Domain Name System

Un article de Wikipédia, l'encyclopédie libre.

Pile de protocoles

7	Application
6	Présentation
5	Session
4	Transport
3	Réseau
2	Liaison de données
1	Physique
Modèle OSI

Le Domain Name System (ou DNS, système de noms de domaine) est un système permettant d'établir une correspondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une information à partir d'un nom de domaine. À la demande de Jon Postel, Paul Mockapetris inventa le "Domain Name system" en 1983 et écrivit la première implémentation.

Sommaire 1 Associer une adresse IP et un nom de domaine 1.1 Fichier HOSTS 1.2 Résolution et résolution inverse avec DNS 1.3 Technique du DNS Round-Robin 1.4 Fully Qualified Domain Name 2 Un système distribué 3 Principaux enregistrements DNS 3.1 PTR record 3.2 MX record 3.3 NAPTR record 3.4 SOA record 4 Sécurité du DNS 4.1 DNSSEC 5 Voir aussi 6 Liens externes

[modifier] Associer une adresse IP et un nom de domaine

Les ordinateurs connectés à un réseau IP, par exemple Internet, possèdent tous une adresse IP. Ces adresses sont numériques afin d'être plus facilement traitées par une machine. Selon IPv4, elles prennent la forme xxx.yyy.zzz.aaa, où xxx, yyy, zzz et aaa sont quatre nombres variant entre 0 et 255 (en système décimal). Selon IPv6, les IP sont de la forme aaaa:bbbb:cccc:dddd:eeee:ffff:gggg:hhhh, où a, b, c, d, e, f, g et h représentent des caractères au format hexadécimal. Il n'est pas évidemment pour un humain de retenir ce numéro lorsque l'on désire accéder à un ordinateur d'Internet. C'est pourquoi un mécanisme a été mis en place pour permettre d'associer à une adresse IP un nom intelligible, humainement plus simple à retenir, appelé nom de domaine. Résoudre un nom de domaine, comme par exemple fr.wikipedia.org, c'est trouver l'adresse IP qui lui est associée.

[modifier] Fichier HOSTS

Avant le DNS, la résolution devait se faire grâce à un fichier texte appelé HOSTS, local à chaque ordinateur. Sous UNIX, il se trouve dans le répertoire /etc. Sous Windows, il se trouve par défaut dans %SystemRoot%\system32\drivers\etc.

Dans ce fichier, chaque ligne correspond à une adresse IP à laquelle peuvent être associés un ou plusieurs noms de domaine. Ce système pose un problème de maintenance car le fichier doit être recopié sur tous les ordinateurs du réseau. On ne peut pas non plus organiser hiérarchiquement les domaines. C'est pour résoudre ce problème que Paul Mockapetris a mis au point le DNS en 1983.

[modifier] Résolution et résolution inverse avec DNS

Avec DNS, la résolution se fait par l'intermédiaire d'un serveur. Quand un utilisateur souhaite accéder à un serveur web, par exemple celui de fr.wikipedia.org, son ordinateur émet une requête spéciale à un serveur DNS, demandant 'Quelle est l'adresse de fr.wikipedia.org ?'. Le serveur répond en retournant l'adresse IP du serveur, qui est dans ce cas-ci, 91.198.174.2.

Il est également possible de poser la question inverse, à savoir 'Quel est le nom de domaine ou quels sont les noms de domaines de telle adresse IP ?'. On parle alors de résolution inverse (inverse query) ou de PTR Lookup en référence à l'enregistrement DNS de type PTR.

Plusieurs noms de domaine peuvent pointer vers une même adresse IP et réciproquement.

[modifier] Technique du DNS Round-Robin

Lorsqu'un service génère un trafic important, celui-ci peut faire appel à la technique du DNS Round-Robin (en français tourniquet), qui consiste à associer plusieurs adresses IP à un nom de domaine. Les différentes versions de Wikipedia, comme fr.wikipedia.org par exemple, sont associées à plusieurs adresses IP : 207.142.131.247, 207.142.131.248, 207.142.131.235, 207.142.131.236, 207.142.131.245 et 207.142.131.246. Une rotation circulaire entre ces différentes adresses permet ainsi de répartir la charge générée par ce trafic important, entre les différentes machines, ayant ces adresses IP. Il faut cependant nuancer cette répartition car elle n'a lieu qu'à la résolution du nom d'hôte et reste par la suite en cache sur les différents resolvers (client DNS).

[modifier] Fully Qualified Domain Name

Les noms d'hôtes sont identifiés de manière unique grâce à leur FQDN (Fully Qualified Domain Name, ou Nom de Domaine Pleinement Qualifié). Ils ont le format hôte.domaine.tld. où hôte correspond au nom d'hôte de la machine et domaine.tld. au domaine auquel l'hôte appartient (tld signifie ici Top Level Domain, c'est-à-dire l'ensemble des domaines situés directement sous la racine -root .- comme .fr. .com. ou bien .org.). fr.wikipedia.org., par exemple, est composé du domaine générique org, du domaine déposé wikipedia et du nom d'hôte fr.

Le point final, facultatif dans la plupart des commandes, est indispensable dans le cas du DNS. En effet, soit une machine ayant pour FQDN machine.domaine.dom., la pinguer en utilisant la commande ping machine.domaine.dom ne pose pas de problème. Pourtant ce n'est pas le bon FQDN. Pinguer plutôt machine.domaine.dom. serait plus juste et fonctionne tout aussi bien (y compris dans les navigateurs web, taper http://fr.wikipedia.org ou http://fr.wikipedia.org. n'a aucune différence, l'implémentation de la pile TCP/IP se charge de rajouter le point dans la requête DNS nécessaire à la résolution de nom. L'oubli de ce point dans certaines versions de BIND peut au contraire causer de plus grosses conséquences. En effet, spécifier dans un fichier de zone (exemple celui de la zone domaine.dom.) que l'hôte machine.domaine.dom a pour adresse IP 1.2.3.4 (cf. enregistrement A) revient à spécifier que la machine a pour FQDN machine.domaine.dom.domaine.dom.

[modifier] Un système distribué

Il existe des centaines de milliers de serveurs DNS dans le monde entier. Chacun n'a en réalité à sa disposition qu'un ensemble d'informations restreint.

Quand un hôte a besoin de résoudre un nom de domaine, il doit connaître l'adresse IP d'un ou plusieurs serveurs de noms récursifs, c'est-à-dire qui vont éventuellement faire suivre la requête à un ou plusieurs autres serveurs de noms pour fournir une réponse. Les adresses IP de ces serveurs récursifs sont souvent obtenues via DHCP ou encore configurés en dur sur la machine hôte. Les Fournisseurs d'accès à Internet mettent normalement à disposition de leurs clients ces serveurs récursifs.

Quand un serveur DNS (par exemple, celui d'un fournisseur d'accès à Internet) doit trouver l'adresse IP de fr.wikipedia.org, une certaine communication s'instaure alors avec d'autres serveurs DNS. Tout d'abord, notre serveur demande à des serveurs DNS peu nombreux appelés serveurs racine quels serveurs peuvent lui répondre pour la zone org. Parmi ceux-ci, notre serveur va en choisir un pour savoir quel serveur est capable de lui répondre pour la zone wikipedia.org. C'est ce dernier qui pourra lui donner l'adresse IP de fr.wikipedia.org.

Pour optimiser les requêtes ultérieures, la plupart des serveurs DNS (et notamment ceux des Fournisseurs d'accès à Internet) font aussi office de DNS cache : ils gardent en mémoire la réponse d'une résolution de nom afin de ne pas effectuer ce processus à nouveau ultérieurement.

Un nom de domaine peut utiliser plusieurs serveurs DNS. Généralement, les noms de domaines en utilisent au moins deux : un primaire et au moins un secondaire. L'ensemble des serveurs primaire et secondaires font autorité pour un domaine, c'est-à-dire que la réponse ne fait pas appel à un autre serveur ou à un cache. Les serveurs des Fournisseurs d'accès à Internet fournissent des réponses qui ne sont pas nécessairement à jour, à cause du cache mis en place. On parle alors de réponse ne faisant pas autorité ((en)non-authoritative answer).

Pour trouver le nom de domaine d'une IP, on utilise le même principe. Dans un nom de domaine, la partie la plus générale est à droite : org dans fr.wikipedia.org. Dans une adresse ip, c'est le contraire : 213 est la partie la plus générale de 213.228.0.42. Pour conserver une logique cohérente, on inverse l'ordre des quatre termes de l'adresse et on la concatène au pseudo domaine in-addr.arpa. Ainsi, par exemple, pour trouver le nom de domaine de l'adresse IP 91.198.174.2, on résout 2.174.198.91.in-addr.arpa, qui est un pointeur vers rr.knams.wikimedia.org.

Cette architecture garantit au réseau Internet une certaine continuité dans la résolution des noms. Quand un serveur DNS tombe en panne, le bon fonctionnement de la résolution de nom n'est pas remis en cause dans la mesure où des serveurs secondaires sont disponibles. De plus, le DNS permet de mettre à jour l'adresse IP associée à un nom de domaine dans le monde entier facilement et assez rapidement (un délai de 48 heures est généralement suffisant, en fonction de la configuration du nom de domaine).

[modifier] Principaux enregistrements DNS

Les principaux enregistrements définis par un DNS sont :

• A record ou address record qui fait correspondre un nom d'hôte à une adresse IPv4 de 32 bits distribués sur quatre octets ex: 123.234.1.2 .
• AAAA record ou IPv6 address record qui fait correspondre un nom d'hôte à une adresse IPv6 de 128 bits distribués sur six octects .
• CNAME record ou canonical name record qui permet de faire d'un domaine un alias vers un autre. Cet alias hérite de tous les sous-domaines de l'original.
• MX record ou mail exchange record qui définit les serveurs de courriel pour ce domaine.
• PTR record ou pointer record qui associe une adresse IP à un enregistrement de nom de domaine, aussi dit "reverse" puisque il fait exactement le contraire du A record.
• NS record ou name server record qui définit les serveurs DNS de ce domaine.
• SOA record ou Start Of Authority record qui donne les informations générales de la zone : serveur principal, courriel de contact, différentes durées dont celle d'expiration, numéro de série de la zone.
• SRV record qui généralise la notion de MX record, standardisé dans la RFC 2782.
• NAPTR record ou Name Authority Pointer record qui donne accès à des règles de réécriture de l'information, permettant des correspondances assez lâches entre un nom de domaine et une ressource. Il est spécifié dans la RFC 3403.
• TXT record permet à un administrateur d'insérer un texte quelconque dans un enregistrement DNS. Par exemple, cet enregistrement était utilisé pour implémenter la spécification Sender Policy Framework.

• D'autres types d'enregistrements sont utilisés occasionnellement, ils servent simplement à donner des informations :
  • un enregistrement de type LOC indique l'emplacement physique d'un hôte (latitude et longitude).

[modifier] PTR record

A l'inverse d'une entrée de type A, une entrée PTR indique à quel nom d'hôte correspond une adresse IPv4. Si elle est spécifiée, elle doit contenir l'enregistrement inverse d'une entrée DNS A. Par exemple, cet enregistrement PTR :

51.51.51.62.in-addr.arpa IN PTR 3E333333.dslaccess.aol.com

Correspond à cette entrée A :

3E333333.dslaccess.aol.com IN A 62.51.51.51

[modifier] MX record

Une entrée DNS MX indique les serveurs SMTP à contacter pour envoyer un courriel à un utilisateur d'un domaine donné. Sous Unix on peut récupérer les entrées MX correspondant à un domaine à l'aide du programme host(1) (entre autres). Par exemple:

$ host -v -t MX wikimedia.org
[...]
;; QUESTION SECTION:
;wikimedia.org.                 IN      MX

;; ANSWER SECTION:
wikimedia.org.          3600    IN      MX      10 mchenry.wikimedia.org.
wikimedia.org.          3600    IN      MX      50 lists.wikimedia.org.

On voit que les courriels envoyé à une adresse en @wikimedia.org sont en fait envoyés au serveur mchenry.wikimedia.org. ou lists.wikimedia.org.. Le nombre précédant le serveur représente la priorité. Normalement on est censé utiliser le serveur avec la priorité numérique la plus petite. Ici, c'est donc mchenry.wikimedia.org. qui doit être utilisé en priorité avec une valeur de 10.

Les entrées MX sont rendues obsolètes par les entrées SRV qui permettent de faire la même chose mais pour tous les services, pas juste SMTP (le courriel). L'avantage des entrées SRV par rapport aux entrées MX est aussi qu'elles permettent de choisir un port arbitraire pour chaque service ainsi que de faire de la répartition de charge plus efficacement. L'inconvénient c'est qu'il existe encore peu de programmes clients qui gèrent les entrées SRV.

[modifier] NAPTR record

Peu répandus à l'heure actuelle (ils sont surtout utilisés par ENUM). Ils décrivent une réécriture d'une clé (un nom de domaine) en URI. Par exemple, dans ENUM, des enregistrements NAPTR peuvent être utilisés pour trouver l'adresse de courrier électronique d'une personne, connaissant son numéro de téléphone (qui sert de clé à ENUM).

[modifier] SOA record

Cet enregistrement permet d'indiquer le serveur de nom faisant autorité, un contact technique et des paramètres d'expiration. Ces paramètres sont dans l'ordre :

Serial 

indique un numéro de version pour la zone. Ce nombre doit être incrémenté à chaque modification du fichier zone. On utilise par convention une date au format yyyymmddhhmm

Refresh 

le nombre de secondes entre les demandes de mise à jour réalisées depuis le serveur secondaire ou les serveurs esclaves.

Retry 

le nombre de secondes que doivent attendre le serveur secondaire ou les serveurs esclaves lorsque leur précédente requête a échouée.

Expire 

le nombre de secondes après laquelle la zone est considérée comme gelée si le secondaire ou les esclaves ne peuvent joindre le serveur primaire.

Minimum 

utilisé pour déterminer la durée de vie minimum du fichier de zone.

Exemple d'une entrée SOA

maboite.com.   IN SOA  serveur.example.com contact.example.com (
                       200612301905  ;serial (version)
                       3600          ;refresh period
                       900           ;retry refresh this often
                       604800        ;expiration period
                       3600          ;minimum TTL
                       )

Les versions récentes de BIND (named) acceptent les suffixes M, H, D ou W pour indiquer un intervalle de temps en minutes, heures, jours ou semaines respectivement.

[modifier] Sécurité du DNS

Comme beaucoup de protocoles Internet, le DNS a été conçu sans se préoccuper de la sécurité. Il ne faut donc pas se fier au DNS pour arriver sur le bon serveur et c'est pour cela que des protocoles comme SSH font leur propre vérification (via la cryptographie). Les principales failles du DNS (décrites dans le RFC 3833) sont :

• Interception du paquet (requête ou réponse) et émission d'un autre paquet à sa place,
• Fabrication d'une réponse (les serveurs DNS acceptent trop facilement des réponses puisque seul un numéro de requête, très petit, sert d'authentification),
• Trahison par un serveur (le secondaire hors-site d'un domaine peut par exemple passer sous le contrôle de personnes malintentionnées) ou corruption de données,
• Empoisonnement du cache DNS
• déni de service (saturation du serveur par un grand nombre de requêtes simultanées).

[modifier] DNSSEC

Pour contrer ces vulnérabilités, le protocole DNSSEC a été développé.

[modifier] Voir aussi

• Dig
• DNS Black Listing
• Empoisonnement du cache DNS
• Hosts
• ICANN
• Les réseaux TCP/IP : un wikilivre de la bibliothèque du département informatique.
• Nslookup
• Protocole réseau passant difficilement les pare-feu
• Réseau (informatique)
• RFC
• Serveurs DNS Racine

[modifier] Liens externes

• (fr) DNS sur le site commentcamarche.net
• (fr) Petit cours sur le DNS sur le site « L'Internet Rapide et Permanent »
• (fr) Le HOWTO Linux sur DNS, complet et en français : Travail très intéressant pour cerner la notion de DNS avec Linux
• (fr) Sécurite et DNS  : Failles intrinsèques d'un protocole clef
• (fr) sebsauvage : DNS facile (et comment avoir son nom de domaine)
• (fr) Liste de serveurs DNS publics
• (fr) Auto-formation au DNS par l'AFNIC
• (fr) DNS dans tous ses détails
• (fr) Cours DNS[pdf]
• (en) RFC relatifs au DNS
• (en) Bonne explication des NAPTR par Nominet
• (en) Pour lancer des requêtes DNS / PTR avec un client basé web

• Portail de l’informatique