Menu Fermer

La hiérarchie DNS : serveurs DNS racines, d’autorité et DNS récursifs et itératives

Lorsque l’on s’intéresse au fonctionnement du DNS, on peut entendre parler de la hiérarchie DNS.
Notamment des serveurs DNS racines, serveurs de domaine de premier niveau (serveurs d’autorité) et DNS récursifs et itératives.

Mais quelle est la hiérarchie DNS ? quels sont les différents types de serveurs DNS ? Quels sont leurs rôles ?

Ce tutoriel réponds à tout ces questions autour du Domain Name Server (DNS) en vous donnant l’architecture DNS.

La hiérarchie DNS : serveurs DNS racines, d'autorité et DNS récursifs et itératives

Quelle est la hiérarchie DNS ?

L’architecture DNS se compose d’un système de résolution de nom hiérarchique et décentralisé pour les ordinateurs, les services ou toute autre ressource connectée à Internet ou à un réseau privé. Il stocke les différentes informations associées des noms de domaine attribués à chacune des ressources.

La hiérarchie DNS repose sur plusieurs niveaux qui peuvent intervenir lors d’une résolution DNS :

  • Tout en haut : Les serveurs DNS racines
  • Puis en dessous les serveurs de domaine de premier niveau
  • Au niveau intermédiaire les serveurs DNS de second niveau
  • Puis les DNS récursifs et itératives
La hiérarchie DNS : serveur DNS racine, serveur de domaine de premier niveau, serveur d'autorité, résolveur DNS du FAI

Les serveurs DNS racines

Les serveurs DNS racines stocke les informations de la zone racine qui contient tous les noms et adresses IP de tous les domaines de niveau supérieur (TLD).
En anglais, ils se nomme root DNS servers.

Sans eux, le DNS ne pourrait pas fonctionner dans sa forme actuelle.
En effet, la résolution DNS des TLD ne pourraient se faire, car on ne pourrait trouver l’adresse de ces derniers.
Chacun de ces serveurs de noms racine contient une copie identique du fichier de zone racine qui peut être mise à jour de temps à autre – par exemple lorsque le TLD responsable du nom de domaine est modifié.

Actuellement, il existe 13 serveurs DNS racines dont une grande majorité se trouvent aux USA.

Serveurs DNS racinesAdresse IPv4Adresse IPv6Opérateur
A198.41.0.42001:503:ba3e::2:30VeriSign
B192.228.79.2012001:478:65::53USC-ISI
C192.33.4.122001:500:2::cCogent Communications
D199.7.91.132001:500:2d::dUniversity of Maryland
E192.203.230.10 NASA
F192.5.5.2412001:500:2f::fISC
G192.112.36.4 U.S. DoD NIC
H128.63.2.532001:500:1::803f:235US Army Research Lab
I192.36.148.172001:7FE::53Autonomica
J192.58.128.302001:503:c27::2:30VeriSign
K193.0.14.1292001:7fd::1RIPE NCC
L199.7.83.422001:500:3::42ICANN
M202.12.27.332001:dc3::35WIDE Project
Les serveurs DNS racines

Les serveurs DNS de domaine de premier niveau (TLD)

Ces serveurs DNS stockent les informations d’enregistrement des domaines de premier niveau.
Il s’agit des terminaisons des domaines .com, .net, .fr, .biz, .tv, etc.
Il existe environ 1,500 TLDs sur internet autorisé par L’IANA : Liste des domaines Internet de premier niveau
Chaque domaine de premier niveau est géré par une organisation qui est chargée d’allouer ses sous-domaines.

On distingue plusieurs types de premier niveau de domaine :

  • un domaine de premier niveau spécial (.arpa) ;
  • des domaines de premier niveau nationaux (en anglais, country-code top-level-domains ou ccTLD);
  • des domaines de premier niveau internationalisés
    • des domaines de premier niveau nationaux internationalisés (en anglais, internationalized country code top-level domains ou IDN ccTLD),
    • des domaines de premier niveau internationalisés de test ;
  • des domaines de premier niveau génériques (en anglais, generic top-level-domains ou gTLD)
    • des domaines de premier niveau parrainés (en anglais, sponsored top-level-domains ou sTLD),
    • des domaines de premier niveau non parrainés.

Les serveurs DNS d’autorité

Les DNS d’autorités font autorité sur un nom de domaine internet.
Tout domaine possède donc des serveurs DNS où le propriétaire peut créer toute sorte d’adresse comme www.malekal.com, forum.malekal.com ou pjjoint.malekal.com.
Ainsi, le propriétaire du domaine peut gérer sa zone DNS.

On peut récupérer les serveurs DNS d’autorité d’un domaine en utilisant la fonction de whois.

Ci-dessous, on peut voir que pour le domaine malekal.com, les serveurs d’autorité sont ceux de GANDI qui est aussi le registrar du domaine.
La plupart du temps, on utilise les serveurs du registrar car ce dernier fournit tout ce qu’il faut pour gérer les déclarations.
Toutefois, il est tout à fait possible d’en utiliser d’autres et même son propre serveur.

Les DNS d'autorités

A partir de là, le propriétaire du site peut déclarer n’importe quel adresse sur ce domaine.
On pourrait tout à fait déclarer toto.malekal.com en le faisant pointer sur l’adresse IP de notre choix.

DNS récursifs ou itératives

Ce sont les serveurs DNS configurés dans la connexion internet de l’appareil et qui sont utilisés lorsqu’un client souhaite effectuer des résolutions DNS.
Ils interrogent les serveurs d’autorités pour fournir répondre à la demande du client.
La plupart des interrogations sont mises en cachent afin de soulager les serveurs d’autorité du domaine.

En règle générale, on utilise les serveurs du fournisseur d’accès, une liste des serveurs des fournisseurs d’accès français est disponible sur cette page : Liste DNS des FAI
Mais on peut utiliser des résolveurs DNS publiques comme Google, Cloudflare, etc.
Ou encore on peut utiliser son propre serveur DNS par exemple avec un serveur dédié avec bind ou pihole.
Il faut impérativement que le résolveur soit proche de l’ordinateur qui émet la requête, sinon le temps de réponse sera mauvais et la vitesse de connexion internet peut s’en ressentir.

Les CDN (hébergeur de contenu) utilisé par les grands sites internet peuvent aussi être aiguiller par les DNS résolveurs.
Par exemple, un ordinateur avec un serveur en Colombie ne donnera pas la même adresse IP, qu’un en France.