Defesa – Dissertação de Pedro Martins dos Santos

Aluno(a): Pedro Martins dos Santos
Orientador(a): Jéferson Campos Nobre

Título: Segurança de DNS com Alto Desempenho: Uma Abordagem Baseada em eBPF/XDP
Linha de Pesquisa: Segurança Cibernética

Data: 15/06/2026
Hora: 07:30
Local: Esta banca ocorrerá de forma presencial na sala 215 (Polycom) (43412) do Instituto de Informática/UFRGS.

Banca Examinadora:
-Luciano Paschoal Gaspary (Universidade Federal do Rio Grande do Sul, UFRGS)
-Eder John Scheid (Universidade Federal do Rio Grande do Sul, UFRGS)
-Leandro Marcio Bertholdo (Universidade Federal do Rio Grande do Sul, UFRGS)

Presidente da Banca: Jéferson Campos Nobre

Resumo: A crescente sofisticação e frequência de ataques baseados em DNS, como phishing e disseminação de malware, exigem soluções cada vez mais eficientes para proteger a infraestrutura de resolução de nomes. Embora amplamente estudado como vetor de ataque cibernético, o phishing continua sendo uma ameaça predominante devido à sua simplicidade operacional e alta eficácia na propagação de código malicioso. Este cenário evidencia a necessidade de mecanismos robustos capazes de bloquear comunicações com domínios maliciosos de forma eficaz e com impacto mínimo no desempenho dos sistemas. Este trabalho propõe e avalia cinco arquiteturas de firewall DNS baseadas na tecnologia eBPF e no framework XDP para mitigar ataques que exploram domínios maliciosos, incluindo comunicações de comando e controle (C2): (i) XDP em modo generic com função hash DJB2; (ii) XDP em modo generic com função hash FNV-1a; (iii) XDP em modo dri ver com função hash DJB2; (iv) XDP em modo driver com função hash FNV-1a; e (v) XDP com offload para SmartNIC utilizando DJB2. A abordagem diferencia-se de trabalhos anteriores por adotar uma estratégia determinística baseada em consulta eficiente a listas de domínios maliciosos, privilegiando a previsibilidade de desempenho, em contraste com técnicas baseadas em análise de características múltiplas ou machine learning que introduzem uma sobrecarga computacional significativa e variável. As arquiteturas propostas são comparadas em relação a um cenário baseline, sem filtragem, e ao método tradicional RPZ (Response Policy Zone) implementado no BIND, mediante avaliação experimental e estatisticamente rigorosa, estruturada em duas etapas complementares. A Etapa 1 quantifica o overhead introduzido pelas soluções de segurança em condições de tráfego legítimo, estabelecendo baseline de desempenho através da medição de vazão máxima, latência e consumo de CPU. A Etapa 2 avalia a eficiência computacional sob cargas variadas de tráfego malicioso (10\% a 90\% em incrementos de 10\%), fornecendo uma caracterização empírica detalhada do comportamento das soluções em condições adversas representativas de campanhas intensas de malware realizando comunicação C2 ou campanhas de phishing. Os resultados demonstram uma economia de CPU de até 79,6\% e uma vantagem de throughput de até 297\% para soluções XDP comparadas ao RPZ sob condições específicas (90\% de tráfego malicioso, cache habilitado), evidenciando que a proteção efetiva contra ameaças baseadas em domínios maliciosos pode ser implementada com eficiência operacional, melhorando o desempenho em cenários de alta carga de tráfego malicioso.

Palavras-Chave: DNS, eBPF, XDP, Phishing, Malware, DNS Firewall