Zone DNS : qu’est-ce que c’est ?
Zone DNS/Pages Jaunes, c'est kif kif bourricot ! [Expression d'origine maghrébine rapportée en France par les soldats issus des armées d'Afrique du Nord]
Découvrez ce contenu très explicite sur la zone DNS et promis, elle n’aura plus de secret pour vous après lecture de ce billet !
Zone DNS et nom de domaine
En guise de prélude à la définition de la zone DNS, il faut expliquer ce qu’est le « Domain Name System ».
Signifiant littéralement « Système de noms de domaine », ce service informatique a pour acronyme « DNS ».
👉 Pour faire court, il s’agit d’une sorte de « Pages Jaunes » à l’échelle du web.
En effet, dans le monde physique, lorsque vous cherchez des coordonnées, vous consultez un annuaire. Dans le monde virtuel, c’est votre ordinateur qui – une fois connecté à Internet – effectue une démarche analogue. Pour que deux ordinateurs puissent échanger sur un réseau IP, il faut qu’un protocole leur attribue une adresse IP.
Toutefois, comme les humains retiennent mieux les noms que les nombres, les informaticiens ont élaboré un système assurant la conversion. Ce programme informatique, c’est justement le DNS. Sans lui, tous les internautes devraient mémoriser l’adresse IP de tous les sites auxquels ils veulent se connecter. Une démarche pour le moins alambiquée…
Et la zone DNS dans tout ça ?
Il s’agit en fait d’une partie de l’espace de noms DNS, laquelle est gérée par une organisation spécifique. Faisant partie d’une hiérarchie arborescente, celle-ci inclue plusieurs sous-domaines DNS.
👉 Attention, néanmoins, il ne faut pas confondre « zone DNS » et « nom de domaine », ce dernier étant un identifiant distinct.
Le fonctionnement du DNS
Le dépôt d’un nom de domaine se fait dans un « bureau d’enregistrement », nommé « registrar » en anglais.
Celui-ci fait alors la médiation entre les demandeurs de noms de domaine et l’Internet Corporation for Assigned Names and Numbers. Plus connue sous l’acronyme d’ICANN, cette société attribue des adresses IP à tous les sites du web.
On comprend donc aisément que le DNS est un rouage essentiel du fonctionnement d’Internet. Véritable annuaire géant, le DNS est, par ailleurs, subdivisé en répertoires plus petits appelés « domaines ». Pouvant être très vastes, ces derniers se subdivisent également en annuaires plus petits : les zones DNS.
Ainsi, il n’y a pas de serveur DNS unique qui centralise tous les répertoires, puisque ceci serait techniquement irréalisable. À la place, il existe un grand nombre de serveurs DNS conçus pour stocker tous les enregistrements DNS du web.
👉 Tout ordinateur cherchant à connaître une adresse IP ou un nom peut alors interroger son serveur DNS.
Si ce dernier a besoin d’un enregistrement, il peut interroger d’autres serveurs DNS via l’envoi d’une requête. Le cas échéant, le serveur DNS émet une requête en amont, jusqu’à ce qu’elle remonte à l’autorité du domaine. Le serveur faisant autorité est celui où les administrateurs fixent les noms de serveur et les adresses IP.
C’est dans ce « serveur DNS maître » qu’un administrateur a la possibilité de changer le nom d’un serveur ou une adresse IP. Par ailleurs, il existe également des serveurs DNS « esclaves » détenant des copies des enregistrements DNS.
DNS : serveurs publics et privés
Comme indiqué, la fonction du DNS est de permettre aux internautes d’accéder à des sites internet. Réciproquement, pour être accessible sur l’Internet public, tout serveur doit avoir un enregistrement DNS et une adresse IP.
Ces serveurs DNS publics sont accessibles à tous et ne nécessitent aucune authentification de la part des internautes. Même si les DNS publics représentent une grande partie du web, il existe également des DNS privés. Ainsi, des zones DNS occupent des serveurs DNS internes stockant les noms et les adresses IP de plusieurs éléments importants. Il peut s’agir de serveurs de fichiers, de serveurs de messagerie, de contrôleurs de domaines, ou de serveurs d’applications.
Néanmoins, même l’accès à des serveurs DNS internes ne nécessite pas une procédure d’authentification. Du coup, toute personne à l’intérieur du pare-feu est capable d’interroger ces serveurs. En réalité, la seule chose qui empêche de le faire est qu’on ne peut pas s’y connecter directement.
Pour résumer, le DNS public attribue à un serveur public un enregistrement DNS et une adresse IP. Le DNS privé, lui, permet aux ordinateurs d’un réseau interne d’accéder à un réseau invisible aux autres utilisateurs.
Les étapes d’une recherche DNS
L’envoi d’une requête DNS se déroule comme suit :
- Une requête DNS est envoyée lorsque vous essayez de vous connecter à un site internet quelconque.
- L’ordinateur effectue l’analyse du cache du DNS local. Quand un site est visité, son adresse se trouve à cet endroit.
- Si l’adresse IP n’est pas dans le cache, le DNS consulte un serveur DNS discursif (de la zone DNS associée).
- Le serveur DNS récursif a son propre cache. Si ce dernier a un l’adresse IP, il l’envoie immédiatement.
- Si l’adresse IP n’est pas trouvée, des serveurs de noms TLD peuvent envoyer la requête DNS dans la bonne direction.
- Les serveurs de noms TLD identifient l’emplacement du serveur de nom gérant le site recherché. Ce dernier répond avec l’adresse IP demandée. Le serveur DNS récursif la stocke dans le cache DNS local, avant de l’envoyer à votre ordinateur.
- Le DNS enregistre l’adresse IP dans le cache local, avec une durée de vie prédéfinie (appelée TTL). Cette durée de validité fixe l’enregistrement de l’adresse IP dans le cache. Quand celle-ci est expirée, la requête pour le même site suit de nouveau ce cheminement.
Les désavantages du DNS
Même s’il est indispensable au bon fonctionnement des connexions internet, le DNS présente quelques faiblesses :
- La première est que les serveurs DNS internes stockent les noms et les adresses IP des serveurs de leur domaine. Ainsi, chaque serveur DNS partage ces informations avec tout utilisateur qui en fait la requête. Cela fait donc de lui (et de toute zone DNS) une véritable source d’informations pour les pirates informatiques.
- Les caches DNS sont manipulables car ils ne font pas autorité. Ainsi, si votre serveur DNS est piraté, votre ordinateur peut être envoyé dans de mauvaises directions. Il y a donc risque d’orientation vers des sites malveillants.
- Le DNS transmet des informations de requêtes de stations internes vers des serveurs externes. Sachant cela, des pirates informatiques créent des « canaux cachés », pour exfiltrer les données privées des utilisateurs.