Qu'est-ce que le DNS ? Fonctionnement of système de noms de domaine
·2 min read·282 words
Le DNS (Domain Name System) traduit les noms de domaine lisibles (google.com) en adresits IP (142.250.185.46). Without DNS, rien ne fonctionne sur Internet. Architecture hiérarchique mondiale, millions de serveurs, réponits cachées for performance. Essentiel and souvent attaqué.
Hiérarchie DNS
- Root servers (13 globalement) : . (la racine)
- TLD servers : .com, .fr, .org, etc.
- Autoritative servers : for chaque domaine
- Resolvers (récursifs) : font le travail for le client
- Clients : OS or navigateurs with resolver local
Types de records
- A : nom → IPv4
- AAAA : nom → IPv6
- CNAME : alias vers autre nom
- MX : serveur email
- NS : nameserver autoritaire
- TXT : texte libre (SPF, DKIM, DMARC)
- PTR : reverse (IP → nom)
- SRV : localisation service (LDAP, Kerberos)
- CAA : Certificate Authority Authorization
DNS chain de résolution
For www.google.com depuis your PC :
- 1. PC demande au resolver configuré (ex : 8.8.8.8)
- 2. Resolver interroge root server (.)
- 3. Root renvoie serveurs TLD .com
- 4. Resolver interroge .com
- 5. .com renvoie nameservers google.com
- 6. Resolver interroge ns1.google.com
- 7. Réponse : A record www.google.com = 142.250.185.46
- 8. Cache ~1 jour (TTL)
Resolvers publics
- Google : 8.8.8.8 / 8.8.4.4
- Cloudflare : 1.1.1.1 / 1.0.0.1
- Quad9 : 9.9.9.9 (blocking malware built-in)
- OpenDNS : 208.67.222.222
- FDN (France) : 80.67.169.12
DNSSEC
DNS Security Extensions : signatures cryptographiques of records for éviter cache poisoning :
- Records RRSIG, DNSKEY, DS, NSEC
- .fr signé depuis 2010, .com depuis 2011
- Adoption réelle : ~30%
DoT / DoH
- DoT (DNS over TLS) : port 853
- DoH (DNS over HTTPS) : port 443
- Cache : chiffrement résolutions
- Problème entreprise : bypass filtres locaux
Commander chez OPTINOC
Architecture DNS entreprise BIND/Windows DNS/Infoblox. DNSSEC, DoT, intégration SASE. Devis sous 48h.