa muitas vezes que o proprietário do domínio se está a preparar para uma alteração ou a gerir uma comutação em caso de falha. Se estiveres a resolver a propagação após uma alteração de DNS, lembra-te de que o resolvedor do teu próprio fornecedor pode estar a guardar em cache o valor antigo até o TTL expirar. Usa o número de série do registo SOA para confirmar que o servidor autoritativo tem os dados de zona mais recentes. Para resolver problemas de correio, consulta em conjunto os registos MX e TXT (procura v=spf1) para perceberes a configuração completa de encaminhamento de correio e antispam.

Como o DNS se tornou o alicerce invisível da internet

Antes de o DNS ser inventado em 1983, cada computador na ARPANET dependia de um único ficheiro de texto chamado HOSTS.TXT, mantido no Stanford Research Institute e descarregado regularmente por cada máquina ligada. À medida que a rede crescia, esta abordagem tornou-se inviável, o ficheiro era atualizado várias vezes por dia e o custo de largura de banda de o distribuir globalmente já estava a sobrecarregar a rede. Paul Mockapetris, do Information Sciences Institute da USC, concebeu a especificação do DNS, publicada nos RFC 882 e 883 em novembro de 1983, criando a base de dados hierárquica e distribuída que ainda hoje usamos.

O DNS original não tinha segurança incorporada, uma decisão de conceção deliberada para manter o protocolo simples e rápido. Esta omissão acabou por conduzir a vulnerabilidades graves: em 2008, o investigador de segurança Dan Kaminsky descobriu uma falha crítica de envenenamento de cache que podia permitir aos atacantes redirecionar domínios inteiros para servidores maliciosos. A falha afetava praticamente todos os resolvedores DNS do mundo e exigiu um lançamento de correção de emergência coordenado sem precedentes em todos os principais fornecedores em simultâneo, uma das maiores respostas de segurança coordenadas da história da internet.

O DNS sustenta agora muito mais do que a resolução de endereços. Os registos TXT modernos transportam políticas SPF que definem os remetentes de correio autorizados, chaves públicas DKIM que autenticam as assinaturas de email e tokens de validação de controlo de domínio que permitem às autoridades de certificação verificar a propriedade de um domínio sem qualquer interação humana. A humilde consulta DNS, que normalmente se completa em menos de 50 milissegundos, evoluiu silenciosamente até se tornar uma camada crítica de segurança e identidade para toda a internet.

Publicidade
Publicidade
Publicidade