Você provavelmente já ouviu o termo “DNS premium” ser usado antes e talvez você não tenha pensado duas vezes. A maioria das pessoas sabe que usar um provedor de DNS premium pode ajudá-las, mas não tome a iniciativa de implementá-lo, ou talvez não saiba como.

Em 21 de Outubro de 2016, ocorreu o maior ataque DDoS da história, derrubando grandes empresas como PayPal, Spotify, Twitter, Reddit e eBay. Algumas até o chamam de DNS Doomsday da internet. Hoje queremos mergulhar em como um provedor DNS premium pode ajudá-lo em situações como estas, se configurado corretamente, e evitar que seu site WordPress caia.

O que é DNS?

O DNS (Domain Name System) é a espinha dorsal da Internet. Você pode pensar nele como uma lista telefônica para a rede mundial de computadores. Todos os sites e domínios que você visita são todos mapeados para um endereço IP.

Quando você digita Google.com na sua barra de endereço, uma consulta DNS é realizada pelo seu provedor para solicitar os nameserversassociados com o domínio. O mapeamento para o endereço IP é então feito nos bastidores pelo servidor, o que permite que você use o nome do domínio para acessá-lo. Sem o DNS você teria que digitar algo como 216.58.217.206 para chegar ao Google. Isso não seria divertido!

Como funciona o DNS
Como funciona o DNS

Quando você registra o seu domínio, o registrador do domínio normalmente fornece serviços DNS gratuitos. Por exemplo, NameCheap, GoDaddy, Google Domains, etc. todos lhe fornecem a capacidade de configurar os seus servidores de nomes e encaminhar o seu domínio para o endereço IP da sua hospedagem web. O Google Domains é provavelmente o melhor serviço de DNS gratuito oferecido por um registrador de domínios, uma vez que possui uma infra-estrutura muito grande para se afastar. Alguns outros provedores de DNS gratuitos populares incluem Cloudflare e Hurricane Electric Internet Services. Confira esta lista de 10 provedores de DNS gratuitos para outras alternativas.

No entanto, se você está falando sério sobre o seu negócio e website, recomendamos que você vá com um provedor de DNS premium, que entraremos em mais detalhes abaixo.

O Ataque DNS que Afetou toda a Internet

Em 21 de Outubro de 2016, a pior coisa possível aconteceu para muitas empresas. Um grande ataque distribuído de negação de serviço (DDoS) eclodiu contra um popular provedor de DNS premium, o Dyn, e conseguiu começar a tirar serviços e sites do ar.

Basicamente, o que aconteceu é que eles conseguiram derrubar os nameservers da Dyn, e como explicamos acima, sem eles as buscas no DNS começam a falhar. O Dyn começou a relatar isso em sua página oficial de status e conseguiu fornecer atualizações consistentes durante todo o ataque, que durou aproximadamente 11 horas.

Dyn DNS DDoS status de ataque
Dyn DNS DDoS status de ataque

Abaixo está um exemplo do que um dos clientes SaaS da Dynatrace estava vendo na sexta-feira, dia 21, a partir de sua aplicação de monitoramento DNS. O ataque estava focado na Costa Leste, mas se estampou por todos os Estados Unidos e Europa.

Mapa de ataque DDoS
Mapa de ataque DDoS

As empresas afetadas incluíram grandes nomes como Twitter, Amazon, Github, Shopify, Weather.com, Basecamp, Freshbooks, SoundCloud, Spotify, Netflix, Reddit, Disqus, PayPal, e centenas de outros. Nós até notamos isso na Kinsta como Intercom, nosso sistema de suporte a ingressos e bate-papo, também foi afetado. O ataque agora foi atribuído ao Mirai Botnet, que é uma rede de dispositivos infectados com malware auto-propagador que usava tráfego TCP e UDP mascarado sobre a porta 53.

Por causa do que aconteceu, as empresas precisam repensar sua estratégia de DNS. A criação de um provedor DNS secundário como um failover pode ajudar a fornecer redundância quando problemas como os acima descritos acontecem. E se alguma coisa acontecer, pelo menos recomendamos o uso de um provedor de DNS premium, ao contrário de um provedor gratuito, pois eles estão mais equipados para lidar com esses problemas. Enquanto ataques desta escala massiva são raros, os ataques DDoS em geral, não o são. Na verdade, de acordo com os dados fornecidos pelo easyDNS, os ataques DDoS ao longo do tempo estão ficando muito piores.

Ataques DDoS ao longo do tempo
Ataques DDoS ao longo do tempo

Até mesmo a partir da escrita deste artigo em 31 de Outubro, 123 Reg, um grande registrador de domínios, estava lutando contra um ataque DDoS contra o seu DNS. Você pode esperar nos próximos anos que isso só vai aumentar.

Benefícios do Provedor de DNS Premium

Existem muitos bons provedores de DNS gratuitos por aí, mas os provedores de DNS premium oferecem muitas vantagens para garantir que seu site permaneça online; tais como segurança, failover de DNS e melhor desempenho.

1. Segurança – Melhor Equipado para Ataques de Grande Escala

Grandes provedores de DNS premium estão normalmente melhor equipados para protegê-lo de ataques DDoS em larga escala, como o de sexta-feira, dia 21. A Dyn é uma empresa muito respeitável e, apesar de ter havido tempo parado, eles fizeram o seu melhor para manter os clientes informados e trabalharam 24 horas por dia para recuperar tudo. É importante lembrar que o ataque foi o maior jamais registrado a 600 Gb/seg. Se esse mesmo ataque tivesse ocorrido contra um provedor de DNS gratuito ou menor, você pode seguramente assumir que os resultados teriam sido ainda mais catastróficos para seus clientes.

Scott, EVP na Dyn emitiu uma declaração oficial no dia 26 de Outubro:

Este ataque abriu uma importante conversa sobre segurança e volatilidade da Internet. Não só destacou vulnerabilidades na segurança dos dispositivos da “Internet das Coisas” (IOT) que precisam ser abordadas, mas também desencadeou mais diálogo na comunidade da infra-estrutura da internet sobre o futuro da internet. Como fizemos no passado, esperamos contribuir para esse diálogo.

2. Estratégia de DNS em caso de falha

As empresas precisam agora de repensar a sua estratégia de DNS e ter um failover em vigor. Brian Armstrong, co-fundador da Canopy, escreveu um grande artigo em 2014, intitulado “Você provavelmente está fazendo o DNS errado, como nós estávamos”. Ele toca na questão dos TTLs e que as empresas deveriam torná-los mais longos. TTL significa tempo para viver, ou melhor, quanto tempo ele permanecerá vivo no cache antes de ser liberado. Por exemplo, se você tivesse uma TTL de uma semana, e o seu provedor de DNS fosse desativado por um dia, é mais provável que os usuários não fossem afetados porque o seu provedor tem o DNS em cache.

No entanto, há também uma reviravolta no uso de TTLs altas. Na sexta-feira dia 21, se você fosse adicionar um segundo provedor DNS, não teria importado muito, pois a TTL estava definida para expirar em dias ou semanas e não em minutos. Isto pode ser resolvido simplesmente configurando vários provedores de DNS antes do tempo de preparação. Portanto, sim, TTLs altas podem ser boas, mas devem ser usadas em combinação com estratégias de failover de múltiplos provedores de DNS. Veja este artigo mais aprofundado sobre configurações de TTL de DNS.

A comunidade tem de trabalhar em conjunto para encontrar soluções comerciais ou de código aberto para tornar as configurações de DNS compatíveis entre fornecedores (isto é para configurações complexas de DNS como failover, geo load balancing, etc.). Isto não é mais um bom para ter, mas sim um obrigatório. – Catchpoint

Há muitos provedores de DNS premium que têm tutoriais sobre como configurar o DNS secundário como um failover. A configuração recomendada é configurar servidores de nomes redundantes com vários provedores de DNS.

Também é importante notar que, dependendo de como você configura seu DNS secundário, ele pode prejudicar ou ajudar no seu desempenho DNS. O DNS Made Easy tem um ótimo webinar explicando isso um pouco mais a fundo.

3. Desempenho

Outra vantagem do DNS premium é a velocidade! Normalmente o DNS gratuito fornecido por registradores de domínios como GoDaddy e Namecheap é muito lento. Os domínios Google são provavelmente uma excepção a esta regra simplesmente porque têm uma infra-estrutura tão grande. Os provedores de DNS normalmente funcionam como um CDN, eles têm vários POPs ao redor do globo. Os grandes provedores de DNS como Amazon, Cloudflare, Dyn e DNS Made Easy têm todos uma infra-estrutura maciça especificamente projetada para DNS com ambientes de baixa latência.

Fizemos alguns testes com a ferramenta de teste de velocidade SolveDNS. Aqui está um exemplo de um domínio que utiliza o DNS livre da NameCheap e os tempos de resposta.

NomeCheap DNS gratuito

Teste de velocidade DNS gratuito
Teste de velocidade DNS gratuito

E abaixo está um exemplo que utiliza o DNS premium da Amazon Route 53. Como você pode ver em geral, os tempos de procura de DNS são muito mais rápidos com a Amazon. Você pode fazer seus próprios testes contra provedores, mas é simplesmente importante lembrar que, assim como com os hosts web, existem os mais rápidos e os mais lentos. Tipicamente os provedores de DNS premium terão velocidades melhores. O Cloudflare é gratuito e também tem um ótimo desempenho, no entanto, eles são complicados quando você entra na execução de vários provedores de DNS.

Amazon Route 53 DNS

Teste de velocidade do DNS premium da Amazon
Teste de velocidade do DNS premium da Amazon

Como Configurar o DNS Premium com Kinsta

Acreditamos que o DNS premium é importante e é por isso que fizemos uma parceria com a Amazon Route 53, uma rede global Anycast. Eles oferecem failover DNS assim como latência e roteamento de geolocalização para ajudar a garantir que seu site esteja sempre online e estável. O roteamento é especialmente importante porque garante que o seu DNS seja roteado para o local mais próximo com a menor latência. O DNS premium da Amazon Route 53 está incluído gratuitamente para todos os clientes Kinsta. Para configurá-lo no seu site WordPress, basta seguir os passos abaixo.

Passo 1

No seu painel MyKinsta clique em ” Kinsta DNS“.

Kinsta Amazon Route 53 DNS
Kinsta Amazon Route 53 DNS

Passo 2

Clique em “Adicionar Domínio”, no canto superior direito.

Adicionar domínio a Kinsta DNS
Adicionar domínio a Kinsta DNS

Passo 3

Você pode então adicionar seus registros DNS clicando em “Adicionar registro” no canto superior direito. O seu registro A precisa apontar para o seu endereço IP Kinsta. Registros suportados:

  • A
  • CNAME
  • MX
  • SPF
  • TXT
  • SRV
  • AAAA
  • DKIM
Registros DNS Premium
Registros DNS Premium

Passo 4

Você precisará então adicionar os servidores de nomes da Amazon com o seu registrador de domínios ou provedor DNS de terceiros. Você pode acessá-los clicando em Nameservers na página de registros DNS.

Servidores de nomes DNS Premium
Servidores de nomes DNS Premium

E é isso! O seu DNS é agora servido através da Amazon Route 53.

Resumo

Assim como o Catchpoint e o EVP na Dyn, ambos mencionados acima, o recente incidente tem empresas repensando suas estratégias de DNS e segurança web em geral. Algumas empresas perderam milhões de dólares com o tempo de inatividade que aconteceu na sexta-feira, dia 21. Usar um provedor de DNS premium e também implementar uma estratégia de failover de DNS com um provedor secundário é mais importante do que nunca. É apenas uma questão de tempo até que o próximo ataque DDoS seja atingido e você deve estar preparado.

Tem alguma ideia sobre o uso de provedores de DNS premium? Em caso afirmativo, diga-nos nos comentários abaixo.

Brian Jackson

Brian tem uma enorme paixão pelo WordPress, e tem utilizado há mais de uma década e até desenvolve alguns plugins premium. Brian gosta de blogs, filmes e caminhadas. Conecte-se com Brian no Twitter.