logo seela

Analyste SOC

Réseaux

Cours DNS (Domain Name System)

Protéger et Naviguer en Toute Sécurité : Le Pouvoir du DNS - Explorations en Cybersécurité

Découvrez l’importance cruciale du système de noms de domaine (DNS) dans la cybersécurité moderne avec notre cours intensif. Plongez dans les méandres du DNS pour comprendre son rôle central dans la navigation sur Internet et apprenez à le protéger contre les attaques malveillantes. Renforcez vos compétences en matière de sécurité en explorant les concepts clés du DNS, les vulnérabilités courantes et les meilleures pratiques pour garantir une navigation en ligne sécurisée. Rejoignez-nous dès maintenant pour maîtriser l’art de la protection et de la gestion du DNS, et devenez un expert en sécurité numérique.

75 min

4.8/5

4,8/5

dns logo

Sommaire

📡 DNS - Introduction

Le DNS (Domain Name System) trouve son utilité dans le fait que les utilisateurs préfèrent attribuer aux actifs des noms prononçables et faciles à retenir plutôt qu’une adresse IP plus difficilement mémorisable (notamment en IPv6), mais surtout susceptible de changer dans le temps.

Le DNS aide à diriger le trafic Internet en connectant les noms de domaine à des serveurs Web physiques. Il suffit de fournir dans sa requête, un nom de domaine valide et celui-ci est traduit en une adresse IP du serveur Web à atteindre, même chose pour l’obtention d’une adresse de messagerie.

Le rôle du DNS est de permettre la mise en correspondance des adresses physiques dans le réseau avec des adresses logiques.

Le DNS est un service de base de l’Internet sans lequel il serait difficile d’utiliser le Web.

Le DNS est une base de données répartie et décentralisée de noms uniques de domaine. Ainsi, le DNS est un système hiérarchique, redondant et distribué. Chaque site est maître de ses données.

Le DNS est aussi un protocole qui permet de :

  • Retrouver une adresse IPv4 ou IPv6 en fonction du nom de domaine
  • Réaliser la résolution inverse, nom en fonction de l’adresse IP 
  • Retrouver les adresses de relai de messagerie

Les noms de domaine sont insensibles à la casse.

Le DNS a été mis en place en 1984.

Les spécifications de DNS depuis 1983 ont beaucoup évolué. Les premières spécifications sont fondées sur [RFC 1034] et [RFC 1035] de 1987. 

Le [RFC 8499], paru en 2019, reformule et précise la terminologie DNS.

Le nom de domaine est un identificateur constitué d’un nommage arborescent avec une racine suivie d’un TLD (Top-Level Domain) ou domaine de tête (ccTLD pour country code Top-Level Domain) (par exemple : .fr, .org, .com, .net, …) suivi d’un domaine de deuxième niveau, d’un domaine de troisième niveau, etc. Le nombre de niveaux est limité à 127.

TLD

Examples :  fr.wikipedia.org, silicom.fr, gmail.com, nationalcrimeagency.gov.uk 

Le nombre de composants ou niveaux de domaine constituant un nom de domaine peut être quelconque.

Depuis 2009, la technique IDN (Internationalized Domain Name) ou noms de domaine internationalisés en Unicode permet aux personnes qui utilisent, en temps normal, des jeux de caractères accentués ou autres que ASCII (arabe, chinois, indien, etc.) d’utiliser l’internet dans leur langue. De même, les écritures de droite à gauche sont prises en compte en fonction de la langue utilisée sur l’écriture des noms de domaine.

Il est possible de se créer des serveurs en local pour avoir des TLD personnels mais ils n’auront qu’une utilité locale donc sans grand intérêt du point de vue de l’internet en général.

🌳 Arborescence du DNS

Arborescence du DNS

FQDN (Fully Qualified Domain Name) est un nom de domaine complet [RFC 819].

L’arborescence du DNS est constituée de nœuds. Un nom de nœud ne peut dépasser 255 caractères et chaque niveau est limité à 63 caractères. Le [RFC 1032] préconise de limiter cette longueur à 12 caractères. 

Dans un nœud, on trouve :

  • Les informations permettant de retrouver les nœuds fils
  • Les informations propres au nœud : liste des machines
  • Comme dans un répertoire : des sous-répertoires et des fichiers

Des noms de nœuds peuvent être identiques s’ils sont de domaines différents. La gestion de chaque nœud peut être réalisée par des entités différentes.

🌏 Écosystème DNS

    • Les bureaux d’enregistrement de noms de domaine.
  • Serveurs de la racine : Ils connaissent tous les TLD qui sont au nombre de 260. Ils sont au nombre de 13 répartis de par le monde. Le gouvernement des États-Unis a pris la main sur la racine en 1998. L’ICANN (Internet Corporation for Assigned Names and Numbers) s’occupe au quotidien de la gestion de la racine par délégation du gouvernement US.
  • Serveurs faisant autorité : serveurs DNS qui connaissent le contenu d’un domaine. Ce type de serveur comprend les TLD. Ainsi, il existe plusieurs registres de TLD comme Verisign pour .com, AFNIC (Association Française pour le Nommage Internet en Coopération) pour .fr, Afilias pour .org, … Chacun des serveurs faisant autorité établit sa propre durée de vie des enregistrements détenus.
  • Résolveurs de nom (aussi appelé DNS récursif) : serveurs DNS qui ne connaissent rien mais posent des questions aux serveurs faisant autorité et mémorisent leurs réponses.
  • Enregistrements DNS qui associent un domaine à un service Web.
  • Services Web hébergeant les sites Web. Un enregistrement de type A (IPv4) ou AAAA (IPv6) doit être ajouté aux serveurs de noms d’un domaine pour associer ce domaine aux serveurs Web qui hébergent le site Web.

Les bureaux d’enregistrement de noms de domaine

C’est le système RRR [registry (Le registre) -registar (Le bureau d’enregistrement) -registrant (Le titulaire du nom de domaine)].

Il existe aujourd’hui environ 400 bureaux d’enregistrement accrédités par l’AFNIC (gère le nom de domaine .fr) proposant l’achat de nom de domaine en .fr, .re, .yt, .pm, .wf et .tf.

Annuaire des bureaux d’enregistrement : https://www.afnic.fr/fr/votre-nom-de-domaine/comment-choisir-et-creer-mon-nom-de-domaine/annuaire-des-bureaux-d-enregistrement/ 

Tous les bureaux d’enregistrement de noms de domaines répertoriés ci-après prennent en charge l’authentification à 2 facteurs.

  • Cloudflare
  • Enom
  • GoDaddy
  • Google Domains
  • Hover
  • Name.com
  • Namecheap
  • OVH

Le maintien du nom de domaine est assujetti à une durée d’abonnement auprès du bureau d’enregistrement de noms de domaine souscrit. Les bases de registres et celles des bureaux d’enregistrement de noms de domaine peuvent être interrogées avec whois, RDAP (Registration Data Access Protocol).

Les TLD

Les domaines de premier niveau ou TLD (Top-Level Domain) sont gérés par l’ICANN sous lequel sont regroupés 2 ensembles :

  • gTLD (generic TLD) au nombre de 13 (regroupant environ 120 machines physiques) et qui appartiennent au domaine root-servers.net. Le serveur maître A.root-servers.net est géré par Verisign Global Registry Services, les autres serveurs sont des miroirs désignés sous le nom [B..M]. root-servers.net.
  • ccTLD (country code TLD) qui sont codés sur deux caractères conformément au code ISO 3166-1. La gestion en est confiée à des organismes régionaux (Registry) et la commercialisation à des organismes privés (Registrar) ou bureaux d’enregistrement.
Les domaines de premier niveau ou TLD (Top-Level Domain)

L’anycast, provenant d’IPv6, est une technique qui autorise plusieurs machines géographiquement dispersées à utiliser une même adresse IP. Ainsi, toute requête à destination d’une adresse anycast est acheminée vers le serveur faisant autorité le plus proche.

Le [RFC 3258] autorise la duplication des serveurs DNS. En conséquence pour un même serveur DNS racine plusieurs serveurs physiques peuvent être adjoints. Cette répartition diminue la charge de chaque machine physique, augmentant les performances ainsi que la résistance aux attaques de type DoS (Deny of Service) ou DDoS (Distributed DoS).

La technique du anycast rend obsolète la notion de localisation géographique des serveurs faisant autorité.

Un serveur constituant la racine (gTLD) est hébergé en France par SFINX (Service for French Internet eXchange) et éclaté en 2 lieux géographiques (Paris et Aubervilliers) pour redondance et géré par RENATER (Réseau national de télécommunications pour la technologie, l’enseignement et la recherche).

  • F.root-servers.net (zone Europe) maintenu par la société américaine ISC (Internet Systems Consortium).

📼 Les enregistrements DNS

Il existe plusieurs types d’enregistrements DNS :

  • NS (name) correspond au choix de la zone DNS active. Plusieurs zones DNS peuvent être enregistrées chez plusieurs bureaux d’enregistrement de noms de domaines.
  • ou AAAA : Utilisé pour faire pointer un domaine ou un sous-domaine vers une adresse IPv4 ou IPv6.
  • CNAME (canonical name) : Permettent d’associer un sous-domaine au domaine primaire ou canonique. Ce type de règle est couramment utilisé pour associer un sous-domaine www au domaine primaire, tel que www.silicom.fr avec silicom.fr.
  • MX (mail exchange) : Utilisés pour associer un domaine à un service de messagerie.
  • PTR (pointer) : associe une adresse IP à un enregistrement de nom de domaine. Il fait l’inverse de l’enregistrement A ou AAAA.
  • SOA (Start Of a zone of Authority) donne les informations sur la zone, dont un numéro de série versionnant la zone afin de savoir si les serveurs secondaires du domaine doivent se mettre à jour.
  • SRV (server) : serveurs du domaine pour une application donnée. Généralise MX record.
  • TXT : Permettent d’associer un champ texte à un domaine. Le plus souvent, les enregistrements TXT sont utilisés pour :
    • Le SPF (Sender Policy Framework) va mettre des règles pour l’envoi de mails. Par exemple, pour qu’un formulaire de contact transmette des mails vers un serveur, il faut dire au SPF que ce dernier autorise l’envoi.
    • Le TXT peut également prendre en compte une chaîne de caractère utile pour certains services web externe. L’exemple le plus récurrent est pour les entreprises qui proposent des solutions tierces. En effet, parfois pour pouvoir relier leurs solutions au site web, soit il faut mettre un fichier sur le FTP, soit il faut créer un enregistrement TXT, obligatoire dans les 2 cas pour prouver que nous sommes les propriétaires du site.
  • NAPTR (Name Authority Pointer Record) donne accès à des règles de réécriture de l’information, permettant des correspondances entre un nom de domaine et une ressource. [RFC 3403]
  • LOC (location) indique l’emplacement physique (longitude et latitude) d’un hôte. [RFC 1876]
  • HINFO (hardware information) est un enregistrement d’information qui comporte 2 éléments : Le premier élément est une information sur le matériel, et le second est une information sur le logiciel.
  • Glue records : Quand un domaine est délégué à un serveur de noms qui appartient à ce sous-domaine, il est nécessaire de fournir également l’adresse IP de ce serveur pour éviter les références circulaires.
    Ceci déroge au principe général selon lequel l’information d’un domaine n’est pas dupliquée ailleurs dans le DNS.

Dans ce cours ne sont listés que les principaux enregistrements DNS existants. A la vérité, ils sont très nombreux : Voir le lien https://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml section Resource Record (RR) TYPEs. 

⚖️ DNS payant versus gratuit

Les DNS payants offrent, bien évidemment, des fonctionnalités que n’offrent pas les DNS gratuits :

  • Une vitesse accrue dans la résolution du nom de domaine même si c’est de l’ordre de quelques millisecondes
  • Une fiabilité accrue
  • Une meilleure sécurité
  • Une meilleure disponibilité, notamment sur attaque telle que DDoS (Distributed Deny of Service)

🎬 Conclusion

Le système DNS est indispensable pour le bon fonctionnement de l’Internet car sans lui plus rien ne fonctionne ou presque.

La distribution se fait par le nom de domaine et non par adresse IP, et même si cela fonctionne pour la page d’accueil du site Web à consulter, ou si le serveur qui héberge l’application Web à consulter possède plusieurs applications, alors on aura une page par défaut et dès le premier clic sur un lien de ce site, on retombe sur la problématique du lien contenant un nom de domaine à résoudre.

Le DNS est l’une des plus grandes bases de données répartie de par le monde.

Envie d’aller plus loin sur le DNS ?

Commencez votre formation en cybersécurité !

Lancez votre carrière en cybersécurité et formez-vous au métier qui vous correspond. Notre plateforme en ligne vous permet de vous entraîner à votre rythme pour une montée en compétences rapide et efficace.

100% en ligne

Théorie & Pratique

Personnalisé par niveau

Commencez votre formation en cybersécurité

Formation

Carrière

Cybersécurité

100% en ligne

Donnez un nouveau souffle à votre carrière avec nos formations cybersécurité

Le DNS est un système de noms de domaine qui permet de traduire les noms de domaine (comme exemple.com) en adresses IP compréhensibles par les machines.

Le DNS est essentiel pour la navigation sur Internet, car il facilite la résolution des noms de domaine en adresses IP, permettant ainsi aux utilisateurs d’accéder aux sites web en utilisant des noms faciles à retenir.

 Les types d’enregistrements DNS courants incluent A (adresse IP), CNAME (alias), MX (serveur de messagerie), NS (serveur de noms), et TXT (texte).

Lorsqu’un utilisateur saisit un nom de domaine dans son navigateur, le système envoie une requête DNS pour résoudre le nom en une adresse IP. Cette requête est envoyée à un serveur DNS qui recherche l’enregistrement correspondant et renvoie l’adresse IP associée.

Les principales menaces pour la sécurité du DNS incluent le détournement de DNS, le cache poisoning, le DNS spoofing et les attaques DDoS visant les serveurs DNS.

Pour protéger le DNS, il est recommandé d’utiliser des serveurs DNS sécurisés, de mettre en place des pare-feu pour bloquer les requêtes DNS suspectes, de mettre à jour régulièrement les logiciels DNS et de surveiller les activités anormales.

Les bonnes pratiques pour la configuration du DNS comprennent l’utilisation de mots de passe forts pour les comptes d’administration DNS, la limitation des autorisations d’accès, la mise en place de la journalisation et de la surveillance, ainsi que la mise à jour régulière des enregistrements DNS.

icon lockcadenas

Contenu réservé aux abonnés

Accéder au cours complet en vous inscrivant et commencez votre formation cybersécurité !

  • Plus de 700h de contenu disponible
  • 6 parcours de formation
  • Parcours certifiants
  • 100% en ligne et autonome

Mail

information@seela.io