DNS

DNS – Domain Name Server – Serveur affectant à une machine un nom de domaine validé par le centre
d’informations du segment Internet Local (NIC) « Raison_sociale.fr » devient ainsi un nom réservé.
Système de base de données réparties assurant la correspondance d’un nom et d’une adresse Internet
(adresse IP). C’est un serveur qui traduit une adresse de la forme nom.domaine.organisation en adresse IP
compréhensible par les équipements de réseau.
Le Système de Noms de Domaine est un élément clé d’Internet, fournissant un mécanisme pour résoudre les
noms d’hôte en adresses IP.
Le système DNS peut être vu comme l’élément à la fois vital pour Internet (plus de cinquante RFCs décrivent
son fonctionnement) et à la fois décentralisé; DNS a été développé avec un esprit d’ouverture, ses premières
implémentations furent open source (BIND) et est maintenant sous la direction de l’ISC (Internet Software
Consortium) pour les serveurs de noms et l’ICANN pour l’attribution des Top Level Domain (TLD) comme
.com alors que l’attribution des noms de domaine est déléguée aux registrars.
DNS joue un rôle critique dans le bon fonctionnement de l’infrastructure d’Internet en fournissant un
mécanisme robuste et distribué de résolution des noms d’hôtes Internet en adresses IP et des adresses IP
en noms. On verra que DNS supporte également d’autres fonctionnalités de recherche pour rapatrier des
informations des serveurs de noms DNS, noms canoniques, etc. Malheureusement, de nombreux problèmes
de sécurité affectent IP et les protocoles qu’il véhicule. La véracité des informations contenues dans le
système DNS est critique pour de nombreux systèmes de communication basés sur IP.
Les RFC 882 et 883 jettent les bases de ce qu’on appelle actuellement le Système de Nom de Domaine
(DNS). Ces RFC sont aujourd’hui remplacées par les RFC 1034 et 1035 auxquelles viennent s’ajouter un
certain nombre de mises à jour.
Les serveurs de noms :
Les informations sur les domaines sont accessibles via des serveurs de noms, on dit qu’un serveur a
l’autorité sur une certaine information si celle-ci est contenue dans son fichier zone. Mais pour faciliter
l’administration, sécuriser et répartir la charge du trafic, on a mis au point un système de redondance de
l’information grâce à l’utilisation de serveurs maîtres primaires et secondaires (ou encore esclaves). Les
serveurs secondaires possèdent les mêmes données sur la zone et ont le même niveau d’autorité sur
l’information que les serveurs primaires. La seule différence vient de la manière dont elles reçoivent cette
information. En effet, le serveur maître primaire met à jour ses informations de zone localement par la
modification « en dur « de son fichier zone (intervention humaine), alors que le serveur maître secondaire
quant à lui obtient les mises à jour du fichier zone via une opération que l’on nomme transfert de zone. Il
contacte donc régulièrement un serveur primaire et vérifie si son fichier zone est à jour, sinon il le télécharge
sans intervention humaine.
Il existe deux autres types de serveurs, les serveurs cache et les serveurs forwarder. Les serveurs cache ne
possèdent d’autorité sur aucun domaine, mais se contentent de rechercher des informations pour les
programmes resolver et les placent en mémoire cache. Au fur et à mesure que l’on va les interroger sur des
noms de domaine, ils vont augmenter la taille de leur fichier de cache et ainsi répondront plus rapidement
aux requêtes les plus demandées. Un serveur cache suit les mêmes procédures de résolution de nom à cela
qu’il ne consulte jamais son fichier de zone vu qu’il ne possède d’autorité sur aucune zone. La première
recherche pour une zone l’amènera donc finalement vers un serveur primaire ou secondaire qui fait autorité
sur cette zone.
Les serveurs forwarder servent à limiter le trafic vers l’extérieur du réseau, pour des raisons de coût pour la
plupart du temps. En effet, ils agissent comme des serveurs cache pour toutes les informations concernant
des requêtes externes. Donc, un serveur qui ne possède pas d’informations dans son fichier de zone ou
dans son cache, transmettra directement sa requête au forwarder, celui-ci va donc se bâtir une grande
mémoire cache sur les données les plus demandées et n’appartenant pas à la zone. Les requêtes faites à un
forwarder sont toutes récursives et demandent donc une réponse complète.
Le fichier zone
Le fichier zone est un fichier de base de données qui contient toutes les informations sur une zone pour un
groupe de serveurs (primaire et secondaire) qui fait autorité sur cette zone. C’est un fichier texte, facilement
consultable et modifiable. Il peut être organisé différemment en fonction du DNS utilisé mais conserve une
structure plus ou moins identique. On peut séparer quatre parties distinctes :

• Les options,

• L’enregistrement SOA qui définit la zone d’autorité,

• Les informations de serveurs de noms,

• Les informations de la zone.

Formatage des enregistrements :
La plupart des enregistrements se présentent de la façon suivante : <nom d’hôte/domaine> <classe de
réseau> <type d’information> <TTL> <information>
Dans le protocole officiel du DNS (issu des RFC), la comparaison entre les chaînes de caractères se fait
sans tenir compte de la casse. Dans les différentes normes, il est possible d’utiliser des notations en
commentaire pour améliorer la compréhension du fichier de zone par l’administrateur.
Le TTL (Time To Live) représente la durée de vie de l’information récupérée auprès d’un serveur. Lorsque ce
délai est écoulé, l’information ne doit plus être considérée comme valide, et donc supprimée de la mémoire
cache. Cela permet un rafraîchissement régulier des informations en mémoire et ainsi de prendre en compte
les modifications des fichiers de zones. La valeur du TTL doit être choisie judicieusement. Il faut établir un
bon compromis entre un délai ni trop court, qui obligerait à aller chercher cette information régulièrement et
encombrerait le réseau, et ni trop long, car la cohérence du réseau ne serait alors plus assurée. Si cette
valeur n’est pas spécifiée dans un enregistrement, il faut prendre celle par défaut du SOA (voir plus bas).
Start Of Authority (SOA)
L’information de l’enregistrement SOA est la plus importante du fichier zone. Elle indique que ce serveur
détient l’autorité sur cette zone et possède donc les informations les plus complètes sur cette partie du
domaine. Pour chaque fichier zone, il doit y avoir un enregistrement SOA , quelque soit le nombre de zone
sur lequel le serveur fait autorité. Cet enregistrement contient trois types d’informations : le nom du domaine,
le nom des serveurs de noms, et un ensemble de compteurs de validité.
Pour compléter le champ SOA, suivent cinq valeurs décimales. Elles indiquent différents compteurs d’états et
de rafraîchissement. La première valeur représente le numéro de série du fichier de zone. C’est ce numéro
qui est pris en compte lors des transferts de zone pour savoir si un fichier a été mis à jour et doit être
remplacé sur les serveurs secondaires. La valeur et le style d’incrémentation sont laissés à l’appréciation du
l’administrateur du domaine.
La deuxième valeur indique le délai de rafraîchissement du fichier de zone pour les serveurs secondaires. De
cette valeur dépend donc la cohérence de l’information dans la zone, mais il faut aussi veiller à ne pas mettre
un temps trop court pour éviter au serveur maître d’être surchargé par des messages de test de mise à jour.
Cette valeur dépend bien évidemment de la fréquence de mise à jour du domaine. Si l’on ne rajoute pas
souvent de machine, on peut se contenter d’un délai de quelques jours, mais il ne faut pas alors s’attendre ce
que les modifications soient rapidement prises en compte.
La troisième valeur indique le temps qu’un serveur secondaire va attendre avant de recontacter le serveur
primaire si celui-ci ne répond pas lors d’un rafraîchissement. Cette valeur devrait être inférieure à celle du
rafraîchissement, mais cela n’est pas une obligation.
La valeur suivante est celle de l’obsolescence de l’information. Si le serveur n’arrive pas à contacter un
serveur maître avant cette durée, on considère que les données qu’il possède sont trop anciennes et plus à
jour. Le serveur arrête tout simplement ses fonctions. Mieux vaux une rupture de service que de propager
des informations erronées qui pourraient entraîner le chaos dans le réseau. Cette durée doit être supérieure
à celle du rafraîchissement, sinon le serveur esclave s’arrête systématiquement à chaque mise à jour.
La dernière valeur est celle du Time to live des informations fournies pas le serveur. C’est la valeur par
défaut qui est donnée si celle-ci n’est pas précisée dans l’enregistrement. Au bout de ce temps l’information
fournie n’est plus valide, le serveur doit l’effacer de sa mémoire cache, et devra recommencer une recherche
si on lui redemande.
Les serveurs de noms :
Les informations qui suivent le champ SOA indiquent la liste des serveurs de noms en activité. On a vu
précédemment que pour s’assurer une plus grande marge de sécurité, il vaut mieux posséder plusieurs
serveurs de noms. Rien n’empêche un même serveur d’avoir l’autorité sur plusieurs zones. Mais dans ce cas
il faudra un fichier par zone, chacun commençant par un enregistrement SOA différent.
Une bonne stratégie pour le choix d’un serveur de noms est d’utiliser une machine possédant des liens sur
plusieurs réseaux. De cette façon, si un des réseaux tombe, pour une quelconque raison, le serveur de noms
est toujours disponible, via au moins un autre chemin. La syntaxe est la suivante pour définir des serveurs de
noms : <nom de domaine> <classe> NS <nom de machine>
Les différents types d’information
La partie suivante va décrire les différents types d’informations que l’on trouve généralement dans les bases
de données des serveurs de noms. Il faut se rappeler que le DNS est avant tout un système de partage et de
diffusion de l’information, et qu’en théorie il pourrait contenir tout type d’information.
Enregistrement d’adresse (A) : C’est l’enregistrement le plus utilisé dans le DNS. Il fournit tout simplement
l’adresse IP d’une machine à partir de son nom. Une machine peut posséder plusieurs adresses IP
distinctes, dans ce cas, elles seront toutes fournies en même temps si on fait une demande d’adresse de la
machine. Certains serveurs possèdent une fonction de tri d’adresse, en cas de plusieurs champs d’adresses
fournis pour une même machine, le serveur renverra en priorité celle qui est la plus proche du réseau
demandeur. La syntaxe est la suivante : <nom de machine> IN A <adresse IP de la machine>
Enregistrement d’alias (CNAME) : Les Alias permettent de donner de fournir des noms supplémentaires à
des machines : d’ajouter un nom logique à un nom canonique (Canonical NAME). Ceci peut être utile pour
des entreprises qui n’ont pas les moyens de posséder un parc informatique important, mais veulent en
donner l’illusion. Syntaxe : <nom d’alias> IN CNAME <nom de machine>
Une astuce classique consiste, pour l’administrateur du réseau, lorsque l’on a une machine qui possède
plusieurs interfaces (adresses réseaux) à créer autant d’alias qu’il existe d’adresses, un pour chaque
interface. Ainsi chaque interface sera accessible, mais cela uniquement pour des soucis d’administration.