DNS et serveurs de noms : Comment cela fonctionne ?

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher
Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet

Les DNS (Domain Name System) est un protocole et une infrastructure importante d'internet.
Le fonctionnement générale n'est pas très compliqué, une fois compris.

Dans cet article, vous trouverez la description générale du fonctionnement des serveurs DNS sur internet.
Qu'est-ce que les DNS ? A quoi servent-ils ? comment changer les DNS ?

DNS et serveurs de noms : Comment cela fonctionne ?
DNS et serveurs de noms : Comment cela fonctionne ?

Qu'est-ce que les DNS ou serveurs de noms

Le DNS est un protocole qui se charge d'effectuer la correspondance entre les adresses littérales et adresses IP.
Cela permet donc de connaître l'adresse IP d'une adresse en lettre et inversement.
Par exemple, pour connaître l'adresse IP de www.malekal.com, on procède à une résolution.
D'où le nom Domain Name Service puisque c'est un service qui retourne les noms de domaines et adresse IP.

En résumé, le DNS fait correspondre un domaine à son adresse IP et inversement.

La plupart des applications, que ce soit votre navigateur internet ou jeux en ligne possèdent des adresses enregistrées.
Des interrogations ont donc lieu constamment pour récupérer l'adresse IP et permettre la connexion aux serveurs DNS.

Par défaut, la connexion internet utilise les serveurs de noms du fournisseur d'accès.

Si la résolution n'est pas possible sur un ordinateur, vous rencontrez énormément de problème de connexion.
Sur Google Chrome, cela peut se traduire par l'erreur DNS_PROBE_FINISHED_NXDOMAIN

Exemple ci-dessous d'une résolution où on récupère l'adresse IP de l'adresse www.malekal.com :

A quoi servent les DNS ?

Comment fonctionnent les DNS (serveurs de noms)

Dans la requête précédente, l'ordinateur interroge les serveurs configurés dans la connexion internet afin d'obtenir l'adresse IP.

Résolveurs et Autorité

Le fonctionnement du protocole repose sur des serveurs qui répondent "aux questions" posés par les équipements sur internet.
Il existe en réalité deux type de serveur DNS : Les résolveurs et les autorités.

DNS d'autorité

Les DNS d'autorités font autorité sur un domaine, on parle alors de zone DNS.
Tout domaine possède donc des serveurs DNS où le propriétaire peut créer toute sorte d'adresse.
On peut récupérer leurs adresses en utilisant la commande whois.

Ci-dessous, on peut voir que pour le domaine malekal.com, les serveurs d'autorité sont ceux de GANDI qui est aussi le registrar du domaine.
La plupart du temps, on utilise les serveurs du registrar car ce dernier fournit tout ce qu'il faut pour gérer les déclarations.
Toutefois, il est tout à fait possible d'en utiliser d'autres et même son propre serveur.

Les DNS d'autorités

A partir de là, le propriétaire du site peut déclarer n'importe quel adresse sur ce domaine.
On pourrait tout à fait déclarer toto.malekal.com en le faisant pointer sur l'adresse IP de notre choix.

DNS Résolveurs

Ce sont les serveurs déclarés dans la connexion internet et qui sont utilisés lorsqu'un client souhaite effectuer des résolutions DNS.
En règle générale, on utilise les serveurs du fournisseur d'accès, une liste des serveurs des fournisseurs d'accès français est disponible sur cette page : Liste DNS des FAI
Mais on peut utiliser des résolveurs publiques comme Google, CloudFlare etc.
Il faut impérativement que le résolveur soit proche de l'ordinateur qui émet la requête, sinon le temps de réponse sera mauvais et la vitesse de connexion internet peut s'en ressentir.

Les CDN (hébergeur de contenu) utilisé par les grands sites internet peuvent aussi être aiguiller par les DNS résolveurs.
Par exemple, un ordinateur avec un serveur en Colombie ne donnera pas la même adresse IP, qu'un en France.

La résolution DNS en détails

Maintenant, que se passe-t-il lorsque une application sur votre ordinateur demande l'adresse IP d'un site ?
Voici les étapes lors d'une résolution de noms complètes :

  1. Si l'adresse n'est pas présente dans le cache DNS du système d'exploitation : Il interroge le résolveur.
  2. Si l'adresse est en cache dans le serveur DNS résolveur, le résultat est retourné sinon ce dernier interroge les serveurs racines afin d'obtenir les serveurs DNS d'autorité.
    1. Plus en détail, on interroge le serveur racine pour obtenir le serveur racine du TLD (serveur racine du .com, serveur racine .org, etc).
    2. Puis on interroge le serveur racine du TLD pour obtenir les serveurs d'autorités.
  3. Une fois les serveurs DNS d'autorité obtenu, le serveurs DNS résolveur interroge ces derniers pour obtenir l'adresse IP.
  4. L'adresse IP est retournée à l'ordinateur qui a émis la requête initiale.
Schéma d'une résolution DNS

Les caches

Pour maximiser les réponses, il existe beaucoup de cache afin de ne pas répéter les interrogations.
En effet cela pourrait aussi encombrer internet ou les serveurs.
De ce fait, les étapes sont la plupart du temps réduites à ordinateur > DNS résolveurs voire même aucune interrogation si l'adresse est déjà en cache.
Sur Windows, on peut afficher le cache DNS avec la commande ipconfig depuis l'invite de commandes :

ipconfig /displaydns
ipconfig permet d'afficher les DNS

Port et protocole

D'un point de vue réseau, les requêtes DNS se font sur le port 53 en UDP.
Ce protocole n'est pas chiffré et les requêtes se font en clair sur le réseau.
Il est donc tout à fait possible de voler des données à travers des attaques Attaque Man in the Middle (MITM).

Chiffrer les connexions DNS

Les clients DNS sur Windows et Linux

Les deux OS proposent des outils en ligne de commandes pour effectuer des résolutions : nslookup et dig.

L'article suivant présente ces deux outils avec les commandes les plus utiles.

Problèmes et erreurs DNS

Parfois on peut rencontrer des problèmes de résolutions DNS.
En général, des erreurs DNS s'affichent.
Pour diagnostiquer et résoudre, un article complet existe sur le site :

Sécurité des DNS (DoH, DNSSec) et attaques

Par défaut, les requêtes ne sont pas chiffrées, ni authentifiée.
Cela implique deux choses :

  • Un attaquant peut les voir et donc savoir ce que vous faites
  • Il peut aussi les manipuler

Cela à travers des attaques man in the middle.

Ainsi il existe des protocoles qui permettent de sécuriser les requêtes DNS.

  • DNS-over-TLS ou DNS-over-HTTPS — Apporte le support qui permet le chiffrement des requêtes, toutefois, celle-ci peut révéler le site que vous visitez.
  • DNSCrypt : un autre protocole qui permet de chiffrer les connexions DNS.
  • DNSSEC — Permet d’authentifier les requêtes afin de les sécuriser.
  • DNS Over HTTPS (DoH) : Il s'agit d'utiliser le protocole HTTPS pour effectuer des requêtes . On bénéficie alors des avantages de ce dernier. Mozilla Firefox le support par défaut.

Pour plus d'informations :

Mais ils ne sont encore que très peu utilisés.
Pour plus d'informations sur les aspects de sécurité, lire notre article :

DNS Menteur et malwares

Ce procédé consiste à retourner une adresse IP erronée afin de falsifier le résultat.
Cela peut permettre des redirections lors de la consultation d'un site internet par exemple.
Ces méthodes sont en général utilisées pour filtrer l'accès à des sites internet.
Plusieurs cas :

  • On l'utilise pour filtrer les publicités ou contrôle parental. Par exemple, OpenDNS l'utilise pour filtrer l'accès à un site connu pour être malveillant ou pour du filtrage de contrôle parental.
  • Un gouvernement pour filtrer l'accès à un site internet

Mais on parle souvent de menteurs pour les gouvernements.
Ces derniers forcent les fournisseurs d'accès à bloquer l'accès au site en modifiant les résultats sur les serveurs.
En France, on utilise ce procédé pour bloquer les sites terroristes.
Voici un article plus complet :

Enfin ils sont aussi une cible des logiciels malveillants qui peut permettre des redirections vers des sites publicitaires ou phishingTrojan.DNSChanger 

Le pistage par DNS Cookies

Enfin on peut utiliser ce protocole pour pister les internautes à travers des cookies.
L'article suivant explique le fonctionnement de ce pistage :

La vitesse de résolutions de noms

Il existe une forte concurrence entre les fournisseurs de serveurs publiques.
Ainsi on peut vendre ces solutions comment étant plus rapides.
Mais le but est surtout au final de pister l'internaute.

Quelques liens autour de ces serveurs de noms publiques :

Enfin il existe une page spécifique concernant la vitesse des serveurs :

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article DNS et serveurs de noms : Comment cela fonctionne ? mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum