Glossaire du système de noms de domaine (DNS)

Le DNS constitue une technologie dont la plupart des gestionnaires de TI se préoccupent peu; elle fonctionne bien et ne demande habituellement que peu de soins pour soutenir les objectifs organisationnels. Ce glossaire vise à aider les gestionnaires des TI qui envisagent de recourir à un service DNS secondaire tel que DNS Anycast D-Zone à se familiariser de nouveau avec les termes clés en la matière.

Le document intitulé Survol du DNS pourrait également vous intéresser.

Glossaire

Glossaire

Anycast 

Anycast désigne une méthode d’adressage ou de routage au moyen de laquelle les requêtes sont acheminées vers le nœud le plus rapproché d’une série de ceux-ci. Dans la perspective du DNS, on parlera d’un réseau anycast, ce qui signifie que le nœud le plus rapproché sur le plan géographique, parmi une série de nœuds partageant la même adresse IP répond aux requêtes DNS. Il permet de protéger les DNS à tout nœud donné contre les activités malveillantes ou les défaillances à d’autres nœuds. Les nœuds anycast peuvent être configurés à titre de nœuds locaux ou mondiaux. Les nœuds locaux assurent un temps de latence plus faible, une fiabilité supérieure et répondent exclusivement aux requêtes provenant des réseaux en appairage. Les nœuds mondiaux sont répartis à l’échelle d’Internet.

Attaque par déni de service (DDoS) (contre un DNS)

Une attaque par DDoS désigne une situation dans laquelle les serveurs sont submergés par de nombreuses requêtes provenant de sources réparties, généralement de zombies, dans le but compromettre le service de sorte qu’il ne puisse répondre aux requêtes légitimes. Comme tous les services sur Internet, le DNS est vulnérable aux attaques visant à saturer la connexion Internet du serveur faisant autorité. Si l’attaque est d’une envergure suffisante, l’épuisement de cette ressource fait en sorte que les requêtes normales ne parviennent jamais à destination. Par conséquent, ces requêtes ne reçoivent pas de réponse. Bien que les activités malveillantes ciblant le DNS soient moins fréquentes que d’autres visant la couche application, il n’en demeure pas moins que les attaques par DDOS contre le DNS restent un problème grave qui continue à prendre de l’ampleur.

Berkeley Internet Name Domain (BIND)

BIND (Berkeley Internet Name Domain) est le logiciel de serveur de noms le plus utilisé. Provenant de l’Université de la Californie située à Berkeley, il a été lancé au début des années 1980 à titre de logiciel ouvert implémentant les protocoles DNS pour Internet. Sur le plan du volume de requêtes et de la stabilité, il s’agit d’un constituant de catégorie entreprise dans la pile logicielle. Il est composé de trois éléments : 1) d’un serveur DNS, 2) d’une bibliothèque de résolution, 3) d’outils logiciels destinés aux tests.

BGP (protocole BGP)

Le BGP est un protocole de routage destiné à acheminer l’information sur Internet (par rapport aux réseaux internes). Il s’agit d’un protocole des plus extensibles et robustes qui recourt à des paramètres de routage afin de définir des politiques en la matière et de préserver la stabilité du milieu de routage. Ce protocole permet aux bastions Internet dans un réseau de systèmes autonomes d’échanger des données de routage. Le BGP est doté de caractéristiques très avantageuses qui lui confèrent de l’importance sur le plan de la fonctionnalité d’Internet, notamment en n’envoyant de l’information actualisée que dans la mesure où un changement est détecté et en manifestant une préférence locale réduisant du coup le temps de latence. Ce dernier attribut peut être utilisé dans un réseau anycast pour en augmenter la performance et renforcer sa sécurité.

CNAME (nom canonique)

Un enregistrement de ressource dans le DNS précisant qu’un nom de domaine est un alias d’un autre nom de domaine plutôt que d’une adresse IP. Par exemple [blog.cira.ca CNAME dog.cira.ca]. Il permet le fonctionnement de services multiples (c.-à-d., d’un serveur Web et d’un serveur FTP) sur différents ports, mais en partageant la même adresse IP.

Délégation

La délégation désigne l’intervention qui consiste à déléguer un serveur à titre de serveur de nom faisant autorité pour la résolution d’un nom de domaine. Cela peut correspondre à déléguer la responsabilité de la résolution du nom à un serveur appartenant à un fournisseur de services DNS ou à l’un de vos propres serveurs. Par exemple, le ccTLD .CA délègue ses sous-domaines tels que « entreprise.ca » à d’autres serveurs.

DNS dynamique (DDNS)

Sur Internet public, le DDNS est utilisé pour désigner une méthode de mise à jour automatique (et en temps réel) d’un serveur de noms dans le DNS en utilisant les TSIG sans modifications manuelles. La plupart du temps, un tel DNS est utilisé pour fournir un mécanisme visant la propagation du DNS pour les adresses IP dynamiques.

DNS primaire (serveur)

Le DNS primaire correspond à la principale source de fichiers de zone valides pour les enregistrements DNS. Il peut répondre aux requêtes sur Internet ou tenir lieu de serveur principal caché destiné à l’administration des zones et aux communications avec les serveurs secondaires installés pour répondre aux requêtes.

DNS secondaire (serveur)

L’expression DNS secondaire s’applique le plus souvent à un serveur DNS primaire assurant un service redondant sur un réseau distinct dans le but de prévenir les temps d’arrêt. Dans un nuage anycast, il sert à décrire les serveurs configurés pour répondre aux requêtes DNS et reçoit les fichiers de zone du serveur primaire.

DNSSEC

Internet a été conçu de manière à être ouvert et digne de confiance, et le protocole DNS, tel qu’il a été mis au point au départ, atteignait ces objectifs. Au fil de sa croissance, Internet est demeuré ouvert, mais la confiance qu’il inspirait est soumise à rude épreuve à cause de tactiques telles que la mystification. Les DNSSEC permettent aux enregistrements DNS d’être signés de manière cryptographique, ce qui permet à un serveur de vérifier s’il reçoit bien une réponse authentique. Elles sont semblables au protocole SSL, mais destinées au DNS. Bien que l’adoption des DNSSEC exige des tâches administratives additionnelles des organisations qui les adoptent, elles contribuent à la protection de leur clientèle contre les attaques de l’homme du milieu.

Domaine (ou nom de domaine)

Un nom de domaine est enregistré avec une zone parente faisant autorité et est déléguée par celle-ci. Par exemple, gc.ca est un nom de domaine délégué au gouvernement du Canada (GC) par l’ACEI. Le GC loue le droit d’utiliser le nom de domaine gc.ca, mais dans le contexte de l'administration de son propre serveur DNS, gc.ca est une zone qu'il doit configurer sur ses serveurs DNS. Ainsi, parl.gc.ca et sante.gc.ca peuvent faire partie de la zone gc.ca, mais ils peuvent aussi être délégués à des organisations secondaires. Dans ce cas, parl.gc.ca et sante.gc.ca seraient aussi désignés à titre de zones.

Domaine de premier niveau (TLD)

Dans la hiérarchie du domaine, la racine se situe au sommet, et la zone racine contient les délégations de tous les TLD dans le monde. Les TLD sont délégués par l’ICANN à des organisations et à des pays particuliers. Il existe grosso modo deux types de TLD. Les codes nationaux (ccTLD) sont attribués aux pays, par exemple le .CA, le .UK et le .SE. Les TLD génériques (gTLD) ne sont pas attribués à des pays; ils comprennent les TLD les plus enregistrés dans le monde, par exemple, le .com et le .net, en plus de nombreux nouveaux gTLD.

Durée de vie (TTL)

Pour faciliter la mise à jour des serveurs DNS à l’échelle d’Internet, le fichier de zone dans le serveur de noms faisant autorité détermine une TTL, ce qui indique le temps pendant lequel un serveur récursif donné doit garder en cache l’information DNS. Ainsi, les serveurs n’ont pas à revenir au serveur faisant autorité chaque fois qu’ils répondent à une requête. Déterminer une TTL faible de manière arbitraire n’est pas avantageux. En effet, ce faisant, les serveurs récursifs doivent poser des questions au sujet d’un domaine donné plus fréquemment, ce que l’internaute pourrait percevoir comme un temps de latence. Déterminer arbitrairement une TTL élevée n’est pas utile non plus, car cela risque de limiter la capacité du propriétaire du domaine à régler des problèmes de réseau ou à apporter des modifications. Cela découle du fait que les « anciennes données » peuvent se trouver en cache dans un nombre indéterminé de serveurs récursifs à l’échelle mondiale, et ce, jusqu’à l’échéance de la TTL.

Enregistrement d’un domaine

Les organisations ne sont pas propriétaires des domaines, elles les enregistrent pour une période donnée. Ce sont les registraires qui enregistrent les domaines en agissant à titre de revendeurs pour les registres de domaine de premier niveau, par exemple le .CA (ACEI) et le .com (Verisign).

Enregistrement SOA (Start of Authority)

L’enregistrement de ressource NS (serveur de nom) identifie les serveurs de noms, et non l’enregistrement de ressource SOA. L’enregistrement de ressource SOA contient « l’hôte source » (généralement précisé dans les RFC, mais pas systématiquement), mais il pourrait s’agir de N’IMPORTE QUELLE chaîne d’identifiant, laquelle correspond fréquemment, mais pas dans tous les cas, au nom du serveur principal caché utilisé pour créer la zone.

Équilibrage de charge de serveur global (GSLB)

Les GSLB correspondent à des serveurs répartis sur le plan géographique assortis de serveurs de noms faisant autorité fonctionnant à chaque site où chaque domaine est un sous-domaine (ns1, ns2, ns3, etc.). L’équilibrage de charge sert à gérer le trafic à l’échelle des serveurs. Il peut simplement consister en un tourniquet entre les serveurs ou peut faire appel à des protocoles plus intuitifs pour gérer le trafic afin de réduire le temps de latence.

Équilibrage de charge

L’équilibrage de charge désigne la façon dont le trafic est géré entre plusieurs serveurs faisant partie d’une grappe ou d’un parc de serveurs. Comme toute autre infrastructure redondante, il est possible de le gérer en adoptant la démarche simple du tourniquet ou une approche intuitive qui consiste à acheminer le trafic vers le serveur le moins occupé de la grappe.

FQDN (nom de domaine complet)

Un FQDN est un nom de domaine qui présente sa situation exacte dans l’arborescence du DNS (par exemple : pagecible.exemple.ca). Il indique tous les niveaux de domaine, y compris le premier niveau et la racine. Plusieurs résolveurs de DNS traitent un nom sans point en intégrant les paramètres par défaut proposés par les systèmes.

Gestion du trafic en temps réel (Real Time Traffic Management, RTTM)

Ce terme désigne la gestion du trafic DNS mondial. Dans ce cadre, le trafic est acheminé soit à un nœud situé à proximité, soit à un nœud qui se trouve ailleurs dans le monde, et ce, selon le serveur présentant le temps de latence le plus faible et la vitesse la plus élevée. Dans ce cas, les serveurs font l’objet d’une surveillance constante; ils ne sont pas sélectionnés uniquement en fonction de leur situation géographique ni seulement au moyen des techniques de type tourniquet.

IPv4

L’Internet Protocol V4 est le système qui achemine la plus grande partie du trafic sur Internet. Il s’agit d’un protocole sans connexion destiné aux réseaux à commutation par paquets et fondé sur la transmission dans la mesure du possible. Il fait appel à des adresses de 32 bits habituellement écrites en recourant à une notation décimale à points (p. ex., 255.255.255.1). En 2011, la réserve de numéros IPv4 s’est trouvée épuisée en raison de l’immense quantité d’appareils connectés dans le monde. L’IPv6 est le protocole de nouvelle génération, bien qu’actuellement l’IPv4 constitue toujours la base de la majorité des communications sur Internet.

IPv6

L’IPv6 est la plus récente version du protocole Internet à la base du système de localisation des appareils sur Internet. Ses adresses de 128 bits permettent un nombre quasi illimité d’adresses (2128), soit bien davantage que l’IPv4, utilisé actuellement. L’IPv6 dispose aussi d’avantages techniques : il limite l’expansion des tables de routage, permet l’adressage multidestinataire et renforce la sécurité. Les adresses IPv6 sont constituées de 8 groupes de 4 chiffres hexadécimaux (2001:0db8:85a3:0000:0000:8a 2e:0370:7334).

Mystification du DNS

La mystification du DNS est la pratique qui consiste à duper les serveurs de noms récursifs d’une organisation pour faire en sorte qu’ils acceptent de fausses données en réponse à une interrogation et qu’ils les engrangent dans leur cache. En règle générale, cette manœuvre consiste à bombarder les serveurs de noms récursifs d’un grand nombre de réponses illégitimes avant que les véritables serveurs faisant autorité aient le temps de transmettre une réponse authentique.

Nœud

Un nœud DNS est un serveur ou une grappe de serveurs qui répondent aux requêtes DNS.

Nœud global

Un nœud global se trouve dans le DNS pour répondre aux requêtes provenant de partout sur Internet. Son existence sur Internet est annoncée, de sorte que les autres hôtes soient en mesure de les signaler à leurs pairs. Un nœud global est accessible de n’importe où sur Internet.

Nœud local

L’annonce d’un nœud local dans le DNS est souvent faite avec la communauté BGP no-export pour éviter que les routeurs l’annoncent à leurs homologues. En règle générale, les nœuds locaux sont situés dans les IXP locaux en appairage avec la communauté locale (tel qu’un pays particulier). Cela fait en sorte que les nœuds locaux soient principalement mis à la disposition des requêtes locales et mieux protégés des activités malveillantes étrangères.

Recherche directe

Effectuer une recherche directe consiste à utiliser un nom de domaine pour trouver une adresse IP. Dans les faits, l’adresse URL tapée dans la barre d’adresse du navigateur est transmise au DNS pour obtenir l’adresse IP. Dans le cas d’une recherche inverse, l’adresse IP est utilisée pour trouver un nom de domaine.

Recherche inverse

Une recherche inverse consiste à rechercher un nom de domaine au moyen de l’adresse IP.

Registre

Un registre est l’organisation responsable de la gestion d’un domaine de premier niveau tel que le .CA ou le .com. Le registre se voit confier par l’IANA, un service de l’ICAAN, la responsabilité de gérer le nom de domaine conformément à un ensemble de lignes directrices énoncées dans ses attributions. Il peut s’agir de domaines génériques de premier niveau (gTLD), par exemple du .net, du .org, du .com ou des nouveaux gTLD, ou bien des domaines nationaux (ccTLD) tels que le .CA du Canada et le .uk du Royaume-Uni. La gestion de ces domaines est confiée au registre.

Requête DNS

Une adresse IP se présente dans langage sous-jacent au moyen duquel les ordinateurs et les autres dispositifs peuvent communiquer entre eux, mais les adresses Web sont présentées en mots lisibles pour nous. C’est pourquoi une requête DNS est nécessaire à l’établissement de la correspondance entre l’adresse lisible et l’adresse IP.

Requête itérative

Le serveur DNS n’aura pas la réponse complète à une requête, mais il remettra une référence au serveur qui pourrait l’avoir. Il n’interrogera pas le serveur racine au nom de la requête d’origine. Ainsi, le requérant initial, ou client DNS, sera responsable de présenter une requête au prochain serveur DNS jusqu’à ce qu’il trouve un serveur DNS faisant autorité ou jusqu’à la fin du délai de temporisation.

Requêtes récursives

Le serveur DNS qui reçoit votre requête se chargera d’y répondre et, si nécessaire, il interrogera d’autres serveurs DNS sur Internet pour obtenir la réponse. Il s’adressera à ces autres serveurs s’il ne dispose pas de la réponse à la requête soit dans un fichier de zone, soit en cache.

Résolveur DNS (ou serveur DNS récursif)

Il s’agit des ordinateurs qui répondent aux requêtes afin de traduire les noms de domaine en adresses IP.

Serveur (ou résolveur) récursif

Le serveur récursif reçoit les requêtes provenant des internautes et consulte son cache. Si la réponse ne s’y trouve pas, il produit son propre ensemble de requêtes qui sont alors transmises aux autorités propres à chaque niveau (racine DNS, TLD, deuxième niveau, etc.) afin, au bout du compte, de répondre au requérant initial.

Serveur de noms faisant autorité

Le serveur de noms faisant autorité désigne un serveur dans le DNS qui répond aux interrogations au sujet des noms dans une zone. Il se distingue d’un serveur DNS récursif par le fait que ce dernier interroge les serveurs de noms faisant autorité. Les serveurs de noms faisant autorité ne fournissent des réponses qu’au sujet des zones configurées localement à titre de zones faisant autorité. Les serveurs de noms hybrides sont configurés de façon à faire à la fois office de serveurs récursifs et faisant autorité, mais il n’est plus recommandé d’y recourir. Il convient d’accéder à des « angles » différents pour séparer de manière logique le trafic récursif du trafic faisant autorité.

Serveur de noms

Un serveur de noms est un serveur sur Internet qui répond aux requêtes DNS. Il peut faire autorité (donner des réponses) ou être récursif (recevoir des questions posées au nom d’un tiers). Un domaine peut être délégué aux serveurs DNS faisant autorité subordonnés à ce domaine (c.-à-d., NS01.CIRA.CA est le serveur DNS d’ACEI.CA) ou aux serveurs de noms qui ne sont pas ceux du domaine en question (NS1.D-ZONE.CA est un serveur DNS d’ACEI.CA).

Serveurs racines (ou racine)

Le DNS est organisé de manière hiérarchique, et le domaine racine se trouve à son sommet. Le domaine racine contient tous les noms de domaine de premier niveau (TLD), par exemple le .CA et le .com. On peut l'imaginer comme une chaîne vide qui se présente après le TLD. Dans le DNS, les serveurs de noms faisant autorité au service de la zone racine sont appelés serveurs racines. Il s’agit d’un réseau de serveurs disséminés à l’échelle mondiale. Les résolveurs récursifs doivent configurer un fichier racine (hints) qui contient les noms et l’adresse IP des serveurs racines de sorte qu’ils puissent lancer la résolution DNS.

Temps de latence (du DNS)

Le temps de latence désigne le temps qui s’écoule entre le moment où l’internaute envoie une requête de résolution au DNS et celui auquel il reçoit sa réponse. Bien que le temps de latence du DNS ne figure pas dans le journal du serveur, pour l’internaute, il s’ajoute au temps de chargement total de votre site Web.

TSIG (signature de transaction)

Le protocole de réseau TSIG constitue le mécanisme sécurisé pour l’envoi de mises à jour de zone entre des nœuds ou des serveurs. Il est utilisé par le DNS pour veiller à ce que l’information provenant d’un serveur donné provienne bel et bien du serveur en question, et ce, en recourant à une infrastructure à clés définie dans la RFC 2845. Puisque le DNS fonctionne conformément à un modèle question-réponse, le protocole TSIG est essentiel pour s’assurer que la réponse provient bien de l’adresse IP authentique.

Unicast

Appliquée à grande échelle, la diffusion unicast correspond à la communication entre un seul expéditeur et un seul destinataire sur un réseau. Appliquée au DNS, il s’agit d’une association exclusive entre une adresse réseau et le point final. En d’autres mots, si le DNS unicast dispose de deux enregistrements (ns1 et ns2) alors chacun correspond exactement à un serveur. Cela n’empêche pas la redondance intégrée aux nœuds unicast ni la disposition de plus d’un nœud en ligne pour répondre aux requêtes. Par contre, ce type de diffusion ne procure pas le vaste éventail d’avantages qu’offrent les solutions anycast (unidiffusion aléatoire) pour la résolution DNS externe.

Zone

Une zone DNS renvoie à l’espace du nom de domaine où l’administration est déléguée à un seul gestionnaire. Elle se trouve dans le serveur de noms de domaine. L’organisation en zones permet la délégation de la responsabilité des sous-domaines aux autorités pertinentes. Les domaines de premier niveau, par exemple le .CA, gèrent une zone dans le DNS où se trouvent les sous-domaines. Ainsi, le domaine que couvre une zone est toujours circonscrit.