Lorsque les utilisateurs saisissent des noms de domaine dans la barre d'URL de leur navigateur, les serveurs DNS sont responsables de la traduction de ces noms de domaine en adresses IP numériques les menant au site web approprié.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le DNS (Domain Name System) est le répertoire téléphonique d'Internet. Lorsque les utilisateurs saisissent des noms de domaine tels que « google.com » ou « nytimes.com » dans les navigateurs web, le DNS est responsable de trouver la bonne adresse IP de ces sites. Les navigateurs utilisent ensuite ces adresses pour communiquer avec les serveurs d'origine ou les serveurs périphériques CDN pour accéder aux informations du site Web. Tout cela grâce aux serveurs DNS : des machines dédiées à répondre aux requêtes DNS.
Un serveur est un appareil ou un programme dédié à fournir des services à d'autres programmes, appelés « clients ». Les clients DNS, intégrés à la plupart des systèmes d'exploitation de bureau et mobiles modernes, permettent aux navigateurs web d'interagir avec les serveurs DNS. Pour plus d'informations, voir Le modèle client-serveur.
Dans une requête DNS typique sans mise en cache, quatre serveurs fonctionnent ensemble pour fournir une adresse IP au client : résolveurs récursifs, serveurs de noms racine, serveurs de noms TLD et serveurs de noms faisant autorité.
Le « récurseur » DNS (également appelé résolveur DNS) est un serveur qui reçoit la requête du client DNS, puis interagit avec d'autres serveurs DNS pour rechercher l'adresse IP correcte. Une fois que le résolveur reçoit la demande du client, il se comporte alors comme un client lui-même, interrogeant les trois autres types de serveurs DNS à la recherche de la bonne adresse IP.
Le résolveur interroge d'abord le serveur de noms racine. Le serveur racine est la première étape de la traduction (résolution) de noms de domaine en informations lisibles comme adresses IP par l'homme. Le serveur racine répond ensuite au résolveur avec l'adresse d'un serveur DNS de domaine de premier niveau (TLD, Top Level Domain) tel que .com ou .net qui stocke les informations de ses domaines.
Ensuite, le résolveur interroge le serveur TLD. Le serveur TLD répond avec l'adresse IP du serveur de noms faisant autorité du domaine. Le récurseur interroge ensuite le serveur de noms faisant autorité qui répondra avec l'adresse IP du serveur d'origine.
Le résolveur transmettra enfin l'adresse IP du serveur d'origine au client. À l'aide de cette adresse IP, le client peut également lancer une requête directement sur le serveur d'origine et le serveur d'origine répondra en envoyant des données de site web qui peuvent être interprétées et affichées par le navigateur web.
Outre le processus décrit ci-dessus, les résolveurs récursifs peuvent également résoudre les requêtes DNS à l'aide de données mises en cache. Après avoir récupéré l'adresse IP correcte d'un site web donné, le résolveur stockera ensuite ces informations dans son cache pendant une durée limitée. Pendant cette période, si d'autres clients envoient des requêtes pour ce nom de domaine, le résolveur peut ignorer le processus de recherche DNS typique et simplement répondre au client avec l'adresse IP enregistrée dans le cache.
Une fois le délai de mise en cache expiré, le résolveur doit à nouveau récupérer l'adresse IP, créant une nouvelle entrée dans son cache. Ce délai, appelé durée de vie ou time-to-live (TTL), est défini explicitement dans les enregistrements DNS de chaque site. En règle générale, le TTL se situe dans la plage de 24 à 48 heures. Un TTL est nécessaire car les serveurs web changent parfois leurs adresses IP, de sorte que les résolveurs ne peuvent pas fournir indéfiniment la même adresse IP à partir du cache.
Les serveurs DNS peuvent être défaillants pour plusieurs raisons, telles que des pannes de courant, des cyberattaques et des dysfonctionnements matériels. Au tout début d'Internet, les pannes de serveur DNS pouvaient avoir un impact relativement important. Heureusement, de nos jours, le DNS intègre beaucoup de redondance. Par exemple, il existe de nombreuses instances des serveurs DNS racine et des serveurs de noms TLD, et la plupart des FAI ont des résolveurs récursifs de sauvegarde pour leurs utilisateurs. (Les utilisateurs individuels peuvent également utiliser des résolveurs DNS publics, comme 1.1.1.1. de Cloudflare) La plupart des sites Web populaires ont également plusieurs instances de leurs serveurs de noms autoritaires.
Dans le cas d'une panne majeure du serveur DNS, certains utilisateurs peuvent subir des retards en raison du nombre de demandes traitées par les serveurs de sauvegarde, mais il faudrait une panne DNS de très grande ampleur pour rendre une partie importante d'Internet indisponible. (Cela s'est produit en 2016 lorsque le fournisseur de DNS nommé Dyn a subi l'une des plus grandes attaques DDoS de l'histoire).
Lorsque des serveurs DNS sont compromis ou tombent en panne, les répercussions sur les utilisateurs, les entreprises et l'internet dans son ensemble peuvent être très graves. Comme tout ce qui est connecté à l'internet, les serveurs DNS sont vulnérables à une série d'attaques, ainsi qu'à l'usurpation d'identité par des personnes malveillantes. Les mesures de sécurité du DNS telles que DNSSEC permettent de prévenir de telles attaques et de sécuriser à la fois les serveurs et les utilisateurs qui y ont recours.
Cloudflare propose un service DNS géré qui comporte une sécurité DNS intégrée visant à protéger les serveurs DNS contre les attaques ainsi que d'autres sources courantes de panne de serveur.