Como configurar bloqueio de domínios no BIND

O BIND permite criar listas de nomes restritos, impedindo que certos domínios sejam registrados/resolvidos localmente. Essa funcionalidade ajuda a bloquear endereços comumente usados em ataques digitais, reduzindo riscos de DNS Hijacking e DNS Spoofing.

Como funciona a manipulação de DNS

A manipulação de DNS é explorada por atacantes para enganar usuários e redirecionar acessos. O golpe ocorre quando o criminoso cria registros falsos para domínios legítimos e direciona a vítima a páginas fraudulentas que imitam as originais.

O que é necessário para o ataque

• Zona DNS com o domínio: o invasor cria uma zona para imitar o endereço real.
• Endereço IP: o tráfego é redirecionado para IP controlado pelo atacante.
• Criação da zona DNS: manualmente em arquivos .db ou por painel.
• Alteração do registro: o DNS aponta para o IP malicioso.
• Redirecionamento da vítima: o usuário acessa o site falso sem perceber.

Exemplo prático

Se um servidor usa o IP 192.168.0.1 e a zona coca-cola.com.br for alterada, a vítima será levada a um clone falso do site. Isso também pode ocorrer em redes inteiras via alteração de modem/Wi-Fi comprometido.

Impactos da manipulação

• Phishing: captura de credenciais e dados bancários.
• Coleta de informações: cookies, histórico e fingerprint do sistema.
• Malware: distribuição de arquivos maliciosos via site falso.

Proteção com listas no BIND

Uma defesa eficiente é criar zonas bloqueadas no BIND para impedir o uso de domínios maliciosos. Ao tentar incluir/consultar um endereço suspeito, o BIND bloqueia a resolução.

Passo a passo de configuração

Acesse o diretório do BIND:

cd /etc/bind

Crie o diretório zones:

mkdir zones

No diretório, adicione o arquivo blockeddomains.db:

;
; Arquivo usado para bloquear dominios no Bind9
$TTL    3600
@       IN      SOA     ns01.HOSTNAME.local. root.HOSTNAME.local. (
                            2014052101 ; Serial
                            7200       ; Refresh
                            120        ; Retry
                            2419200    ; Expire
                            3600)      ; Default TTL
;
        A       127.0.0.1
*       IN      A       127.0.0.1
mail    IN      A       127.0.0.1
ftp     IN      A       127.0.0.1
webmail IN      A       127.0.0.1
panel   IN      A       127.0.0.1
www     IN      A       127.0.0.1

Troque HOSTNAME pelo hostname principal do servidor (ex.: NS01).

Defina permissões:

chmod +x blockeddomains.db
chown root.bind blockeddomains.db

Configuração do arquivo de bloqueio

Em /etc/bind, crie blocked_domain_acl.conf:

zone "dominio.com.br" { type master; file "/etc/bind/zones/blockeddomains.db"; };

Inclua no named.conf:

include "/etc/bind/blocked_domain_acl.conf";

Reinicie o serviço:

service bind9 restart

Teste de zona

Você pode testar com dig:

dig +short @IP_SERVIDOR dominio.com.br

Se não houver resposta, o bloqueio foi aplicado. Para domínios válidos, o BIND retorna o IP autorizado.

Este post está licenciado sob CC BY-NC.