DNS (Domain Name System) e o sistema hierarquico que converte nomes de dominio (como google.com) em enderecos IP. Sem o DNS, seria necessario memorizar enderecos numericos para acessar sites. O protocolo e definido pelos RFC 1034 e RFC 1035 (1987).

O DNS pode deixar a internet mais rapida?

Sim, indiretamente. Um DNS rapido reduz o tempo de resolucao de nomes, que e o primeiro passo ao acessar qualquer site. A diferenca e mais perceptivel em redes com DNS lento do provedor. Ferramentas como DNS Benchmark medem a latencia de diferentes servidores.

O que e DNS poisoning?

DNS cache poisoning e um ataque onde respostas falsas sao inseridas no cache de um resolver, redirecionando usuarios para IPs maliciosos. O DNSSEC (DNS Security Extensions) protege contra isso assinando digitalmente registros DNS. O NIC.br opera o DNSSEC para todos os dominios .br.

O que e DNS

Q: Qual DNS usar no Brasil?

Os mais usados sao o Google (8.8.8.8 e 8.8.4.4), Cloudflare (1.1.1.1 e 1.0.0.1) e o DNS do NIC.br (200.160.0.78). Para privacidade, o Cloudflare 1.1.1.1 com DNS-over-HTTPS e uma opcao popular. O DNS do proprio provedor geralmente tem menor latencia geografica mas pode ter filtragens.

Q: Como o DNS afeta minha privacidade?

Queries DNS tradicionais trafegam em texto claro via UDP porta 53, visiveis para o provedor e qualquer observador na rota. DNS-over-HTTPS (DoH, RFC 8484) e DNS-over-TLS (DoT, RFC 7858) criptografam as consultas, impedindo inspeção pelo provedor.

O que e DNS: como funciona a resolucao de nomes para IP, hierarquia de servidores, raiz, TLD, autoritativo, cache e impacto na privacidade e velocidade.

DNS (Domain Name System) e o sistema distribuido que converte nomes de dominio legiveis, como google.com ou uol.com.br, em enderecos IP numericos que roteadores e servidores usam para se comunicar. Cada vez que voce acessa um site, o DNS faz entre 1 e 10 consultas em milissegundos numa hierarquia global que inclui 13 clusters de servidores raiz e, no caso do .br, servidores operados pelo NIC.br. Sem o DNS, voce teria que memorizar o endereco 142.250.219.46 para acessar o Google. O sistema foi projetado em 1983 e publicado definitivamente em 1987 nos RFC 1034 e RFC 1035 por Paul Mockapetris. O que ele resolveu, como funciona por dentro e o que mudou com privacidade e DNSSEC no Brasil, e o que este artigo explica.

Neste artigo

O que e DNS: definicao formal e estrutura hierarquica
Historia: de hosts.txt ao sistema distribuido de 1987
Tipos de registros DNS e o que cada um faz
Como uma consulta DNS funciona passo a passo
Resolvers DNS publicos: Google, Cloudflare, NIC.br e provedores
DNS no Brasil: NIC.br, Registro.br, DNSSEC e IX.br
Privacidade no DNS: DoH, DoT e bloqueios de provedores
Perguntas frequentes

O que e DNS: definicao formal e estrutura hierarquica

DNS (Domain Name System) e um banco de dados distribuido, hierarquico e tolerante a falhas que resolve nomes de dominio para enderecos IP e outros tipos de recurso. Os fundamentos do sistema foram publicados por Paul Mockapetris em novembro de 1987 nos RFC 1034 e RFC 1035 (IETF, novembro 1987).

O sistema e hierarquico por design. A hierarquia comeca na raiz (representada por um ponto invisivel no final de todo dominio: "google.com." com ponto final) e desce para os TLDs (Top Level Domains: .com, .br, .org, .net), depois para os dominios de segundo nivel (google, uol, globo) e finalmente para subdominios (www, mail, ftp). Cada nivel da hierarquia tem seus proprios servidores autoritativos responsaveis pelos dados daquele escopo.

Os 13 servidores raiz do DNS

No topo da hierarquia DNS estao 13 clusters de servidores raiz, identificados pelas letras A a M (a.root-servers.net ate m.root-servers.net). Esses servidores respondem apenas com a localizacao dos servidores de cada TLD, nunca com respostas finais. Na pratica, cada letra representa centenas de servidores fisicamente distribuidos pelo mundo via anycast: a mesma letra pode estar hospedada em Sao Paulo, Frankfurt e Toquio simultaneamente. O Brasil opera instancias anycast de varios servidores raiz, incluindo F-root (ISC), I-root (Netnod) e L-root (ICANN), atraves do IX.br.

Historia: de hosts.txt ao sistema distribuido de 1987

Antes do DNS, a resolucao de nomes na ARPANET era centralizada em um arquivo de texto chamado hosts.txt, mantido pelo SRI International (Stanford Research Institute) em Menlo Park, California. Cada computador na rede periodicamente baixava esse arquivo por FTP para atualizar sua lista local de nomes e enderecos.

O colapso do sistema centralizado

Em 1970, a ARPANET tinha dezenas de maquinas. O arquivo hosts.txt era gerenciavel. Em 1981, com centenas de maquinas, o SRI International recebia solicitacoes de atualizacao multiplas vezes por dia e precisava distribuir o arquivo atualizado para todas as maquinas da rede. O tempo de propagacao entre uma atualizacao e a chegada do arquivo a todos os nodes media horas. Conflitos de nomes eram inevitaveis. O sistema estava quebrando.

Paul Mockapetris, na epoca na USC/ISI (University of Southern California Information Sciences Institute), projetou o DNS como solucao distribuida. O RFC 882 e o RFC 883, publicados em 1983, propuseram o design inicial. Os RFC 1034 e RFC 1035 de 1987 consolidaram a especificacao que permanece a fundacao do DNS ate hoje.

Linha do tempo do DNS
Ano	Evento
1969-1983	ARPANET usa hosts.txt centralizado no SRI International
1983	RFC 882/883: Paul Mockapetris propoe o DNS
1987	RFC 1034 e 1035: especificacao definitiva do DNS
1993	DNS publico disponivel via internet comercial
1998	ICANN assume coordenacao dos servidores raiz
2005	DNSSEC começa implantacao nos TLDs
2010	Zona raiz assinada com DNSSEC; NIC.br implanta DNSSEC no .br
2016	Cloudflare lanca 1.1.1.1, o DNS publico mais rapido ate entao
2018	RFC 8484 (DoH) e RFC 7858 (DoT): DNS criptografado padronizado

Tipos de registros DNS e o que cada um faz

O DNS e muito mais do que traducao de nomes para IPs. O sistema armazena varios tipos de registros, cada um com uma funcao especifica. Entender os tipos de registro e essencial para configurar dominios, depurar problemas de email e verificar configuracoes de seguranca.

Principais tipos de registros DNS
Tipo	Funcao	Exemplo
A	Mapeia nome para endereco IPv4	google.com A 142.250.219.46
AAAA	Mapeia nome para endereco IPv6	google.com AAAA 2800:3f0:4004:812::200e
CNAME	Alias para outro nome (canonical name)	www.exemplo.com CNAME exemplo.com
MX	Servidor de email para o dominio (com prioridade)	exemplo.com MX 10 mail.exemplo.com
TXT	Texto livre: SPF, DKIM, verificacao de dominio	exemplo.com TXT "v=spf1 include:_spf.google.com ~all"
NS	Servidores de nomes autoritativos da zona	exemplo.com NS ns1.registrar.com
SOA	Start of Authority: dados administrativos da zona (serial, TTL padrao)	Obrigatorio em toda zona DNS
PTR	Reverse DNS: IP para nome (zona in-addr.arpa)	1.0.0.127.in-addr.arpa PTR localhost
SRV	Localizacao de servicos especificos (VoIP, XMPP)	_sip._tcp.exemplo.com SRV 10 60 5060 sipserver.exemplo.com
CAA	Autoridades certificadoras autorizadas a emitir certificados TLS	exemplo.com CAA 0 issue "letsencrypt.org"

TTL: o tempo de vida dos registros em cache

Todo registro DNS tem um TTL (Time to Live) em segundos. Um TTL de 300 significa que o registro pode ficar em cache por 5 minutos; um TTL de 86400 significa 24 horas. TTL baixo (60-300 segundos) e util quando voce precisa de propagacao rapida de mudancas, como durante uma migracao de servidor. TTL alto (3600-86400 segundos) reduz carga nos servidores autoritativos e melhora performance de resolucao. A troca: mudancas demoram mais para propagar.

Como uma consulta DNS funciona passo a passo

O processo de resolucao DNS e invisivel para o usuario mas envolve varios sistemas em milissegundos. Veja o que acontece quando voce digita "uol.com.br" no navegador.

Cache local: O sistema operacional verifica o cache DNS local (em Linux: /etc/hosts e o cache do systemd-resolved; em Windows: cache do DNS Client service). Se o registro estiver em cache e dentro do TTL, usa diretamente. Processo termina aqui na maioria das requisicoes repetidas.
Resolver stub: Se nao ha cache local, o SO consulta o resolver configurado (tipicamente o DNS do provedor ou um DNS publico como 8.8.8.8). Esse resolver e chamado de "stub" porque apenas passa a pergunta adiante.
Resolver recursivo: O servidor DNS do provedor (resolver recursivo) assume o trabalho. Ele verifica seu proprio cache. Se nao tiver, inicia a descida pela hierarquia.
Consulta aos servidores raiz: O resolver recursivo pergunta a um dos 13 clusters de servidores raiz: "Quem e autoritativo para .br?" O servidor raiz responde com os enderecos dos servidores de TLD do .br, operados pelo NIC.br.
Consulta ao TLD .br: O resolver pergunta ao servidor .br do NIC.br: "Quem e autoritativo para uol.com.br?" O servidor .br responde com os NS records do dominio uol.com.br.
Consulta ao servidor autoritativo: O resolver pergunta ao servidor autoritativo do UOL: "Qual o registro A de uol.com.br?" O servidor retorna o IP (ex: 200.147.3.7) com o TTL configurado.
Cache e resposta: O resolver recursivo armazena a resposta em cache pelo TTL e retorna o IP ao stub do usuario. O navegador usa esse IP para iniciar a conexao TCP com o servidor.

Todo esse processo leva tipicamente 20-120ms na primeira consulta. Nas consultas seguintes, o cache do resolver retorna a resposta em microsegundos.

Resolvers DNS publicos: Google, Cloudflare, NIC.br e provedores

O resolver DNS padrão de uma conexao residencial e o servidor do proprio provedor. Mas qualquer usuario pode configurar manualmente um resolver diferente no roteador ou dispositivo. Os resolvers publicos mais usados tem caracteristicas distintas.

Comparativo de resolvers DNS publicos mais usados no Brasil
Resolver	Endereco IPv4	Endereco IPv6	Privacidade	DoH/DoT
Google Public DNS	8.8.8.8 / 8.8.4.4	2001:4860:4860::8888	Logs anonimizados em 24-48h	Sim (dns.google)
Cloudflare 1.1.1.1	1.1.1.1 / 1.0.0.1	2606:4700:4700::1111	Nao armazena IPs por mais de 25h (auditado pela KPMG)	Sim (cloudflare-dns.com)
NIC.br	200.160.0.78	2001:12ff:0:4::1	Operado por entidade brasileira publica	Nao documentado
Quad9	9.9.9.9	2620:fe::fe	Sem log de IPs, fundacao suica sem fins lucrativos	Sim (dns.quad9.net)
DNS do provedor (ISP)	Atribuido via DHCP	Variavel	Logs mantidos por lei (Marco Civil: 1 ano)	Raramente

Qual DNS usar? Depende do objetivo. Para velocidade, o Cloudflare 1.1.1.1 e consistentemente o mais rapido em benchmarks globais (DNSPerf.com, 2024). Para privacidade, o Cloudflare (com DoH ativo) e o Quad9 sao as melhores opcoes com politicas de privacidade auditadas. Para manter dentro do ecosistema brasileiro e aproveitar anycast local, o DNS do NIC.br tem latencia muito baixa dentro do Brasil.

DNS no Brasil: NIC.br, Registro.br, DNSSEC e IX.br

O Brasil tem uma infraestrutura DNS robusta, com o NIC.br operando tanto o DNS autoritativo para .br quanto instancias anycast de varios servidores raiz globais.

NIC.br e o DNS do .br

O NIC.br (Nucleo de Informacao e Coordenacao do Ponto BR) opera os servidores DNS autoritativos para todos os dominios .br. A zona .br e respondida a partir de servidores anycast distribuidos em varias cidades brasileiras e internacionalmente. O Registro.br, departamento do NIC.br, e responsavel pelo registro de dominios .com.br, .org.br, .net.br, .edu.br e outros, alem de operar o servico WHOIS para o .br.

DNSSEC no .br: pioneiro na America Latina

O DNSSEC (DNS Security Extensions) adiciona assinaturas criptograficas aos registros DNS, permitindo que resolvers verifiquem a autenticidade das respostas e se detectem se foram manipuladas em transit (cache poisoning). O NIC.br implantou DNSSEC na zona .br em outubro de 2010, tornando o Brasil um dos primeiros paises da America Latina a assinar seu TLD. Todo dominio .com.br pode ter DNSSEC habilitado gratuitamente pelo Registro.br.

O ataque de Kaminsky (2008) mostrou que o DNS sem DNSSEC era vulneravel a cache poisoning em escala: um atacante poderia injetar respostas falsas no cache de um resolver e redirecionar todos os usuarios daquele resolver para IPs maliciosos durante o TTL do registro. O DNSSEC resolve esse problema com chaves DNSKEY e assinaturas RRSIG. Para verificar se um dominio .br tem DNSSEC habilitado, use a ferramenta Consulta DNS desta pagina e procure pelos registros DNSKEY e RRSIG.

Bloqueios de DNS no Brasil

Decisoes judiciais brasileiras ja ordenaram bloqueios de dominios via DNS por provedores. Os casos mais conhecidos envolveram o Telegram (bloqueado brevemente em 2023 por nao cumprir decisao judicial sobre compartilhamento de dados), plataformas de streaming nao licenciadas e sites de jogos de azar. O mecanismo e simples: o provedor configura seu resolver para retornar uma resposta de bloqueio (geralmente um IP de "pagina de bloqueio" ou NXDOMAIN) para o dominio ordenado.

Usuarios que configuram DNS externo (Cloudflare 1.1.1.1, Google 8.8.8.8) ou usam DoH/DoT contornam esses bloqueios, pois as consultas vao para resolvers fora da jurisdicao do provedor. Esse e um dos pontos de tensao regulatoria em torno do DNS-over-HTTPS no Brasil.

Privacidade no DNS: DoH, DoT e bloqueios de provedores

O DNS tradicional opera em texto claro via UDP ou TCP na porta 53. Qualquer observador entre voce e o resolver vitual ver exatamente quais dominios voce acessa, mesmo que o conteudo das conexoes seja criptografado por HTTPS. Isso inclui o proprio provedor de internet, que e obrigado pelo Marco Civil a armazenar logs de conexao por um ano.

DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT)

Dois protocolos padronizados criptografam consultas DNS. O DNS-over-TLS (DoT, RFC 7858, 2016) encapsula o DNS em TLS na porta TCP 853. O DNS-over-HTTPS (DoH, RFC 8484, 2018) transmite consultas DNS como requisicoes HTTPS na porta 443, misturado com trafego web normal e impossivel de bloquear seletivamente sem bloquear todo o HTTPS.

Navegadores modernos suportam DoH nativamente. O Firefox ativa DoH por padrao desde 2019 (usando Cloudflare 1.1.1.1 como fallback nos EUA, e configuravel em outros paises). O Chrome ativa DoH automaticamente se o resolver configurado suportar (modo "Secure DNS" automatico). No Android 9+, o DoT e suportado nativamente via "DNS privado" nas configuracoes de rede.

Comparativo entre DNS tradicional, DoH e DoT
Caracteristica	DNS tradicional (porta 53)	DoT (porta 853)	DoH (porta 443)
Criptografia	Nenhuma (texto claro)	TLS	HTTPS (TLS)
Visivel para o provedor	Sim (dominio consultado em texto claro)	Nao (conteudo criptografado)	Nao (conteudo criptografado)
Blocavel por provedor	Facilmente (bloquear porta 53)	Sim (bloquear porta 853)	Dificil (misturado com trafego HTTPS)
Suporte em browsers	Sempre (padrao legado)	Configuravel	Firefox, Chrome, Edge (nativo)
Latencia adicional	Minima	Estabelecimento TLS (~1 RTT)	HTTPS overhead (minimo com HTTP/2)

Perguntas frequentes sobre o que e DNS

O que e DNS e por que e importante?

DNS (Domain Name System) e o sistema hierarquico e distribuido que converte nomes de dominio (google.com, uol.com.br) em enderecos IP. Sem ele, voce precisaria memorizar enderecos numericos para acessar qualquer site. O DNS tambem armazena outros tipos de registros, como MX (para email), TXT (para verificacao e SPF) e AAAA (para IPv6). Especificado nos RFC 1034 e 1035 de 1987, o DNS processa bilhoes de consultas por segundo globalmente.

Qual DNS usar no Brasil para maior velocidade?

Para velocidade, o Cloudflare (1.1.1.1) e o Google (8.8.8.8) consistentemente aparecem no topo dos benchmarks para o Brasil (DNSPerf.com). O DNS do NIC.br (200.160.0.78) tem latencia muito baixa para consultas dentro do Brasil por operar via anycast no IX.br. O DNS do proprio provedor pode ser ainda mais rapido geograficamente, mas algumas ISPs brasileiras tem resolvers com problemas de disponibilidade ou TTL de cache inadequado.

O que e DNSSEC e meu dominio .br precisa ter?

DNSSEC (DNS Security Extensions) adiciona assinaturas criptograficas aos registros DNS para prevenir ataques de cache poisoning, onde respostas falsas seriam injetadas no cache de um resolver para redirecionar usuarios. O NIC.br implantou DNSSEC no .br em outubro de 2010. Habilitar DNSSEC no seu dominio .com.br e gratuito pelo Registro.br e protege contra esse tipo de ataque. Para a maioria dos sites, o DNSSEC e recomendado mas nao obrigatorio.

O DNS pode tornar minha internet mais rapida?

Indiretamente, sim. Um resolver rapido reduz o tempo de resolucao de nomes na primeira visita a um dominio. A diferenca real e de milissegundos e geralmente imperceptivel no dia a dia. O cache do sistema operacional e do browser faz com que visitas repetidas ao mesmo dominio nao consultem o DNS. Se um site e consistentemente lento, o DNS raramente e a causa: latencia de rede, tamanho da pagina ou tempo de resposta do servidor sao mais provaveis.

Como o DNS afeta minha privacidade?

Consultas DNS tradicionais (porta UDP 53) trafegam em texto claro, visiveis para o provedor e qualquer intermediario. O provedor obrigado pelo Marco Civil armazena esses logs por um ano. DNS-over-HTTPS (DoH, RFC 8484) ou DNS-over-TLS (DoT, RFC 7858) criptografam as consultas. Ao usar Cloudflare 1.1.1.1 com DoH, o provedor ve apenas trafego HTTPS na porta 443, sem saber quais dominios foram consultados.

O que e DNS cache poisoning?

DNS cache poisoning e um ataque onde respostas DNS falsas sao injetadas no cache de um resolver, redirecionando usuarios para IPs maliciosos durante o TTL do registro. O ataque de Kaminsky (2008) demonstrou que era possivel realizar cache poisoning em escala mesmo sem acesso privilegiado a rede. O DNSSEC resolve o problema com assinaturas criptograficas que permitem ao resolver verificar a autenticidade das respostas. O NIC.br opera DNSSEC para todos os dominios .br desde 2010.

Como consultar registros DNS de um dominio .br?

A ferramenta Consulta DNS desta pagina permite verificar registros A, AAAA, MX, TXT, NS, DNSKEY e outros diretamente nos servidores autoritativos, sem cache. Em sistemas Linux/Mac, o comando "dig dominio.com.br ANY" retorna todos os tipos de registro. Em Windows, use "nslookup -type=ANY dominio.com.br". Para dominios .br, o servidor autoritativo e operado pelo NIC.br.

Por que o DNS de um dominio pode demorar para propagar?

Quando voce altera um registro DNS (por exemplo, troca o servidor de hosting), a mudanca e imediata no servidor autoritativo do dominio. Mas resolvers no mundo todo tem o valor antigo em cache pelo TTL anterior. Se o TTL era 86400 (24 horas), alguns resolvers vao continuar servindo o IP antigo por ate 24 horas. Por isso, antes de migracoes, e recomendado baixar o TTL para 300 (5 minutos) com pelo menos 24-48 horas de antecedencia, para acelerar a propagacao no momento da mudanca.

O DNS e a infraestrutura invisivel que torna a internet usavel para seres humanos. Entender o que e DNS ajuda a diagnosticar falhas de acesso a sites (e rapidamente verificar se e problema de DNS, DNSSEC ou conectividade), escolher resolvers mais rapidos ou privados, e interpretar registros ao configurar um dominio .com.br. Use a ferramenta Consulta DNS desta pagina para inspecionar registros de qualquer dominio em tempo real, consultando diretamente os servidores autoritativos.

Para entender como o DNS se integra ao ecossistema de rede maior, os artigos sobre o que e IP e o que e WHOIS explicam as camadas complementares. A documentacao tecnica completa do DNS esta disponivel gratuitamente nos RFC 1034 e RFC 1035 (rfc-editor.org, novembro 1987).

Por Equipe SaberMeuIP - revisado por engenharia de rede - ultima atualizacao 13 de maio de 2026

FERRAMENTA

Consultar DNS

Consultar registros DNS de qualquer dominio

Leituras Relacionadas

Como mudar DNS — Como mudar DNS passo a passo: Windows 10/11, macOS, Linux, Android, iOS e roteador. DNS publicos recomendados para o Brasil com instrucoes ilustradas.
Melhores DNS publicos — Melhores DNS publicos em 2026: tabela comparativa com Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9, OpenDNS e AdGuard. Velocidade no Brasil, privacidade e filtros.
DNS nao responde — DNS nao responde: veja as causas comuns, o erro DNS_PROBE_FINISHED_NXDOMAIN, fluxo de diagnostico e como alternar para DNS publico no Brasil.