Le système de noms de domaine traduit des nom de domaines lisibles en adresse IPs numériques pour les machines. Conçu dans les années 1980 à la demande du DARPA, il a transformé l’usage des réseaux.
La résolution de noms décrit le processus qui va du navigateur à la réponse DNS, en quelques millisecondes. Les points clés qui suivent conduisent naturellement à la section A retenir :
A retenir :
- Navigation web fluide et utilisation mémorisable des adresses
- Haute disponibilité via serveurs primaire et secondaire redondés
- Contrôle des e-mails et protection DNS contre l’usurpation
- Performance et résilience grâce au cache et hiérarchie
Fonctionnement du serveur DNS et résolution de noms
Après ces points essentiels, le fonctionnement précis des serveurs DNS mérite d’être expliqué. Cette description couvre la chaîne de requête DNS et la mise en cache, puis abordera les enregistrements.
Étape
Agent
Description
Port typique
Vérification cache
Client navigateur
Consultation du cache DNS local avant requête externe
—
Résolution récursive
Résolveur ISP
Interrogation des serveurs pour obtenir la réponse finale
53 UDP
Racine
Root DNS
Orientation vers le serveur TLD adapté
53 UDP
Autoritatif
Serveur de noms
Fourniture de l’adresse IP du domaine demandé
53 TCP/UDP
Cache DNS local et impact sur la performance
Ce point détaille l’impact du cache DNS sur la latence et la charge serveur. Un cache bien configuré réduit les requêtes récurrentes vers les serveurs racine et TLD.
Gestion du cache :
- Expiration TTL appropriée
- Politique de purge efficace
- Cache récursif local
- Sécurisation du cache
« J’ai réduit la latence client en ajustant le TTL du cache sur nos serveurs »
Luc N.
Chaîne de résolution et rôle du root DNS
La chaîne de résolution implique plusieurs étapes, depuis le cache DNS jusqu’au serveur faisant autorité. Selon Verisign, le système DNS traite un volume extrêmement élevé de requêtes quotidiennes.
Étapes de résolution :
- Vérification cache local
- Requête au résolveur récursif
- Interrogation des root DNS
- Demande au serveur autoritaire
Protocoles, enregistrements DNS et sécurité
Après avoir vu la chaîne de résolution, il faut détailler les enregistrement DNS et les aspects sécuritaires du protocole. L’examen portera sur l’usage d’UDP et de TCP, puis sur les pratiques de sécurisation.
Types d’enregistrement DNS et exemples pratiques
Ce sous-ensemble précise les rôles des principaux enregistrements et leurs usages concrets. Selon RFC1035, la distinction entre types est fondamentalement portée par la fonctionnalité de chaque record.
Type
Rôle
Exemple d’utilisation
A
Association nom vers IPv4
exemple.com → 93.184.216.34
AAAA
Association nom vers IPv6
exemple.com → 2606:2800:220:1::
CNAME
Alias vers un nom canonique
www.exemple.com → exemple.com
MX
Serveurs de messagerie du domaine
Gestion des e-mails pour @exemple.com
TXT
Texte arbitraire pour vérification
Propriété et politiques SPF/DKIM
Enregistrements clés :
- A pour IPv4 direct
- AAAA pour IPv6 natif
- CNAME pour alias et redirections
- MX et TXT pour messagerie et validation
Sécurité DNS, transferts et DNSSEC
Le protocole DNS utilise UDP sur le port 53 pour la plupart des requêtes, le TCP étant employé pour les transferts de zones. DNSSEC ajoute une couche cryptographique pour garantir l’authenticité des réponses.
Sécurité opérationnelle :
- Activation de DNSSEC pour signatures
- Restriction des transferts de zone
- Surveillance des anomalies DNS
- Sauvegarde et redondance des zones
« Nous avons détecté une tentative d’empoisonnement de cache et bloqué l’origine rapidement »
Anaïs N.
Administration, redondance et performances des serveurs DNS
Après l’analyse des enregistrements et de la sécurité, l’administration opérationnelle devient prioritaire pour garantir la disponibilité. La redondance entre serveurs primaire et secondaire reste une règle simple et efficace pour limiter les pannes.
Gestion des serveurs faisant autorité et bonnes pratiques
Ce chapitre traite des bonnes pratiques d’hébergement, de réplication et de monitoring des serveurs faisant autorité. Selon Wikipédia, l’architecture distribuée reste la clé de la résilience du système.
Pratiques d’administration :
- Serveurs autoritaires répartis géographiquement
- Sauvegarde régulière des zones
- Surveillance des temps de réponse
- Mises à jour sécurisées du logiciel DNS
« J’opère deux serveurs autoritaires et je surveille les TTL et les latences quotidiennement »
Marc N.
Résilience, mesure et optimisation des requêtes DNS
Le dernier point considère la tolérance aux pannes, la mise en cache globale et le routage anycast pour réduire la latence. Ces techniques améliorent la résolution de noms perçue par les utilisateurs finaux.
Mesures opérationnelles :
- Implémentation d’anycast pour résolveurs
- Tests réguliers de cohérence des zones
- Audits DNSSEC fréquents
- Plan de reprise pour défaillance majeure
« Un bon monitoring DNS a évité une interruption majeure lors d’une attaque DDoS récente »
Sophie N.
Source : Mockapetris, « Domain Names – Implementation and Specification », RFC1035, 1987 ; Verisign, « Domain Name Industry Brief », 2023 ; Wikipédia, « Domain Name System », 2024.
