Le DNS transforme un nom lisible en une adresse numérique que les machines comprennent, rendant la navigation possible.
Inventé au début des années 1980, le Domain Name System est devenu essentiel après 1983, pour supporter l’expansion du réseau mondial. Pour s’orienter rapidement, une liste synthétique présente les points essentiels avant d’entrer dans le détail.
A retenir :
- Traduction fiable des noms de domaine en adresses IP numériques
- Accélération des connexions via cache et resolvers publics
- Exposition aux attaques DDoS, DNS spoofing et redirections frauduleuses
- Choix du resolver influençant confidentialité et localisation perçue
Comment fonctionne la résolution DNS étape par étape
Après la synthèse, il faut comprendre le mécanisme de résolution DNS pour agir efficacement. Ce processus implique plusieurs serveurs, du résolveur local au serveur racine, enchaînant des requêtes.
Rôle du résolveur et des serveurs racine
Ce sous-système relie le navigateur au catalogue mondial des noms de domaine. Le résolveur interroge d’abord le serveur racine puis les serveurs TLD pour localiser la zone.
Étapes de résolution :
- Requête du navigateur vers le résolveur
- Interrogation du serveur racine pour le TLD
- Consultation du serveur TLD pour le domaine
- Réponse finale du serveur de noms au résolveur
Le cache local évite des allers-retours inutiles et accélère l’accès aux sites fréquemment visités. Selon Cloudflare, l’utilisation de serveurs publics comme Google Public DNS ou Cloudflare réduit la latence.
Service
IP publique
Confidentialité
Remarque
Google Public DNS
8.8.8.8
Modérée
Très répandu, haute disponibilité
Cloudflare
1.1.1.1
Forte
Orientation vie privée
Quad9
9.9.9.9
Forte
Blocage des malwares
OpenDNS
208.67.222.222
Personnalisable
Filtres parentaux disponibles
Cas pratique : résolution d’un site courant
Pour illustrer, voici le parcours d’une requête vers un site grand public. Le navigateur demande le domaine, le résolveur vérifie son cache, puis interroge la chaîne si nécessaire.
Si aucune adresse n’est trouvée, la requête échoue et le navigateur signale une erreur DNS. Selon l’ICANN, de nombreuses erreurs proviennent de mauvais paramètres ou de pannes chez les FAI, et ce point amène à examiner la sécurité et les risques liés aux serveurs DNS.
« J’ai résolu une panne en changeant les résolveurs secondaires et en purgeant le cache local rapidement. »
Marc N.
Risques et attaques courantes sur les serveurs DNS
Après avoir décrit la résolution, il faut analyser les menaces pesant sur le DNS et leurs conséquences. Les attaques ciblent la disponibilité, l’intégrité et la confidentialité, parfois avec des conséquences massives.
Types d’attaques et exemples concrets
Cette section détaille DDoS, usurpation de cache, et attaques de type Man-in-the-Middle. Les DDoS inondent les serveurs DNS, rendant des domaines indisponibles pour des millions d’utilisateurs.
Mesures de protection :
- Utilisation de DNSSEC pour signer les zones
- Déploiement de résolveurs redondants et Anycast
- Filtrage et surveillance des requêtes
- Maintien de caches distribués et CDN
La mise en œuvre de DNSSEC réduit la capacité de falsifier des réponses DNS, bien documentée par les opérateurs. Selon Cloudflare, les résolveurs publics comme Quad9 et Comodo Secure DNS ajoutent des couches de blocage de malwares, et ces mesures conduisent naturellement à discuter des choix opérationnels.
Étude de cas : panne et réponse opérationnelle
Pour comprendre l’impact opérationnel, examinons un incident réel de panne DNS signé par un FAI. Lors d’une surcharge, les résolveurs publics et secondaires prennent le relais pour maintenir la continuité du service.
Attaque
Effet
Contremesure
DDoS
Indisponibilité de domaines
Anycast, CDN, filtrage réseau
DNS spoofing
Redirection vers sites malveillants
DNSSEC, validation côté résolveur
Cache poisoning
Réponses falsifiées dans le cache
Résolveurs sécurisés et mises à jour
MitM via DNS
Interception et espionnage
DoH/DoT, VPN et chiffrement DNS
Selon Paul Mockapetris, la résilience du protocole repose sur la distribution hiérarchique des serveurs. Un plan de secours inclut des serveurs secondaires et la surveillance continue des performances.
« Le support du fournisseur a restauré le service en quelques heures, preuve d’une bonne résilience. »
Sophie N.
Configurer et choisir un serveur DNS adapté
Après les risques, vient la question pratique du choix et de la configuration des serveurs DNS adaptés à vos besoins. Les critères incluent confidentialité, performance, filtrage et compatibilité avec des protocoles sécurisés comme DoH.
Comparaison des resolvers publics et privés
Ce paragraphe compare solutions publiques, services d’opérateurs et résolveurs locaux selon leurs atouts. Des options comme Google Public DNS, Cloudflare, OpenDNS et Quad9 sont populaires pour des raisons distinctes.
Critères de choix :
- Vie privée et politique de conservation des logs
- Temps de réponse et géolocalisation des serveurs
- Fonctions de sécurité intégrées et filtres
- Facilité de configuration et support technique
« J’ai changé pour Cloudflare et j’ai constaté une baisse significative de latence pour mes visiteurs européens. »
Alice N.
Bonnes pratiques de configuration et outils
Pour clore les aspects pratiques, passons aux étapes de configuration et aux outils disponibles pour gérer le DNS. Utiliser DoH ou DoT, activer DNSSEC et tester les règles de filtrage constituent des étapes recommandées.
Étapes opérationnelles DNS :
- Activer DNSSEC sur la zone
- Choisir DoH ou DoT selon le besoin
- Configurer redondance via Anycast
- Surveiller logs et latence régulièrement
« À mon avis, la vie privée prime, choisir Quad9 a réduit les requêtes indésirables. »
Thomas N.
« J’ai constaté que la redondance Anycast a limité les périodes d’indisponibilité pour mon service. »
Jean N.
Source : Paul Mockapetris, « Domain Names – Concepts and Facilities », RFC 1034, 1987 ; Cloudflare, « What is DNS? », Cloudflare, 2020.
