Parfois, un site web ou une application ne fonctionne pas correctement en raison de problèmes de résolution de DNS, liés notamment à des enregistrements DNS mal configurés, de la latence ou des attaques malveillantes.
Cet article s'articule autour des points suivants :
Copier le lien de l'article
Le Domain Name System (système de noms de domaine), ou DNS, associe les noms de domaine aux adresses IP afin de permettre aux utilisateurs d'utiliser des applications web sans avoir à mémoriser des adresses réseau précises. Le DNS est également utilisé pour stocker de nombreuses autres informations associées à un domaine (par exemple, où diriger les e-mails). Le DNS peut engendrer des problèmes s'il n'est pas configuré correctement, si des attaquants le ciblent ou si d'autres problèmes techniques surviennent. Vous trouverez ci-dessous une vue d'ensemble de certains des problèmes de résolution de DNS les plus courants auxquels les administrateurs de site web sont susceptibles d'être confrontés.
Il peut arriver que les enregistrements DNS d'un domaine soient mal configurés. Si le domaine est mal orthographié dans les enregistrements, si l'enregistrement comporte une mauvaise adresse IP ou si d'autres informations essentielles sont absentes ou erronées, le DNS ne pourra probablement pas être résolu.
En plus de ces erreurs de base, plusieurs types d'enregistrements DNS sont associés à un domaine. Les problèmes au niveau de ces enregistrements peuvent provoquer des erreurs DNS. Par exemple, un domaine peut avoir un enregistrement A, mais sans un enregistrement AAAA, ce qui fait que la résolution DNS échoue initialement pour les clients qui utilisent IPv6. Ou, si le client essaie de joindre un autre domaine (par exemple, « blog.example.com » au lieu de « www.example.com »), l'enregistrement CNAME du domaine peut ne pas pointer vers le bon endroit.
Pour corriger cette erreur, les administrateurs de site doivent vérifier les enregistrements DNS de leur fournisseur d’hébergement ou du tableau de bord de leur fournisseur de service DNS et s’assurer qu’il n’y a aucune erreur. Les enregistrements DNS doivent ensuite être récupérés par les résolveurs DNS (les serveurs qui répondent aux requêtes DNS ) pour que les versions figurant dans le système soient les plus récentes. Tant que la durée de vie n'est pas trop longue (voir ci-dessous), l'opération ne doit pas prendre trop de temps.
Tous les enregistrements DNS sont associés à une durée de vie*, qui correspond au nombre de secondes pendant lesquelles un serveur peut considérer que l'enregistrement est valide avant de devoir formuler une nouvelle requête afin d'obtenir une mise à jour. Concrètement, la durée de vie est comme une « date limite de consommation » sur un produit alimentaire emballé : les enregistrements sont considérés comme utilisables jusqu'à la fin de la durée de vie.
Si la durée de vie définie est trop longue, les serveurs attendent trop longtemps pour vérifier l'existence d'une mise à jour des enregistrements DNS. Cela signifie que toutes les modifications se propageront très lentement dans le système de noms de domaine. Les navigateurs peuvent essayer d'atteindre des sites à la mauvaise adresse IP si les enregistrements DNS ont été mis à jour pour un domaine, mais qu'ils n'ont pas reçu les mises à jour.
Pour éviter ce problème de résolution de DNS, veillez à ce que les durées de vie ne soient pas trop longues : en général, la valeur maximale absolue est 86400 (comptée en secondes, ce qui équivaut à 24 heures), mais la plupart des durées de vie sont beaucoup plus courtes (6 heures ou moins). La durée de vie exacte d'un enregistrement doit dépendre de la fréquence et de la rapidité auxquelles cet enregistrement est prévu à l'avenir. (Voir les informations sur la durée de vie pour les enregistrements DNS Cloudflare.)
De plus, certains résolveurs DNS permettent aux administrateurs de domaine de forcer un rafraîchissement de leur cache pour un domaine - vous pouvez le faire pour le résolveur 1.1.1.1 de Cloudflare ici. Toutefois, cette approche ne nécessite pas de purger l'intégralité des caches de tous les résolveurs à travers le monde. Cela ne dispense pas d'une définition correcte des durées de vie.
*La durée de vie est également appliquée dans d'autres domaines de la connectivité réseau, tels que le routage et la mise en cache.
Les attaques par déni de service distribué (Distributed denial-of-service, DDoS) visent à faire exactement ce que leur nom l'indique : refuser le service. Les attaques DDoS bombardent la cible de trafic indésirable afin que les utilisateurs légitimes ne puissent pas utiliser le service. Ces attaques peuvent rendre un site web, une application, une API ou un serveur indisponible pendant des minutes ou des heures.
Si la cible de l'attaque DDoS est le DNS lui-même, les navigateurs ne peuvent pas résoudre les domaines, ce qui signifie que les utilisateurs ne peuvent pas charger les sites web ni les applications, car leur adresse IP est introuvable. Une attaque majeure de ce type a eu lieu en 2016, lorsqu'une attaque sur Dyn a laissé des utilisateurs dans de nombreuses régions du monde sans la possibilité d'utiliser Internet. Des attaques DDoS plus petites sur le DNS se produisent régulièrement et peuvent être plus ciblées.
Pour éviter ce problème, vérifiez que le fournisseur de DNS de chaque domaine dispose d'une protection contre les attaques DDoS, ou en mettant en place une solution d'atténuation des attaques DDoS pour la résolution DNS auto-hébergée.
La latence désigne le temps nécessaire pour que les données se déplacent d'un point à un autre. Une forte latence entraîne des réponses lentes, voire des délais d'expiration des requêtes qui mettent fin à la connexion.
L'encombrement du réseau peut entraîner de la latence, mais la principale cause est souvent l'emplacement du serveur. Les requêtes DNS sont assez légères par rapport au trafic web, mais un résolveur DNS éloigné signifie qu'un utilisateur peut devoir attendre plusieurs secondes avant que la requête soit acheminée vers le serveur et que la réponse soit renvoyée par le serveur. Ce problème peut survenir lorsque les utilisateurs tentent de charger du contenu web depuis un emplacement inattendu ou une région du monde différente de la normale, loin du réseau de serveurs d'un fournisseur DNS.
Pour remédier à une latence DNS élevée, utilisez un fournisseur de service DNS disposant de points de présence à proximité des utilisateurs d'Internet dans le monde entier. Découvrez le réseau mondial de Cloudflare.
Dans les attaques par empoisonnement de cache DNS, un tiers malveillant trompe un résolveur DNS et fait en sorte qu'il mette en cache une adresse IP incorrecte pour un domaine. Ainsi, les utilisateurs qui tentent de charger ce domaine sont dirigés vers l'adresse IP fournie par l'acteur malveillant.
L'adoption des DNSSEC permet d'empêcher les données non vérifiées d'entrer dans les caches du résolveur DNS. Le DNSSEC authentifie les messages entre les serveurs DNS (sans DNSSEC, le DNS fonctionne sur un principe de confiance, que les attaquants peuvent exploiter).
Une attaque par détournement de domaine est une attaque qui consiste pour les acteurs malveillants à modifier les enregistrements DNS associés à un domaine. Souvent, ils demandent à des serveurs d'inscription de noms de domaine de leur transférer des domaines. En conséquence, les visiteurs du site peuvent charger la mauvaise page web (souvent une page malveillante) ou il peut se produire un échec de résolution du domaine.
L'application de verrouillages de domaine à la fois au niveau du serveur d'inscription et du registre peut rendre le détournement DNS considérablement plus difficile pour les pirates.
« NXDOMAIN » est la formule informatique pour « domaine inexistant ». Concrètement, cette erreur signifie que pour l'appareil de l'utilisateur, le domaine n'existe pas, comme lorsque vous essayez d'appeler un numéro de téléphone inexistant ou d'envoyer un colis dans une ville qui n'existe pas.
Il s'agit d'une erreur répandue qui peut être causée par les problèmes énumérés ci-dessus, ou encore par des problèmes côté client (l'appareil sur lequel la personne tente de charger le site web) :
Les utilisateurs peuvent essayer de se reconnecter à leur réseau local, de forcer l'actualisation (Ctrl/Command + Shift + R), de l'ouvrir dans un autre navigateur ou de modifier leurs paramètres DNS pour utiliser un autre résolveur (Cloudflare propose le résolveur DNS 1.1.1.1, très fiable).
Une erreur « NXDOMAIN » peut entraîner l'affichage d'un message de type « Impossible de joindre ce site » ou « Le serveur DNS ne répond pas » dans le navigateur. Comme il est décrit ci-dessus, un certain nombre de problèmes peuvent provoquer ce message d'erreur.
Pour les personnes et les entreprises qui exécutent des applications web, la plupart de ces problèmes peuvent être résolus ou atténués par l'adoption de Cloudflare, qui met le trafic en proxy vers les sites web et utilise les dernières mesures de sécurité pour assurer une protection contre les attaques DDoS, le détournement DNS, l'empoisonnement de cache DNS et les erreurs de configuration DNS. Consultez les offres de Cloudflare pour vous lancer.