Principais tipos de DNS

O DNS é uma das infraestruturas mais críticas da internet — e também uma das mais invisíveis. Quando um serviço fica indisponível, quando um e-mail não chega ou quando uma aplicação falha em resolver um endpoint, o DNS está frequentemente no centro do problema. Para equipes de TI e engenheiros de redes, entender os tipos de DNS não é curiosidade técnica: é um requisito operacional.

O DNS (Domain Name System) é o sistema que traduz nomes de domínio em endereços IP. Sem ele, cada acesso a um site ou serviço exigiria memorizar sequências numéricas. Na prática, toda requisição que sai de um dispositivo passa por uma cadeia de servidores DNS antes de chegar ao destino.

Neste artigo você vai entender como funciona essa cadeia, quais são os tipos de servidores DNS e seus papéis, os principais registros DNS e como o DNS impacta diretamente a disponibilidade das suas aplicações.

Como funciona a resolução DNS

Quando um usuário digita um endereço no navegador, o dispositivo não sabe de imediato onde encontrar aquele servidor. O que acontece a seguir é uma cadeia de consultas entre quatro tipos de servidores DNS, cada um com uma função específica.

O processo ocorre em milissegundos e é transparente para o usuário, mas do ponto de vista técnico envolve múltiplos hops de rede. Uma falha em qualquer ponto dessa cadeia se traduz em erro de resolução e, na prática, em downtime percebido pelo usuário final.

A sequência básica sem cache é: Cliente → Resolvedor Recursivo → Servidor Raiz → Servidor TLD → Servidor Autoritativo → Resolvedor → Cliente.

Os 4 tipos de servidores DNS

Resolvedor Recursivo

O resolvedor recursivo (ou recursor DNS) é o primeiro ponto de contato de qualquer consulta DNS. Ele atua como intermediário entre o cliente e os demais servidores da hierarquia. Ao receber uma consulta, ele verifica primeiro o próprio cache — se o endereço IP já foi resolvido recentemente e o TTL ainda é válido, responde imediatamente sem percorrer toda a cadeia.

Na maior parte dos casos, o resolvedor recursivo é fornecido pelo ISP do usuário ou configurado manualmente, como o 8.8.8.8 do Google ou o 1.1.1.1 da Cloudflare. Em redes corporativas, é comum ter resolvedores internos para domínios privados e aplicações internas.

Servidor Raiz

O servidor raiz está no topo da hierarquia DNS. Existem 13 identificadores de servidores raiz (de A a M), mas na prática centenas de instâncias físicas distribuídas globalmente operam via roteamento Anycast, garantindo alta disponibilidade e baixa latência.

O servidor raiz não armazena o IP final de nenhum domínio. Sua função é receber a consulta do resolvedor e indicar qual servidor TLD é responsável pela extensão do domínio consultado. Os servidores raiz são supervisionados pela ICANN.

Servidor TLD

O servidor TLD (Top-Level Domain) gerencia todos os domínios que usam uma determinada extensão. Ele não armazena o IP final, mas indica qual é o servidor autoritativo responsável por aquele domínio específico. A IANA administra os TLDs, divididos em genéricos (.com, .org, .net) e por código de país (.br, .us, .pt).

Servidor Autoritativo

O servidor autoritativo é a fonte oficial das informações de um domínio. É aqui que estão armazenados os registros DNS reais: o endereço IP do servidor web, a configuração de e-mail, os registros de validação e todos os demais dados do domínio.

Quando o resolvedor recursivo chega ao servidor autoritativo, ele obtém a resposta definitiva. Se o domínio tiver um registro A, o servidor retorna o IP diretamente. Se tiver um CNAME, retorna o alias e o resolvedor iniciará uma nova consulta para o domínio de destino.

DNS primário e DNS secundário

Nas configurações de rede de qualquer dispositivo ou servidor, é possível definir dois endereços de servidores DNS: um primário e um secundário. Em termos de função, ambos são resolvedores recursivos capazes de responder consultas.

A distinção está no papel de redundância. O DNS primário é consultado primeiro. Se não responder dentro do timeout configurado, o sistema consulta automaticamente o DNS secundário. Essa redundância é fundamental em ambientes de produção: uma falha no DNS primário sem fallback configurado resulta em interrupção total da resolução de nomes.

Em ambientes corporativos, é comum configurar resolvedores internos como DNS primário (para resolução de domínios privados) e um DNS público confiável como secundário para domínios externos em caso de falha do interno.

Principais tipos de registros DNS

Além dos tipos de servidores, existe outra classificação igualmente importante: os tipos de registros DNS. Cada registro armazenado no servidor autoritativo tem um tipo que define sua função.

O registro A mapeia um nome de domínio para um endereço IPv4. É o registro mais comum e o ponto de entrada para a maioria dos serviços web. O registro AAAA faz o mesmo para endereços IPv6. O registro CNAME cria um alias de um domínio para outro, muito usado em CDNs e subdomínios.

O registro MX define os servidores de e-mail responsáveis por um domínio, com campo de prioridade para definir a ordem de tentativa. O registro TXT é amplamente usado para validação de domínio (SPF, DKIM, DMARC) e verificação de propriedade. O registro NS indica quais servidores autoritativos são responsáveis por uma zona DNS.

O TTL (Time to Live) de cada registro define por quanto tempo ele pode ser armazenado em cache pelos resolvedores. TTLs altos reduzem carga nos servidores autoritativos mas tornam alterações mais lentas de propagar. TTLs baixos permitem mudanças rápidas mas aumentam o volume de consultas recursivas.

DNS público vs DNS privado

O DNS público é acessível por qualquer dispositivo conectado à internet. Os mais utilizados em infraestrutura são o Google Public DNS (8.8.8.8 e 8.8.4.4) e o Cloudflare DNS (1.1.1.1), ambos com foco em velocidade e privacidade.

O DNS privado opera dentro de uma rede corporativa ou VPN, resolvendo nomes de domínio internos que não existem no DNS público. É essencial para ambientes híbridos e on-premise, onde aplicações internas precisam ser acessadas por hostname sem expor os endereços IP à internet.

A combinação de DNS privado interno com DNS público como fallback é o padrão mais comum em infraestruturas corporativas seguras.

DNS, segurança e disponibilidade

O DNS é um vetor frequente de ataques e falhas de disponibilidade. O DNS Spoofing — ou envenenamento de cache — acontece quando um atacante insere registros falsos no cache de um resolvedor, redirecionando usuários para servidores maliciosos. O DNSSEC mitiga esse risco adicionando assinaturas criptográficas aos registros DNS, permitindo que os resolvedores verifiquem a autenticidade das respostas.

Ataques de DDoS sobre DNS visam sobrecarregar resolvedores ou servidores autoritativos, tornando domínios inteiros irresolvíveis. Para infraestruturas críticas, o uso de múltiplos provedores de DNS autoritativo com balanceamento Anycast é a principal medida de mitigação. De acordo com a documentação da Cloudflare sobre segurança DNS, o DNSSEC é hoje um requisito mínimo para infraestruturas que priorizam integridade de dados.

O DNS over HTTPS (DoH) e o DNS over TLS (DoT) são protocolos modernos que encriptam as consultas DNS, impedindo que provedores de internet ou atacantes interceptem e manipulem as respostas.

DNS e monitoramento: quando o DNS causa downtime

Do ponto de vista de operações de TI, o DNS é uma causa silenciosa de incidentes que frequentemente passa despercebida. Uma configuração incorreta de TTL antes de uma migração, um registro MX expirado ou uma falha no servidor autoritativo podem derrubar serviços inteiros sem gerar alertas óbvios nos sistemas de monitoramento de aplicação.

A observabilidade eficaz de infraestrutura precisa incluir monitoramento ativo de DNS: verificação periódica da resolução de domínios críticos, alertas para TTL inesperado, detecção de divergências entre servidores autoritativos e monitoramento de tempo de resposta DNS como métrica de latência de rede.

Integrações com sistemas de monitoramento de servidores e monitoramento de tráfego de rede permitem correlacionar falhas de DNS com degradação de performance de aplicações antes que o impacto chegue ao usuário final.

Conclusão

O DNS é muito mais do que um serviço de tradução de nomes. É uma infraestrutura hierárquica distribuída que sustenta a disponibilidade de toda aplicação conectada à internet. Entender os tipos de servidores DNS, os registros e os protocolos de segurança é o primeiro passo para operar redes com confiabilidade e diagnosticar falhas com precisão.

Em 2026, com arquiteturas distribuídas, microsserviços e ambientes multi-cloud, o DNS ganhou ainda mais complexidade — e mais importância estratégica. Equipes que monitoram DNS proativamente detectam problemas antes que se tornem incidentes. Para estruturar o monitoramento 24×7 de DNS e redes na sua organização, fale com nossos especialistas.