Subdomínio é uma ramificação do domínio principal, criada ao adicionar um prefixo antes do domínio raiz separado por um ponto; entenda como descobrir
Mapear subdomínios é uma das etapas mais subestimadas na gestão de presença digital. Empresas de médio porte chegam a acumular dezenas de subdomínios criados ao longo dos anos — ambientes de teste, campanhas sazonais e integrações descontinuadas que continuam ativos sem qualquer monitoramento.
O problema ganha dimensão quando os dados são observados em escala. Segundo a Ivanti, 76% das organizações já sofreram algum ciberataque causado por um ativo de internet desconhecido ou mal gerenciado. Subdomínios esquecidos estão entre os principais vetores desse tipo de incidente.
Para profissionais de SEO, o mapeamento de subdomínios também é uma etapa fundamental. Subdomínios indexados indevidamente podem canibalizar palavras-chave do domínio principal, fragmentar autoridade e comprometer resultados orgânicos.
Este artigo apresenta as principais técnicas e ferramentas para descobrir subdomínios de qualquer site — do método mais simples, acessível via navegador, ao pipeline completo utilizado por especialistas em segurança e pentesters.
O que é subdomínio e por que mapeá-lo
Subdomínio é uma ramificação do domínio principal, criada ao adicionar um prefixo antes do domínio raiz separado por um ponto. Na URL blog.empresa.com.br, por exemplo, blog é o subdomínio, empresa é o domínio e com.br é o TLD (Top-Level Domain).
Tecnicamente, o DNS trata cada subdomínio como uma entidade separada do domínio raiz. Isso tem implicações diretas tanto para o rastreamento por crawlers quanto para a distribuição de autoridade em SEO.
Os usos mais comuns de subdomínios incluem:
- Blogs corporativos (blog.empresa.com)
- Ambientes de desenvolvimento (dev.empresa.com)
- Lojas virtuais (loja.empresa.com)
- Painéis administrativos (admin.empresa.com)
- Versões internacionalizadas do site (en.empresa.com)
- Subdomínios por cliente em plataformas SaaS
Mapear todos os subdomínios de um site serve a três objetivos principais: identificar ativos desconhecidos que ampliam a superfície de ataque, auditar a arquitetura digital para fins de SEO técnico e compreender a estratégia de infraestrutura de concorrentes.
Como descobrir subdomínios de um site: 5 métodos práticos
Os métodos para descobrir subdomínios variam em profundidade, velocidade e nível técnico exigido. A escolha depende do objetivo: um profissional de SEO que quer auditar rapidamente a estrutura de um domínio terá necessidades diferentes de um analista de segurança realizando um reconhecimento completo.
1. Certificate Transparency Logs com crt.sh
O método mais eficaz e completamente gratuito. Quando uma Autoridade Certificadora emite um certificado SSL/TLS, ela é obrigada a registrar em logs públicos auditáveis — os Certificate Transparency Logs. Esses registros contêm todos os nomes de domínio cobertos por cada certificado, incluindo subdomínios.
O site crt.sh oferece uma interface de busca direta nesses logs. Para pesquisar todos os subdomínios de um domínio, basta acessar https://crt.sh/?q=%.dominio.com.br — substituindo o domínio pelo alvo desejado. O caractere % funciona como curinga e retorna todos os registros que contenham o domínio.
Vantagem crítica: certificados não podem ser removidos dos CT Logs após a emissão. Isso significa que subdomínios de ambientes descontinuados permanecem registrados historicamente, revelando infraestrutura que pode continuar ativa sem monitoramento.
2. Google Dork com operador site:
Uma alternativa imediata, sem necessidade de ferramentas externas. O operador site: do Google restringe os resultados ao domínio especificado. Pesquisar site:empresa.com.br exibe todos os subdomínios que o Google indexou.
Para refinar a busca e excluir subdomínios já conhecidos, é possível usar o operador de exclusão: site:empresa.com.br -www -blog -loja. Cada iteração revela subdomínios menos óbvios que o mecanismo de busca rastreou.
Limitação: este método revela apenas o que o Google indexou. Subdomínios com noindex ou bloqueados no robots.txt não aparecerão nos resultados, mas podem continuar acessíveis publicamente.
3. DNSDumpster
O dnsdumpster.com é uma ferramenta online gratuita que combina consultas a múltiplas fontes — incluindo o Shodan e a base Maxmind — para mapear subdomínios e gerar uma representação visual da infraestrutura DNS de um domínio.
Além de listar subdomínios, o DNSDumpster retorna registros MX (e-mail), TXT e NS, bem como os endereços IP associados a cada host. A visualização em mapa é útil para entender como os diferentes componentes da infraestrutura se relacionam. A plataforma não exige cadastro para consultas básicas e oferece exportação em formato XLS.
4. Shodan
O Shodan é um motor de busca especializado em dispositivos e serviços conectados à internet. Diferentemente dos buscadores convencionais, ele indexa banners de serviços, portas abertas e configurações de hosts.
Para mapear subdomínios via Shodan, a consulta hostname:empresa.com.br retorna todos os hosts identificados com aquele domínio. O plano gratuito impõe limites de resultados, mas é suficiente para uma primeira varredura.
O Shodan é especialmente útil quando o objetivo vai além de listar subdomínios: ele revela quais serviços estão expostos em cada um, o que é fundamental para avaliações de superfície de ataque.
5. Ferramentas de linha de comando: Subfinder e Amass
Para um mapeamento sistemático e profundo, as ferramentas de linha de comando são a escolha dos especialistas. As duas mais utilizadas são o Subfinder (ProjectDiscovery) e o OWASP Amass.
O Subfinder realiza enumeração passiva consultando mais de 35 fontes simultaneamente — entre elas, VirusTotal, SecurityTrails, BinaryEdge e PassiveTotal. Uso básico:
subfinder -d empresa.com.br
O OWASP Amass é mais abrangente: suporta mais de 80 fontes de dados e 16 integrações de API, além de oferecer modos de reconhecimento ativo, incluindo brute force por wordlist:
amass enum -d empresa.com.br
amass enum -brute -d empresa.com.br -w wordlist.txt
A prática recomendada é combinar as duas ferramentas em sequência, seguidas de uma resolução DNS com o DNSx para verificar quais subdomínios descobertos estão efetivamente ativos — eliminando falsos positivos da lista final.
Outras ferramentas para descobrir subdomínios
Além dos cinco métodos principais, o mercado oferece outras opções com casos de uso específicos.
Ferramentas online gratuitas
- HackerTarget (hackertarget.com): Realiza consultas DNS rápidas e retorna subdomínios sem necessidade de cadastro. Boa opção para verificações rápidas durante auditorias de SEO técnico.
- nmmapper (nmmapper.com): Agrega múltiplos scanners — incluindo Amass, Sublister e Lepus — em uma única interface web, facilitando comparações entre fontes diferentes.
- Pentest-Tools (pentest-tools.com): Oferece um scanner de subdomínios com opções de intensidade variável. O plano gratuito limita o número de consultas mensais, mas é suficiente para auditorias pontuais.
Plataformas com API e plano freemium
- SecurityTrails (securitytrails.com): Mantém uma base de dados com trilhões de consultas DNS históricas, incluindo registros de subdomínios que existiram no passado. O plano gratuito oferece 50 consultas mensais via API.
- VirusTotal (virustotal.com): Disponibiliza, na aba “Relations” de cada domínio, uma lista de subdomínios coletados durante análises de ameaças. Acesso gratuito para consultas manuais.
Ferramentas de linha de comando (open source)
- Sublist3r (Python): Combina resultados de múltiplos motores de busca.
- Findomain (Rust): Reconhecido pela velocidade de processamento.
- Gobuster: Realiza brute force de subdomínios a partir de wordlists customizadas.
Como os especialistas combinam ferramentas (pipeline completo)
Nenhuma ferramenta isolada descobre 100% dos subdomínios de um domínio. A abordagem profissional consiste em combinar múltiplas fontes e cruzar os resultados. Um pipeline típico utilizado em auditorias de segurança e SEO técnico:
Passo 1 — Coleta passiva via CT Logs:
curl -s “https://crt.sh/?q=%.empresa.com.br&output=json” | jq -r ‘.[].name_value’ | sort -u > ct_subs.txt
Passo 2 — Enumeração via Subfinder:
subfinder -d empresa.com.br -all -o subfinder_subs.txt
Passo 3 — Enumeração ampla via Amass:
amass enum -d empresa.com.br -o amass_subs.txt
Passo 4 — Consolidação e deduplicação:
cat ct_subs.txt subfinder_subs.txt amass_subs.txt | sort -u > todos_subdominios.txt
Passo 5 — Resolução DNS para verificar ativos:
cat todos_subdominios.txt | dnsx -a -resp -o ativos.txt
Esse pipeline combina reconhecimento passivo — que não interage diretamente com a infraestrutura do alvo e é praticamente indetectável — com resolução ativa para filtrar apenas os subdomínios efetivamente acessíveis.
Para que serve descobrir subdomínios: SEO e segurança
O mapeamento de subdomínios tem aplicações práticas tanto para equipes de marketing digital quanto para times de segurança.
Aplicações em SEO técnico
Em auditorias de SEO técnico, o mapeamento de subdomínios permite identificar páginas indexadas indevidamente — como ambientes de staging ou versões antigas da aplicação que continuam rastreáveis pelo Googlebot.
Subdomínios indexados podem também canibalizar palavras-chave do domínio principal, fragmentando a autoridade construída ao longo do tempo. Verificar quais subdomínios aparecem nos resultados de busca e garantir que os desnecessários estejam bloqueados ou com diretiva noindex é uma prática fundamental em auditorias de saúde do domínio.
Além disso, o sitemap de cada subdomínio deve ser gerenciado separadamente no Google Search Console, já que o Google trata subdomínios como propriedades distintas. Ignorar esse ponto compromete a visibilidade de conteúdos publicados em subdomínios.
Aplicações em segurança e gestão de ativos
Na perspectiva de segurança, subdomínios esquecidos representam uma superfície de ataque real. Ambientes de desenvolvimento expostos sem autenticação adequada, painéis administrativos com credenciais padrão e versões antigas de aplicações com vulnerabilidades conhecidas são achados frequentes em auditorias de subdomínios.
Um risco específico nesse contexto é o subdomain takeover: ocorre quando um registro CNAME aponta para um serviço externo (AWS S3, GitHub Pages, Heroku, Netlify) que foi descontinuado, mas o registro DNS não foi removido. Um atacante pode reinvindicar o serviço e passar a controlar o subdomínio da empresa — obtendo, em alguns casos, certificados TLS válidos e acesso a cookies do domínio principal.
Como monitorar subdomínios continuamente
Descobrir subdomínios uma única vez não é suficiente. Novos subdomínios são criados com frequência por diferentes equipes — marketing, desenvolvimento, TI — e podem permanecer fora do inventário oficial por meses.
O crt.sh oferece um feed RSS/Atom que notifica sempre que um novo certificado é emitido para um domínio. Adicionar esse feed a qualquer leitor RSS permite monitorar, em tempo real, novos subdomínios criados com certificado SSL.
Para empresas com infraestrutura mais complexa, plataformas de External Attack Surface Management (EASM) automatizam o processo de descoberta contínua, classificação por criticidade e alertas de novos ativos. No Brasil, Vantico, GAT InfoSec e Axur são referências nesse segmento. A Microsoft também oferece o Defender EASM para organizações que já utilizam o ecossistema Azure.
O processo de monitoramento deve incluir não apenas a descoberta de novos subdomínios, mas também a verificação periódica de registros DNS obsoletos — especialmente CNAMEs que apontam para serviços externos encerrados, que são a principal causa de subdomain takeover.
FAQ
Qual ferramenta é mais eficaz para descobrir subdomínios?
Nenhuma ferramenta isolada cobre todas as fontes disponíveis. A combinação de crt.sh (Certificate Transparency Logs), Subfinder e Amass é o padrão utilizado por especialistas. Cada ferramenta consulta fontes distintas, e a união dos resultados produz uma cobertura muito maior do que qualquer método individual.
O que é subdomain takeover e como preveni-lo?
Subdomain takeover ocorre quando um subdomínio aponta via CNAME para um serviço externo descontinuado. Um atacante pode reinvindicar esse serviço e assumir o controle do subdomínio. A prevenção consiste em remover registros DNS antes de encerrar qualquer serviço externo e monitorar periodicamente CNAMEs que apontam para plataformas terceiras.
Como descobrir subdomínios sem instalar ferramentas?
Três opções gratuitas que funcionam diretamente pelo navegador: crt.sh, DNSDumpster e o operador site: do Google. Para a maioria das auditorias de SEO, essas três fontes são suficientes para um mapeamento inicial.
Quantos subdomínios um site pode ter?
Não há limite técnico. Sites de grandes corporações, portais de notícias e plataformas SaaS frequentemente operam com centenas ou milhares de subdomínios ativos. Na prática, muitos desses subdomínios foram criados por equipes diferentes ao longo de anos e nunca foram inventariados formalmente.
Como os subdomínios afetam o SEO de um site?
O Google trata cada subdomínio como uma propriedade independente. Isso significa que a autoridade de domínio construída no domínio principal não é automaticamente transferida para subdomínios. Além disso, subdomínios indexados indevidamente podem competir com o domínio principal pelas mesmas palavras-chave, fragmentando a relevância.
Qual a diferença entre enumeração passiva e ativa de subdomínios?
A enumeração passiva consulta fontes externas de dados — como CT Logs, bases de DNS histórico e motores de busca — sem interagir diretamente com a infraestrutura do alvo. É praticamente indetectável. A enumeração ativa realiza consultas diretas aos servidores DNS do alvo e pode incluir brute force de nomes. É mais abrangente, mas detectável por sistemas de monitoramento.
