DNS – Vérifier la propagation des modifications

Fonctionnement du DNS

Les DNS (Domain Name System) jouent un rôle crucial dans le fonctionnement d’Internet. En effet, les adresses IP (Internet Protocol) sont utilisées pour identifier les ordinateurs et les serveurs sur Internet, mais elles sont difficiles à retenir pour les utilisateurs.

Le DNS est un mécanisme qui permet d’associer un nom de domaine à une adresse IP pour faciliter l’accès aux hôtes sur un réseau IP. Les résolveurs et les serveurs faisant autorité parcourent la hiérarchie DNS et font suivre la requête à un ou plusieurs autres serveurs de noms pour fournir une réponse. Les serveurs récursifs publics et privés fonctionnent également comme des caches DNS pour stocker en mémoire la réponse d’une résolution de nom afin d’optimiser les requêtes ultérieures. Les mises à jour des DNS se font sur le serveur primaire du domaine, et les serveurs secondaires recopient les informations dans un mécanisme appelé transfert de zone. Il est important de noter que les informations qui ne sont plus à jour peuvent être conservées dans des serveurs cache, mais leur expiration peut être accélérée en diminuant le TTL associé aux noms de domaines qui vont être modifiés préalablement à une opération de changement.

Propagation des modifications

En raison du mécanisme de cache et de mises à jour, les modifications apportées sur le serveur primaire ne sont pas immédiatement prises en compte sur les serveurs récursifs. Cela peut prendre jusqu’à 24 heures pour que les modifications soient propagées. Pour suivre la propagation des modifications DNS, des outils tels que whatsmymdns.net dnschecker.org permettent de consulter certains serveurs connus à travers le monde. Il est également possible de faire une vérification en utilisant un script pour interroger un serveur connu, comme dans l’exemple donné avec la commande dig.

• https://dnschecker.org/
• https://www.whatsmydns.net/

Sécurité du DNS

Le protocole DNS a été conçu avec un souci minimum de la sécurité. Plusieurs failles de sécurité du protocole DNS ont été identifiées depuis. Les principales failles du DNS ont été décrites dans le RFC 383332 publié en août 2004.

• Interception des paquets
• Fabrication d’une réponse
• Corruption de données
• Empoisonnement du cache DNS
• Déni de service

DNSSEC

Pour contrer les vulnérabilités dues à la corruption des données, l’empoisonnement de cache DNS, etc., le protocole DNSSEC (RFC 403334, RFC 403435, RFC 403536) a été développé. Il utilise les principes de cryptographie asymétrique et de signature numérique pour garantir l’intégrité des données, ainsi qu’une preuve de non-existence si l’enregistrement demandé n’existe pas. La zone racine du DNS a été signée le 15 juillet 2010, et le déploiement de DNSSEC sur les TLD continue, une liste des domaines couverts étant disponible.

Sources

• https://fr.wikipedia.org/wiki/Domain_Name_System
• https://www.ariase.com/box/dossiers/adresses-dns
• https://www.justgeek.fr/liste-des-serveurs-dns-les-plus-rapides-et-securises-44705/