DNS

(Domain Name System)

Qu’est-ce que le DNS (Domain Name System) ?

• Pour faciliter la recherche d’un site donné sur Internet, le système de

noms de domaine (DNS) a été inventé. Le DNS permet d’associer un
nom compréhensible, à une adresse IP. On associe donc une adresse
logique, le nom de domaine, à une adresse physique l’adresse IP.
• Le nom de domaine et l’adresse IP sont uniques. Le DNS permet à
votre message d’atteindre son destinataire et non quelqu’un d’autre
possédant un nom de domaine similaire. Il vous permet également de
taper «www.nameshield.com» sans avoir à saisir une longue adresse
IP et d’accéder au site web approprié.
Role de DNS
• Un serveur DNS est un service qui permet de traduire un nom de
domaine (par exemple www.votre-organisation.com) en une adresse
IP afin de délivrer la requête faite par l’utilisateur à un serveur
spécifique.
• Par exemple, lorsque vous naviguez sur le web et que vous saisissez
l’adresse www.servlinks.com dans votre logiciel de navigation, le
serveur DNS de votre fournisseur Internet ou de votre entreprise,
traduit www.servlinks.com en une adresse IP (exemple :
65.25.78.126) afin de trouver le serveur qui abrite le site en question.
• C’est la même chose pour les courriels et les autres services sur
Internet.
hiérarchie DNS
• Un espace de noms DNS comprend le domaine
racine, des domaines de niveau supérieur, des
domaines de niveau secondaire et
(éventuellement) des sous domaines. La
combinaison de l’espace de noms DNS et du
nom d’hôte constitue le nom de domaine
pleinement qualifié (FQDN, fully qualified domain
name).
Résolution DNS
• Lorsqu’un internaute saisit une adresse dans son navigateur,
c’est donc un serveur DNS qui traduit cette adresse
humainement compréhensible, en une adresse IP,
compréhensible par les ordinateurs et les réseaux. L’adresse
www.nameshield.com est ainsi traduite en 81.92.80.11.
• On appelle cela la  résolution DNS .
• L’architecture logique du DNS est calquée sur la structure
hiérarchique des noms de domaine.
• Le DNS d’un niveau hiérarchique donné «délègue» au niveau
inférieur le soin de traiter le sous-domaine suivant, jusqu’au
dernier niveau qui, lui, connait l’adresse IP correspondant au
nom de domaine  demandé.
Fonctionnement de la technologie DNSSEC

• Le DNS transforme les noms de domaine, ou les noms de site Web, en

adresses de protocole Internet (adresses IP). Il s'agit d'identificateurs
uniques qui aident les ordinateurs du monde entier à accéder rapidement
aux informations. La sécurité DNS ajoute un ensemble d'extensions pour
une protection accrue
• Ces extensions de sécurité incluent :
• Authentification de l'origine des données DNS : permet de s'assurer
que le destinataire des données peut en vérifier la source.
• Déni d'existence authentifié : indique à un résolveur (responsable de la
traduction du nom de domaine en une adresse IP) qu'un nom de domaine
donné n'existe pas.
• Intégrité des données : garantit au destinataire des données que celles-
ci n'ont pas été modifiées en transit.
En quoi la sécurité DNS est-elle nécessaire ?

• Un DNS aide à diriger le trafic Web vers la destination appropriée. Il est utilisé par tout le
monde et partout, et tout le trafic Internet y passe. C'est pour cette raison qu'il s'agit d'un
système très sensible, exposé à de nombreuses menaces émanant de cyber-attaquants
qui cherchent à en prendre le contrôle afin d'en infecter et d'en extraire toutes les
données.
• De nombreuses entreprises d'aujourd'hui sont souvent vulnérables face aux risques de
sécurité des serveurs DNS, car elles n'utilisent que quelques serveurs DNS. De ce fait,
elles sont parfois incapables de se protéger contre les attaques volumétriques, au cours
desquelles un important trafic vers un site Web peut provoquer une défaillance des
serveurs et ainsi empêcher les utilisateurs de trouver le site Web.
• En plus de compromettre le fonctionnement d'un DNS, une attaque malveillante peut
également viser à exploiter les vulnérabilités de sécurité sur le serveur qui exécute les
services DNS, en extrayant des données précieuses comme des mots de passe, des
noms d'utilisateur et d'autres informations personnelles.
• Ces problèmes sérieux pour les entreprises font de la sécurité DNS un composant
essentiel pour assurer la sécurité en ligne.
Menaces courantes en matière de sécurité DNS
Sans DNSSEC adéquat, les entreprises peuvent être exposées aux risques suivants :

• Attaques par déni de service distribué (DDoS) : une attaque DDoS tire parti des
vulnérabilités de sécurité de plusieurs systèmes, comme ceux compromis par des logiciels
malveillants, et envoie de gros volumes de trafic vers un site Web ou une application Web.
Ces attaques peuvent entraîner une défaillance des serveurs et rendre le site Web ou
l'application inutilisable. Elles peuvent affecter les clients et même entraîner une perte de
revenus. Les attaques DDoS actuelles deviennent de plus en plus sophistiquées, ciblant
en profondeur la couche applicative, alors qu'elles n'affectaient auparavant que les
couches réseau et de transport externes.

• Attaques par amplification : lors de ces attaques, les pirates exploitent les vulnérabilités
d'un serveur DNS pour transformer des requêtes mineures en requêtes beaucoup plus
importantes, ce qui, là encore, peut provoquer une défaillance des serveurs. Une attaque
par amplification est un type d'attaque par réflexion, qui implique de submerger des DNS
publics à l'aide d'un certain nombre de paquets UDP (User Datagram Protocol). Ces
paquets sont gonflés dans le but de provoquer une défaillance des serveurs. Le terme
« réflexion » se rapporte au moment où les résolveurs DNS génèrent une réponse vers
une fausse adresse IP, qui est envoyée sous forme de requête DNS dans le cadre de
l'attaque.