Aller au contenu principal

Comment le système de noms de domaine (DNS) fonctionne-t-il?

Le système de noms de domaine (domain name system [DNS]) fournit le réseau de base d’Internet en tenant lieu de traducteur des adresses IP (192.228.29.1) en noms de site aisément lisibles (c.-à-d., www.acei.ca), et cela, au moyen d’enregistrements de ressource. Il est essentiel au fonctionnement d’Internet, puisqu’il permet le recours à des noms logiques et lisibles plutôt qu’aux adresses IPv4 ou IPv6 complexes. De plus, il assure la mise en correspondance des serveurs de courriel et des serveurs SIP, des redirections et des signatures numériques et plus encore.

Le DNS est une base de données répartie organisée sous forme d’arborescence de noeuds interconnectés (serveurs ou grappes de serveurs) dans laquelle chaque noeud est une partition de la base de données. Les noeuds sont attribués à des autorités désignées, et un noeud ou un groupe de noeuds ne peut avoir plus d’une autorité.

Comment les nœuds sont-ils délégués

Le DNS est une base de données répartie descendante, et la Société pour l’attribution des noms de domaine et des numéros sur Internet (Internet Corporation for Assigned Names and Numbers [ICANN]) y joue le rôle de « racine », au sommet de la base de données. Les TLD, ou domaines de premier niveau, sont délégués à la fois aux entités commerciales et aux gouvernements, lesquels à leur tour délèguent les domaines de deuxième niveau aux registraires. Par exemple, l’ICANN/IANA délèguent l’autorité sur le .CA à l’Autorité canadienne pour les enregistrements Internet (ACEI), laquelle délègue l’autorité sur le gc.ca au gouvernement canadien, puis ce dernier est en mesure de déléguer l’autorité sur les sous-domaines du gc.ca à ses ministères, ce qu’il fait évidemment.

Quelles sont les étapes typiques d’une requête DNS

Étape 1

Les dispositifs (résolveurs) connectés au réseau envoient une demande (ou requête) à un serveur de noms récursif. Si le serveur récursif n’a pas la réponse en antémémoire, la requête passe à l’étape deux.

Étape 2

Le serveur de noms récursif envoie une requête aux serveurs de noms racines afin qu’ils se chargent de résoudre l’adresse pour le domaine de premier niveau. Ensuite, les serveurs de noms racines pour le domaine de premier niveau effectuent un renvoi de référence au serveur de noms récursif.

Étape 3

Le serveur de noms récursif envoie une requête aux serveurs de nom du premier niveau (dans ce cas, le .CA), lequel effectue un renvoi de référence aux serveurs de noms du deuxième niveau.

Étape 4

Le serveur de noms récursif envoie une requête aux serveurs de nom du premier niveau (dans ce cas, le .gc.ca), lequel effectue un renvoi de référence aux serveurs de noms du troisième niveau.

Étape 5

Le serveur de noms récursif envoie une requête aux serveurs de nom du troisième niveau (dans ce cas, le .CA), lequel effectue un renvoi de référence aux serveurs de noms récursifs.

Méthodes d’adressage du serveur de noms DNS

Comme c’est le cas pour toute infrastructure de serveur, la pratique exemplaire consiste à disposer d’une redondance intégrée dans l’infrastructure DNS. Deux méthodes existent pour l’adressage des serveurs DNS :

  • Unicast (diffusion individuelle)

    Appliquée à grande échelle, la diffusion unicast correspond à la communication entre un seul expéditeur et un seul destinataire sur un réseau. Appliquée au DNS, il s’agit d’une association exclusive entre une adresse réseau et le point final. En d’autres mots, si le DNS unicast dispose de deux enregistrements (ns1 et ns2) alors chacun correspond exactement à un serveur. Cela n’empêche pas la redondance intégrée aux nœuds unicast ni la disposition de plus d’un nœud en ligne pour répondre aux requêtes. Par contre, ce type de diffusion ne procure pas le vaste éventail d’avantages qu’offrent les solutions anycast (unidiffusion aléatoire) pour la résolution DNS externe.

  • Anycast (unidiffusion aléatoire)

    Anycast constitue l’un des nombreux schémas de routage qu’il est possible d’utiliser pour maîtriser le flux de trafic à l’échelle d’un réseau, habituellement au moyen d’un Border Gateway Protocol (BGP). Avec un DNS anycast, plusieurs nœuds, soit des copies les uns des autres, sont disséminés sur le plan géographique. De cette façon, plusieurs serveurs se trouvent derrière des adresses IP identiques, et la réponse aux requêtes se trouve prise en charge par le nœud le plus rapproché. Les avantages de tout réseau anycast sont les suivants : un temps de latence plus faible, une redondance accrue et une résilience supérieure du DNS aux attaques par DDoS.

Anycast pour le service DNS secondaire

Comme c’est le cas à l’égard des autres décisions organisationnelles, la question de la prestation de services DNS secondaire revient à choisir entre « l'élaboration, l'achat ou les deux". Peu importe lequel on choisit, le recours à un service DNS secondaire anycast augmente la vitesse et la résilience des sites Web et des services en ligne de toute organisation.

Si une architecture de service DNS secondaire est déjà en place, qu’elle soit interne ou qu’elle appartienne à un prestataire de services, cela n’empêche pas l’ajout d’autres services DNS secondaires. Ce faisant, les gestionnaires des TI sont en mesure d’augmenter la vitesse et la résilience de leurs sites Web tout en profitant des avantages de services axés sur la situation géographique. Par exemple, le .CA exploite le service DNS Anycast D-Zone, lequel est pourvu de nœuds secondaires mondiaux et locaux. Les nœuds locaux en question sont destinés au trafic canadien et protègent ce dernier contre les attaques par DDoS de l’étranger. Dans la perspective des affaires, la solution D-Zone permet de protéger la clientèle et de servir les objectifs commerciaux d’une entreprise canadienne tout en améliorant sa portée mondiale grâce à des nœuds situés dans les plaques tournantes d’Internet partout sur la planète.

Les attaques par DDoS du DNS sont une menace de premier plan aux opérations alors « qu’un bon tiers des opérateurs de DNS ont fait état d’une attaque de ce type ayant une incidence sur la clientèle. » ‒ Worldwide Infrastructure Security Report, Arbour, 2016.