Qu'est-ce que le DNS ?

Le système de noms de domaine est un système de dénomination hiérarchique et distribué pour les ordinateurs, les services ou toute autre ressource connectée à Internet ou à un réseau privé. Chaque fois que vous avez besoin que votre navigateur localise et se connecte à un service informatique ou à un appareil, le DNS travaille en coulisses pour traduire un nom de domaine facilement mémorisable en adresse IP (Internet Protocol) numérique pour cette ressource. On pourrait considérer le DNS comme l’annuaire téléphonique d’Internet : Il a été créé pour permettre aux utilisateurs d’identifier facilement par leur nom tous les appareils et services connectés à Internet.

Un nom de domaine est un nom convivial associé à une source Internet. Par exemple, www.f5.com est un nom de domaine et l'URL est associée aux serveurs appartenant à F5.

La subdivision d’un domaine est appelée sous-domaine. Par exemple, support.f5.com est le sous-domaine du support sur F5.com. Un sous-domaine est tout ce qui se trouve à gauche du nom de domaine, suivi d'un point.

La recherche DNS est un processus par lequel un client (tel qu'un navigateur Web) interroge un serveur DNS pour un domaine particulier. Le serveur DNS répond ensuite avec une adresse IP, qui conduit ensuite le client vers la destination souhaitée.

L'espace de noms de domaine définit la structure de dénomination globale d'Internet. Il s'agit d'une structure arborescente de noms de domaine, avec un nom de domaine racine au sommet. À partir de ce domaine racine, des domaines majeurs tels que .com, .net, .org et d'autres domaines se ramifient.

Un arbre d’espace de noms est subdivisé en zones. Il définit les ressources disponibles dans un domaine spécifique.

Les serveurs de noms stockent des informations sur une zone. Il existe deux types de serveurs de noms : Primaire et secondaire. Chaque zone a ses données stockées sur des serveurs de noms primaires et secondaires.

Un résolveur DNS est le côté client du DNS. Il est responsable de l'initiation et du séquençage des requêtes qui conduisent finalement à la traduction d'un nom de domaine en une adresse IP.

La version courte est qu'un nom de domaine tapé par un utilisateur dans un navigateur (comme www.f5.com) est traduit par un serveur DNS en une adresse IP (104.219.105.148). Cela permet à l’appareil de trouver la ressource que vous recherchez sur Internet, dans ce cas, la page d’accueil du F5.

Regardons ce processus plus en détail :

Supposons qu'un utilisateur tape le nom de domaine www.f5.com dans un navigateur. Étant donné que le navigateur n'a aucune idée de l'endroit où se trouve www.F5.com, il envoie une requête au serveur DNS local (LDNS) pour lui demander s'il dispose de l'enregistrement du site Web. Si le LDNS n'a aucun enregistrement pour ce site particulier, il lance une recherche récursive des domaines Internet pour découvrir à qui appartient www.F5.com.

Tout d’abord, le LDNS se dirige vers l’un des serveurs racines, qui le dirige vers le serveur DNS .com. Le serveur .com détermine ensuite le propriétaire de www.F5.com et notifie le LDNS avec un enregistrement de serveur de noms (NS) pour F5.com.

Le LDNS interroge ensuite l’enregistrement NS du serveur DNS F5.com. Le serveur DNS f5.com recherche le nom www.F5.com . S'il trouve le nom, il renvoie un enregistrement d'adresse (A) au LDNS. Cet enregistrement A contient le nom de la demande, l'adresse IP attribuée à ce nom dans le LDNS et la durée de vie (ou TTL) du nom. Le TTL indique au LDNS combien de temps conserver l'enregistrement A avant de demander à nouveau au serveur DNS F5.com.

Lorsque le LDNS reçoit l'enregistrement A, il met en cache les informations d'adresse IP pendant la durée spécifiée dans le TTL ; si un autre client a besoin des mêmes informations, le LDNS répondra à la requête à partir de son propre cache de noms avant de l'envoyer. Comme il peut conserver les informations localement, il n’a pas besoin de continuer à interroger le serveur DNS f5.com, ce qui rend les futures connexions à cette ressource plus rapides.

Le navigateur utilise ensuite l'adresse IP pour ouvrir une connexion à www.F5.com :80 et envoie un GET /…. qui conduit ensuite le serveur Web à renvoyer la réponse de la page Web.

En pratique, le DNS est beaucoup plus compliqué que ce que montre l’exemple ci-dessus, mais cela devrait vous donner une bonne idée de son fonctionnement.

Les enregistrements DNS sont des fichiers de mappage qui indiquent au serveur DNS quelle adresse IP est associée à quel nom de domaine. Il indique également au serveur DNS comment gérer ces requêtes. Il existe différents types d'enregistrements DNS, mais tous les enregistrements DNS d'un domaine spécifique sont contenus dans ce qu'on appelle une zone DNS. Considérez la zone DNS comme un conteneur qui permet à Internet de rechercher l’adresse IP d’un et d’un seul domaine particulier.

Les types d’enregistrements DNS courants sont les suivants :

Les enregistrements d'adresse ou A (également appelés enregistrements d'hôte) sont les enregistrements centraux du DNS. Ces enregistrements lient un domaine à une adresse IP. L'enregistrement AAAA est identique à l'enregistrement A, mais au lieu d'une adresse IPv4 32 bits, il renvoie une adresse IPv6 128 bits.

Les enregistrements du serveur de noms (NS) déterminent quels serveurs communiquent les informations DNS pour un domaine. En règle générale, vous disposerez d'enregistrements de serveur de noms principaux et secondaires pour votre domaine.

Mail Exchange enregistre les messages électroniques directs vers les serveurs d'un domaine particulier. Plusieurs enregistrements MX peuvent être définis pour un domaine, chacun avec une priorité différente. Le numéro le plus bas correspond à la priorité la plus élevée. Si le courrier ne peut pas être distribué à l’aide du premier enregistrement de priorité, le deuxième enregistrement de priorité est utilisé, et ainsi de suite.

Les enregistrements texte ou TXT peuvent contenir du texte arbitraire, mais peuvent également être utilisés pour définir du texte lisible par machine.

Les enregistrements NAME ou CNAME canoniques lient un nom d'alias à un autre nom de domaine canonique. Par exemple, alias.example.com peut être lié à example.com.

Le DNS est l’une des principales technologies permettant l’existence d’Internet. C’est également un élément essentiel de l’infrastructure réseau. Parce qu’il est essentiel de disposer d’une infrastructure DNS disponible, intelligente, sécurisée et évolutive, le DNS ne se contente pas de fournir du contenu et des applications : il gère une architecture distribuée et redondante, garantissant une haute disponibilité et un temps de réponse utilisateur de qualité. Si le DNS échoue, la plupart des applications Web ne fonctionneront pas correctement. Cela rend le DNS non seulement essentiel, mais également une cible de choix pour les attaques. Si vous ne disposez pas d’une infrastructure DNS appropriée, les clients ne pourront pas accéder à vos applications ou à votre contenu, ce qui pourrait les amener à se tourner ailleurs pour leurs besoins.

Cependant, les services DNS standard présentent certaines limitations. Premièrement, même si le DNS rend votre application/site Web/contenu disponible, il ne se soucie pas vraiment de savoir s’il est opérationnel ou même s’il existe.

De plus, le DNS n’a pas de réelle capacité à répartir la charge. Il continuera à utiliser toutes les adresses IP, même si l'application prise en charge par cette IP est surchargée ou en panne.

Le DNS n’a pas non plus de concept d’application avec état : il ne peut pas garantir qu’un utilisateur revienne à la même adresse IP. Par exemple, si vous accédez à un centre de données particulier et créez un panier d'achat qui est maintenu dans ce centre de données, rien ne garantit que la prochaine fois que vous résoudrez le nom, vous obtiendrez la même adresse IP.

Enfin, les serveurs DNS standards ne peuvent répondre qu’à un nombre limité de requêtes DNS par seconde, ce qui les rend vulnérables aux attaques par déni de service distribué (DDoS).

Le DNS est l’épine dorsale d’Internet, mais c’est aussi l’un des points les plus vulnérables de votre réseau, ce qui en fait une cible de grande valeur. Les attaques DDoS peuvent inonder vos serveurs DNS au point de les pirater ou de les faire échouer, ce qui entraîne la redirection des requêtes vers un serveur malveillant. Pour éviter cela, une architecture performante, distribuée et sécurisée doit être intégrée au réseau. Les entreprises doivent également ajouter davantage de serveurs DNS lors des pics DNS et des attaques DDoS.

Même si les serveurs DNS et les services cloud peuvent gérer des quantités variables de requêtes par seconde, avec des coûts augmentant à mesure que les requêtes augmentent, cette solution nécessite souvent une intervention manuelle lorsque des modifications sont nécessaires. Et comme de nouvelles vulnérabilités continuent d’apparaître, les serveurs DNS traditionnels nécessitent une maintenance et des correctifs fréquents, ce qui les rend encore plus coûteux.

Maintenant que nous avons établi que le DNS est sujet à de graves attaques, parlons de la manière dont les contrôleurs de distribution d’applications (ADC) contribuent à protéger l’infrastructure DNS. Les ADC peuvent équilibrer les charges de plusieurs serveurs DNS et mettre en cache les réponses, offrant ainsi une évolutivité et permettant aux serveurs DNS de gérer de grandes quantités de trafic et des attaques massives. Cette fonctionnalité permet aux clients de déployer plusieurs serveurs DNS en même temps, ce qui leur permet de maximiser la disponibilité des applications, d'offrir une plus grande vitesse et d'améliorer les performances. Les ADC détectent également rapidement les attaques DDoS et acheminent ces connexions loin des serveurs, voire les rejettent complètement. Les ADC prennent en charge DNSSEC et permettent aux organisations de se défendre contre des menaces telles que l'empoisonnement du cache et les attaques de type « man-in-the-middle ». Grâce à tout cela, les ADC réduisent le coût total de possession des clients en réduisant le besoin de provisionner des serveurs DNS supplémentaires en tant que sauvegardes en cas de surcharge ou d’attaque.

En bref, un ADC hautes performances peut non seulement protéger les serveurs DNS contre diverses attaques, mais peut également fournir une évolutivité, améliorer les performances et réduire le coût total de possession, tout en permettant aux serveurs DNS de gérer de lourdes charges de trafic.

Avec la croissance des applications mobiles et des nouvelles technologies telles que les appareils Internet des objets (IoT), le DNS se développe également. De plus, le nombre d’applications augmente rapidement, tout comme le volume de trafic accédant à ces applications. Au cours des 5 dernières années, le volume de requêtes DNS a doublé pour les adresses .com et autres. Plus de 10 millions de noms de domaine ont été ajoutés à Internet en 2016 ; et à mesure que de plus en plus d’implémentations cloud, mobiles et IoT sont déployées, le DNS devrait croître à un rythme encore plus rapide. Certaines études récentes réalisées sur le trafic Internet mondial montrent que le nombre d’utilisateurs d’Internet atteindra 4,1 milliards d’ici la fin de 2020. Étant donné que les serveurs DNS sont essentiels à Internet, sans un DNS fonctionnant bien, Internet serait pratiquement inutile.

Tout comme l’IoT, la popularité des services cloud a considérablement augmenté au cours des dernières années. Par conséquent, il est plus important que jamais de réfléchir à votre infrastructure DNS, ainsi qu’aux avantages et aux menaces qui y sont associés. D’une part, le DNS faisant autorité basé sur le cloud offre de meilleures performances, une haute disponibilité, une sécurité et une évolutivité. D’autre part, il est également vulnérable aux menaces telles que les attaques contre l’infrastructure DNS et les attaques DDoS.

Ces menaces ont le potentiel de perturber considérablement l’accès aux sites Web, aux applications, aux services cloud et à d’autres ressources. Planifier et gérer efficacement votre infrastructure informatique est absolument essentiel pour maintenir ces attaques à distance et continuer à donner à vos employés et clients l’accès aux ressources dont ils ont besoin, quand et où ils en ont besoin.