DNS recursivo profissional · Multi-tenant · Anti-DDoS

O DNS que protege, filtra e cumpre a lei — sem você abrir mão de performance.

Plataforma completa para ISPs, provedores e empresas operarem DNS recursivo com filtro multi-tenant por perfil, defesa anti-DDoS automatizada, forense judicial pronto para Marco Civil e anonimização LGPD por padrão.

Solicitar demonstração Ver recursos completos

< 1 mslatência em hit de cache
80%+hit ratio após warm-up
≤ 1 shot-reload zero-downtime
365 diasretenção forense Marco Civil

Construído com tecnologias de classe mundial

PowerDNS Recursor 5.4 dnsdist 1.9 PostgreSQL 16 Redis FastAPI Docker Caddy + TLS Prometheus · OpenTelemetry

Por que Nusere DNS

Quatro pilares que separam um DNS profissional de um DNS qualquer

Nada aqui é “feature de marketing”: cada item está em produção, com hot-reload, auditoria e validação real.

Defesa anti-DDoS multi-camada

NXDOMAIN flood (30/s × 10s), SERVFAIL flood (200/s), rate-limit por IP, baseline automático com p99/p99.9 sugerindo thresholds e detecção de DNS tunneling por entropia de Shannon.

Hot-reload em ≤ 1s via Lua maintenance no dnsdist
Multipliers CGNAT (não pune o provedor)
Webhooks attack_start / attack_end anti-flapping

Filtro multi-tenant por perfil

FilterProfile reutilizável com categorias (adulto, social, gambling, violência, malware, ads), janela horária por dia da semana, whitelist por domínio e atribuição a IPs/CIDRs.

Bloqueio familiar opt-in por IP/CIDR
Listas externas: StevenBlack, URLhaus, Spamhaus DBL
RPZ + AdblockPlus + hosts (auto-detect)

Conformidade legal por padrão

Retenção de 365 dias atendendo Marco Civil (art. 13), audit log com hash-chain verificável, forense judicial com cadeia de custódia SHA-256, exportação CSV assinada e anonimização LGPD opt-in.

Bloqueio judicial com upload do PDF da decisão
Expiração automática e auditoria por usuário
Worker LGPD pseudonimiza source_ip após N dias

Performance que se mede

PacketCache de 2 milhões de entradas no edge derruba latência para microssegundos. Cache de 4M no recursor com refetch assíncrono antes do TTL zerar. SSE realtime no dashboard.

2 recursores em HA com leastOutstanding
aggressive-nsec-cache (RFC 8198)
Particionamento mensal de query logs

Atualizações & Suporte

Produto vivo. Time presente. Toda semana.

Nusere DNS recebe melhorias contínuas e suporte direto — não é um software que você instala e fica torcendo para não dar problema.

Atualizações constantes

Releases frequentes com novas features, correções e hardening de segurança. Do v1.0-beta à v2.17 em poucos meses — cada versão documentada no CHANGELOG público.

Updater integrado: 1 clique no painel, backup automático antes
Snapshot pré-update completo (DB + volumes + compose + .env)
Sininho de versão avisa quando há release nova
Rollback trivial via git checkout v<tag>

Suporte constante

Canal direto com quem desenvolve o produto. Não tem call center. Não tem ticket que morre. Conversa técnica de verdade, no tempo do incidente.

Suporte business hours no plano Pro
SLA 24×7 com on-call dedicado no Enterprise
Onboarding assistido com revisão de baseline
Roadmap conjunto — você influencia o que entra na próxima release

Changelog transparente

Todas as mudanças versionadas no padrão Keep a Changelog: adicionado, corrigido, removido, performance, conformidade. Sem “melhorias gerais” vagas.

Você sabe exatamente o que mudou e por quê
Decisões registradas (ex: por que pulamos pdns 5.2/5.3)
Pendências e backlog também públicos
Histórico parseado dentro do próprio painel

Manutenção sem janela de risco

Quase tudo no Nusere DNS é hot-reload em ≤ 1s: bloqueio de IP, mudança de perfil, ajuste de rate-limit, lista externa, categoria. Não precisa parar para configurar.

Configurações globais editáveis em runtime (sem restart)
Backup S3 cifrado roda no fundo a cada 5 min
Particionamento mensal de logs roda sozinho
Workers de retenção, LGPD e auditoria 100% automáticos

O painel

Tudo em pt-BR. Claro/escuro. Responsivo no celular.

Construído para operadores que precisam tomar decisões em segundos, não para fotos de slide.

Visão operacional do nó

Painel em tempo real com recursos do host, tráfego de rede e KPIs essenciais. Tudo num só olhar.

Performance DNS em SSE realtime

QPS, hit ratio, p50/p95/p99, distribuição de latência por bucket e contadores de rcodes — push a cada 5 segundos.

Monitor DDoS — Level 1 + IA

Detecção automática por volume, presets “crise”, “residencial”, “empresa” e Level 2 com IA opcional para diagnóstico.

Perfis de filtragem multi-tenant

Crie perfis (“Kids”, “Trabalho-RH”, “Empresa-padrão”), atribua a IPs/CIDRs e veja aplicar em ≤ 1s via hot-reload.

Auditoria Marco Civil / LGPD

Filtros server-side, paginação, modal de detalhe com before/after diff, exportação CSV e verificação de integridade hash-chain.

Health Status das dependências

PostgreSQL, Redis, dnsdist e SMTP em cards individuais. Endpoints públicos para UptimeRobot, Pingdom e statuspage.io.

Webhooks Slack, Discord, Telegram

Quickstart com 3 cliques: cola a URL, escolhe os eventos e a primeira mensagem de teste já cai no canal.

Login com 2FA TOTP

JWT com refresh rotativo, lockout configurável em runtime, LDAP/AD e olhinho de senha. Cara limpa, com identidade.

Segurança

Camadas defensivas que cobrem o caminho inteiro

De dentro do painel até o pacote DNS que sai para a internet.

Defesa do plano DNS

DNS Cookies (RFC 7873) outgoing no recursor — mitiga amplificação refletida e detecta spoofing off-path
any-to-tcp e ANY → TCP contra amplificação UDP
Slowloris hardening — limites por cliente, recv timeout 5s, TCAction em vez de DelayAction
DNSSEC validação + log de bogus + qname-minimization v2
edns-outgoing-bufsize=1232 (DNS Flag Day) — previne fragmentação

Defesa do painel

2FA TOTP (RFC 6238) com QR code e fallback
LDAP / Active Directory com mapeamento de grupos → roles
API Keys com prefixo nxk_, hash SHA-256 e expiração opcional
JWT com refresh rotativo, revogação e password_version
Brute-force lockout configurável em runtime (sem restart)
Backend não-root + docker-socket-proxy (blast radius de RCE reduzido)

Visibilidade em tempo real

SSE realtime no Dashboard DNS (push a cada 5s)
QPS, hit ratio, p50/p95/p99 bucketed, drops, rcodes
Top IPs suspeitos com bloqueio direto da UI
DNS Tunneling Suspects com score 0–100 (cor adaptativa)
Webhooks Slack, Discord, Telegram com quickstart

Backup e continuidade

Backup S3-compatible — AWS, Backblaze B2, MinIO, Wasabi
Cifragem AES-256-GCM antes do upload
4 tipos de backup: bloqueios, configs, auditoria, completo
Snapshot pré-update automático em backup-pre-change.sh
Healthcheck real em recursor + dnsdist

Marco Civil & LGPD

Pronto para auditoria, ofício e mandado judicial

A maioria dos “DNS profissionais” deixa essa parte de fora. A gente entregou de fábrica.

Forense judicial

Endpoint dedicado, role admin/jurídico, justificativa obrigatória, hash SHA-256 do payload para cadeia de custódia, audit log completo e exportação CSV assinada — atende solicitações sob Lei 12.965/2014.

Índice composto (source_ip, queried_at) para forense rápida
Categorias de bloqueio: judicial, malware, manual, adult, social, gambling, violence, ads
Soft-delete em DNSBlock preserva histórico para o juiz

Bloqueio judicial guiado

Página dedicada para upload do PDF da decisão (até 25 MB), número do processo, expiração automática (worker), exportação CSV e justificativa obrigatória para desbloqueio. O painel obriga o operador a deixar rastro.

Campo authority de primeira classe (Anatel/Judicial/...)
Auditoria com before/after diff
Confirmação dupla para ações destrutivas

LGPD por padrão

Worker diário opt-in que pseudonimiza source_ip após N dias (mínimo 30): IPv4 zera o último octeto, IPv6 mantém 48 bits. Configurável em runtime, sem restart.

Retenção configurável (365 a 3650 dias)
Audit log retention worker com defaults seguros
Hash-chain streaming valida milhões de logs sem estourar memória

Performance

Números reais, em produção

Não são estimativas de slide — são métricas medidas e expostas no próprio painel.

~ 100 µs Latência em hit do PacketCache do edge (dnsdist)

68% das queries respondidas em <1 ms após warm-up

80%+ de hit ratio projetado após cache aquecido

~ 0 outgoing-timeouts após PowerDNS Recursor 5.4 + EDNS bufsize correto

Cache que pensa

refresh-on-ttl-perc=10 faz refetch assíncrono antes do TTL expirar. serve-stale-extensions=10 serve resposta antiga em caso de falha do upstream. aggressive-nsec-cache-size=100000 responde negativas direto do cache DNSSEC.

HA de verdade

2 recursores em rotação com setServerPolicy(leastOutstanding). Parou um? O outro continua servindo, validado em laboratório. IPv6 dual-stack inbound + outbound (sites com NS IPv6 respondem direto, sem fallback).

Hot-reload zero-downtime

Mudou rate-limit, bloqueou um IP, atualizou perfil de filtro ou categorias? O dnsdist reaplica regras via rmRule/addAction no hook maintenance() em ≤ 1 segundo. Nada de restart. Nada de janela de risco.

Casos de uso

Um produto. Três perfis de cliente. Zero adaptação forçada.

Provedor de Internet (ISP)

Cumpra o Marco Civil sem virar refém de fornecedor de DNS

CGNAT-aware: multipliers por faixa CIDR para não punir clientes legítimos
Bloqueio judicial com PDF da decisão, número do processo e expiração
Cluster multi-nó com sincronização e diff local-vs-remoto
Webhooks de ataque para sua NOC reagir em segundos

Empresa

Política de navegação corporativa com filtro por departamento

FilterProfile por CIDR — TI, RH, Vendas com regras diferentes
Janela de horário (libera redes sociais no almoço, por exemplo)
LDAP / AD com mapeamento de grupos → roles do painel
Relatórios automáticos por email (diário / semanal / mensal)

Família / Pequeno negócio

Proteção contra conteúdo adulto, violência e malware — sem complicação

Bloqueio familiar opt-in com toggles de adulto e violência
Top domínios bloqueados respondem “o que meu filho tentou acessar?”
Bloqueio de malware via URLhaus e Spamhaus DBL
DNS over HTTPS (DoH) e DNS over TLS (DoT) para roaming

Stack técnico

Open-source consagrado, integrado e mantido

Sem black-box. Você vê, audita e opera.

PowerDNS Recursor 5.4Resolução recursiva, DNSSEC, DNS Cookies, IPv6 dual-stack

dnsdist 1.9Firewall DNS, PacketCache 2M, dynBlock, Lua hot-reload

FastAPI + SQLAlchemy 2.0Backend não-root, OpenAPI, SSE realtime

React 18 + VitePainel pt-BR, claro/escuro, responsivo mobile

PostgreSQL 16Particionamento mensal de query logs, audit hash-chain

RedisLocks distribuídos, cache de stats, anti-flapping

CaddyReverse proxy + TLS automático

OpenTelemetry + Loki + Vector + GrafanaObservabilidade opt-in completa

Planos

Escolha o tier que faz sentido para o seu volume

Estrutura de licença com validação offline e install_id por instância.

Community

Para laboratórios, homologação e adoção inicial.

1 nó de operação
Filtro multi-tenant até 10 perfis
Listas externas + bloqueio familiar
Dashboard, auditoria, 2FA, API Keys
Suporte via comunidade

Começar

Mais escolhido

Pro

Para empresas e provedores de pequeno e médio porte.

Cluster multi-nó com sincronização
Perfis de filtro ilimitados
Forense Marco Civil + bloqueio judicial
Backup S3 cifrado AES-256-GCM
LDAP/AD, webhooks, email reports
SLA com suporte business hours

Solicitar proposta

Enterprise

Para grandes ISPs, operadoras e ambientes críticos.

Tudo do Pro
SLA 24×7 com on-call dedicado
Onboarding assistido + revisão de baseline
Integração OpenTelemetry / Datadog / Loki
Roadmap conjunto e feature flags
Hardening específico do seu compliance

Conversar

FAQ

Perguntas que ouvimos toda semana

Vocês são um DNS público tipo 1.1.1.1 ou 8.8.8.8?

Não. Nusere DNS é uma plataforma para você operar seu próprio DNS recursivo — com seu domínio, seus filtros, seus logs, sua política. Diferente de um DNS público, você decide o que filtrar e mantém o controle dos dados (essencial para Marco Civil e LGPD).

Funciona com CGNAT? Não vou bloquear minha rede inteira?

Funciona — e foi projetado pensando nisso. A página /redes-cgnat cadastra faixas CIDR do operador com um multiplier (1–100×). Threshold base de 200 q/min vira 2000 q/min para a faixa CGNAT, sem afetar o threshold dos outros IPs. A baseline DDoS ajuda você a calibrar com p99/p99.9 do seu tráfego real.

Como atendo um ofício / mandado judicial pedindo logs?

Pelo painel: rota /forensico (role admin/jurídico) com justificativa obrigatória ≥ 5 caracteres, filtro por IP/janela/categoria e exportação CSV com hash SHA-256 do payload para cadeia de custódia. Todo acesso fica em audit log com before/after.

E os dados pessoais? E a LGPD?

Worker LGPD opcional pseudonimiza source_ip após N dias (mínimo 30): IPv4 zera o último octeto, IPv6 mantém 48 bits. Você configura em runtime, sem restart. A retenção mínima de 365 dias atende o Marco Civil — o que passar disso pode ser anonimizado.

Suporta IPv6, DoH e DoT?

Sim, todos. IPv6 dual-stack inbound e outbound (recursor + dnsdist). DoT na 853 e DoH na 8853→443 quando o certificado está montado em /etc/dnsdist/tls/.

Que tipo de ataque vocês conseguem bloquear?

Volumétricos por IP (rate-limit hot-reload), NXDOMAIN flood, SERVFAIL flood, amplificação ANY (forçada para TCP), slowloris (timeouts + limite de conexões por cliente), DNS tunneling (score 0–100 por entropia + ratio de subdomínios) e cache poisoning off-path (DNS Cookies). Há também integração opcional com camada de IA para diagnóstico Level 2.

Roda em on-premise ou na nuvem?

Os dois. Stack Docker Compose oficial, qualquer Linux com Docker. Você pode rodar bare-metal num data center próprio, em VM dedicada, ou em provedor cloud. Sem dependência de SaaS de terceiros para funcionar.

Como faço atualização?

Pelo “sininho de versão” no topbar. Click → “Atualizar agora”. O updater host-side (cron) faz backup automático, git checkout da nova tag, build e up -d. Frontend faz polling do status e recarrega sozinho. Comandos manuais ficam expostos como fallback.

Pronto para um DNS que não te deixa na mão?

Agende uma demonstração de 30 minutos. Mostramos baseline de ataque ao vivo, forense judicial e o filtro multi-tenant rodando em produção.