Você já sabe que é necessário que ter um servidor DNS dentro da sua rede. Mas já se perguntou o que você precisa ter dentro desse servidor DNS?
Imagine a sua rede com mil clientes todos conectados no seu roteador mikrotik, pode ser uma RBMK1036G, por exemplo. Então, você finalmente decidiu que precisava implantar um servidor DNS dentro da sua rede, para que não precise fazer a requisição fora dela.
A requisição fora da sua rede é ruim porque ela consome banda, consome recursos, e como ela tem que ir lá fora e voltar, acaba sendo bem mais lenta.
Um dia, no entanto, um dos seus clientes decide acessar o site de um banco que ele utilize. Quando esse cliente acessa o site desse banco, o DNS faz a consulta, muitas vezes esse site até está no cache, o que facilita ainda mais a navegação, e entrega a resposta para o seu cliente. Só que existe um problema exatamente aí.
O seu DNS faz uma consulta na raiz daquele site e devolve para o usuário. No entanto, se o seu DNS não possuir um recurso chamado DNSSEC, a informação dada naquele site pode ser hackeada.
Ele pega a informação que você está solicitando, no caso, o seu cliente solicitou entrar no site de um banco, e é esse hacker que vai responder essa informação.
Agora, imagine a seguinte situação, se todos os seus mil clientes decidem acessar o site desse mesmo banco que o hacker pegou a informação, quando eles tentam entrar nesse site, eles não vão ser direcionados para o site correto, mas sim, para o site que o hacker criou. Nesse site, o hacker vai fazer uma página idêntica à página original do banco, e nisso, a pessoa não percebe que aquele site é incorreto e digita as informações pessoais da conta dela.
Tenha isso em mente, esse roubo de dados não é culpa do cliente que acessou o site do banco, mas sim, do dono de provedor que não colocou o DNSSEC no DNS dele.
Você pode assistir ao vídeo que deu origem a este artigo Clicando Neste Link.
Você também pode ler este meu outro artigo sobre ips maliciosos: Como Fazer A Identificação De Um?