DNS não é “só porta 53” — e outros mitos sobre portas, SSL e TLS

Se você ainda associa DNS exclusivamente à porta 53, está operando com um modelo mental simplificado demais para a realidade atual. DNS hoje é um ecossistema com múltiplos transportes, camadas de segurança e um papel direto na performance e privacidade das aplicações.

Vamos desmontar isso direito.


1. DNS clássico: o básico que todo mundo para de estudar cedo demais

O fluxo tradicional:

  • Cliente → consulta DNS → servidor recursivo
  • Porta padrão:
    • UDP 53 (majoritário)
    • TCP 53 (fallback / respostas grandes / zone transfer)

UDP vs TCP

  • UDP: rápido, sem handshake, sem garantia de entrega
  • TCP: confiável, usado quando:
    • resposta > 512 bytes (sem EDNS)
    • DNSSEC
    • transferências de zona (AXFR)

Resumo: DNS não é só “porta 53 UDP”. TCP 53 sempre existiu.


2. Portas efêmeras: o lado que quase ninguém presta atenção

Quando um cliente faz uma query DNS:

  • Origem: porta efêmera aleatória
  • Destino: 53

Exemplo real:

192.168.1.10:53721 → 8.8.8.8:53

Por que isso importa?

  1. Segurança (anti-spoofing)
    • Randomização da porta + ID da query dificulta ataques de cache poisoning
  2. Firewall / NAT
    • Regras mal feitas bloqueiam resposta porque ignoram portas efêmeras
  3. Observabilidade
    • Logs e troubleshooting sem entender isso = análise errada

Range típico

Depende do SO:

  • Linux: ~32768–60999 (ou configurável)
  • Windows: ~49152–65535

3. DNS moderno: criptografia entra no jogo

Aqui começa a parte que destrói o “DNS = 53”.

3.1 DNS over TLS (DoT)

  • Porta: 853
  • Protocolo: DNS encapsulado em TLS
  • Conexão persistente
Cliente → TCP 853 → TLS → DNS

Vantagens:

  • Criptografia nativa
  • Baixo overhead comparado ao HTTPS

Problemas:

  • Fácil de bloquear (porta dedicada)

3.2 DNS over HTTPS (DoH)

  • Porta: 443
  • Usa HTTPS (HTTP/2 ou HTTP/3)
Cliente → HTTPS → DNS dentro de requisição HTTP

Vantagens:

  • Difícil de bloquear (parece tráfego web comum)
  • Integra com infra web existente

Problemas:

  • Mais overhead
  • Debug mais chato (camadas demais)

3.3 DNS over QUIC (DoQ)

  • Porta: 853 (UDP)
  • Baseado em QUIC (mesma base do HTTP/3)

Vantagens:

  • Baixa latência
  • Melhor recuperação de perda de pacotes
  • Sem handshake pesado tipo TCP+TLS

4. SSL vs TLS: pare de usar errado

Curto e direto:

  • SSL morreu
  • O que você usa hoje é TLS

Se alguém fala “SSL”, geralmente quer dizer TLS.

Versões relevantes

  • TLS 1.0 / 1.1 → obsoletos
  • TLS 1.2 → padrão atual
  • TLS 1.3 → mais rápido, mais seguro

No contexto de DNS

  • DoT → TLS puro
  • DoH → TLS via HTTPS
  • DoQ → TLS 1.3 embutido no QUIC

5. Performance: o trade-off real

MétodoLatênciaPrivacidadeComplexidade
DNS UDP 53baixanenhumabaixa
DNS TCP 53médianenhumamédia
DoTmédiaaltamédia
DoHmaioraltaalta
DoQbaixaaltaalta

Insight importante

  • DoH pode ser mais lento em teoria, mas:
    • reutiliza conexões HTTP
    • aproveita CDNs
    • pode ganhar em prática

6. Segurança: onde realmente muda o jogo

Sem criptografia (DNS tradicional)

  • ISP vê tudo
  • MITM trivial
  • spoofing possível (mitigado, mas não eliminado)

Com DoT / DoH / DoQ

  • Conteúdo criptografado
  • Privacidade aumenta
  • Mas:

Você só troca em quem confia

  • ISP → provedor DNS (Google, Cloudflare, etc.)

7. O erro clássico de arquitetura

“Libera porta 53 e tá resolvido.”

Não.

Hoje você precisa considerar:

  • 53 UDP/TCP
  • 853 TCP (DoT)
  • 443 TCP (DoH)
  • 853 UDP (DoQ)
  • portas efêmeras (entrada/saída)

Se não entender isso:

  • quebra resolução
  • quebra apps modernos
  • gera bugs “fantasma”

8. Conclusão (sem romantizar)

DNS virou infraestrutura crítica com múltiplas camadas:

  • transporte (UDP, TCP, QUIC)
  • segurança (TLS)
  • encapsulamento (HTTPS)

E o detalhe que separa quem sabe do resto:

Porta de origem (efêmera) é tão importante quanto a porta 53.

Ignorar isso = troubleshooting eterno.

Rolar para cima