Le DNS, comment ça marche?

Yazid AKANHO
Office of the CTO - ICANN

August 2020
Agenda

1 2
Il était une fois… Évolution du DNS

3 4
Base de données et Résilience, Aperçu de
données DNS, processus de l’administration de la Zone
résolution Racine.

|2
Il était une fois…
Noms et Nombres

◉ Les appareils sont identifiés sur Internet à l’aide d’adresses IP.

⚪ IPv4: [Link]
IPv6: [Link]

◉ Les adresses IP sont faciles à utiliser pour les machines, les humains
préfèrent utiliser des noms.

◉ Au début de l’Internet, les noms étaient au format simple

⚪ Il n’y avait Pas encore de noms de domaine
« Noms d’étiquettes uniques », 24 caractères maximum
Appelés noms d’hôte

|4
Résolution de nom

◉ Le processus permettant de déterminer l’adresse IP à partir du nom (ou le nom à partir de

l’adresse IP) est appellee résolution de nom (ou resolution inverse).

◉ Au début d’Internet, la resolution de noms était basée sur le fichier en clair appelé
[Link]

◉ Même fonction mais format légèrement différent du fichier /etc/hosts

◉ Maintenance centralisée par le NIC (Network Information Center) du Stanford

Research Institute (SRI)
◉ Les administrateurs réseau envoyaient les mises à jour par e-mail.

◉ Dans l’idéal, tout le monde avait la dernière version du fichier

⚪ Publié une fois par semaine
Téléchargeable via FTP

|5
Problèmes avec [Link]

◉ Contention de nommage
• Modifications effectuées à la main dans un fichier texte (pas de base de données)
Pas de bonne méthode pour empêcher les doublons

◉ Synchronisation
• Personne n’a jamais eu la version à jour du fichier

◉ Trafic and charge

• Bande passante importante requise pour télécharger le fichier

◉ Difficile de repliquer ce fichier maintenue de manière centralisée.

|6
DNS à la rescousse

◉ Les discussions pour un remplacement ont commencé au début des

années 1980

◉ Objectifs:
◉ Résoudre la difficulté de réplication de [Link]
◉ Simplifier le routage des e-mails

◉ Résultat obtenu: le Système des Noms de Domaine ou Domain Name

System (DNS)

◉ Spécifications documentées dans plusieurs RFC:

◉ RFC 799, “Internet Name Domains”
◉ RFC 819, “The Domain Naming Convention for Internet User
Applications”
|7
Evolution du DNS !
L’espace de nommage

◉ La structure de la base de données DNS est un arbre inversé

appelé l’espace de nommage
Chaque nœud a une étiquette
Le nœud racine (et uniquement le nœud racine) a une étiquette null
“.” The root

Top-level
xn--j6w193g uk com coffee nodes
Levels

Second-level
foo bar example nodes

Third-level
www www www mail nodes

|9
Syntaxe de l’étiquette

◉ Les caractères autorisés pour les noms sont: lettres, chiffres, trait
d’union
Longueur maximale 63 caractères
Les comparaisons de noms ne sont pas sensibles à la casse

“.”

xn--j6w193g uk com coffee

foo bar example

www www www mail

| 10
Noms de Domaine

◉ Chaque noeud possède un nom de domaine

◉ Ce nom de domaine est obtenu en combinant du bas vers le haut les
étiquettes de chaque noeud, du neoud dont il est question jusqu’à la
racine, en séparant par un “.”
◉ Exemple: [Link].
“.”

xn--j6w193g uk com coffee

foo bar example

www www www mail

| 11
Fully Qualified Domain Names (FQDN)

◉ Un fully qualified domain name (FQDN) identifie de façon univoque un noeud

◉ Pas lié à un autre nom de domaine
◉ Un FQDN finit par un “.”
◉ Exemple de FQDN: [Link].

“.”

xn--j6w193g uk com coffee

foo bar example

www www www mail

| 12
Domaines

◉ Un domain est un noeud avec tout ce qu’il renferme en dessous

de lui dans l’arborescence
◉ Le noeud de tête d’un domaine est appelé apex du domaine
◉ Exemple: le domaine com

“.”

xn--j6w193g uk com coffee

foo bar example

www www www mail

| 13
Zones

◉ L’espace de nom est subdivisé afin de permettre une administration distribuée.

◉ Ces divisions administratives sont appelées zones

◉ L’administrateur d’une zone peut librement déléguer l’administration d’une partie de cette
zone, ce qui crée une nouvelle zone.

◉ Les Delegations créent des zones

⚪ La zone qui délègue est appellée parent
⚪ La zone créée est appellée child

| 14
Les zones sont des frontières administratives

“.”

xn--j6w193g uk com coffee

foo bar example

www www
www mail

| 15
Les délégations créent de Nouvelles zones

“.”

xn--j6w193g uk com coffee

foo bar example

www www
www mail

| 16
Base de données et données DNS
Données DNS

◉ Le standard DNS spécifie le format des données DNS transmises à travers le reseau.

◉ Le standard spécifie également une representation des données au format texte et

appellée “master file format”, utilisé pour stocker les données (un peu comme les tables
en base de données.)

◉ Un fichier de zone comporte toutes les données de cette zone au format master file
format.

| 18
Enregistrements DNS

◉ Pour rappel, chaque noeud dispose d’un nom de domaine.

◉ Un nom de domaine peut posséder differentes sortes de données.

◉ Ces données sont appelées enregistrements de ressource, en anglais Ressource

Reccord (RR)

◉ Il existe plusieurs types d’enregistrements de resource correspondant chacun à un type de

données.

| 19
Fichiers de zone

◉ Une zone se compose de plusieurs enregistrements de ressources

Tous les enregistrements de ressources d’une zone sont stockés dans un fichier de zone
Chaque zone a (au moins) un fichier de zone
Les enregistrements de ressources provenant de plusieurs zones ne sont jamais
rassemblés dans un même fichier.

| 20
Format of Resource Records

◉ Un enregistrement de ressource dispose de cinq champs:

⚪ Owner: Nom de domaine auquel est associé l’enregistrement de ressource
⚪ Time to live (TTL): temps (en secondes) pendant lequel l’enregistrement peut être mis en
cache (à étudier plus tard)
⚪ Class: Un mécanisme d’extension très peu utilisé
⚪ Type: type de données contenue dans l’enregistrement
⚪ RDATA: donnée que transporte l’enregistrement (du type spécifié correspondant)

| 21
Format du Master File

◉ Syntaxe d’un enregistrement de ressource dans le master file:

[owner] [TTL] [class] <type> <RDATA>

◉ Les champs entre crochet sont facultatifs

◉ Les champs Type et RDATA sont obligatoires.

| 22
Types d’enregistrements de ressources courants

◉ A adresse IPv4

◉ AAAA adresse IPv6

◉ NS Nom d’un serveur de noms faisant autorité

◉ SOA “Start of authority”, apparaît à l’apex de la zone

◉ CNAME Nom d’un alias vers un autre nom de domaine

◉ MX Nom d’un « serveur de messagerie »

PTR Adresse IP codée en tant que nom de domaine
(pour la resolution inverse)

| 23
En réalité, une multitude de type d’enregistrement de
ressource

◉ Il existe de nombreux autres types d’enregistrements de ressources

87 types attribués:
[Link]

| 24
Enregistrements de type adresse IP (A & AAAA)

◉ L’utilisation la plus courante de DNS consiste à associer des noms de domaine à des adresses
IP
Les deux principaux types d’enregistrement de resource sont:
⚪ Enregistrement A: fait le lien entre un nom de domaine et une adresse IP

[Link]. A [Link]

⚪ Enregistrement “Quad A” (AAAA): associe un nom de domaine à une adresse IPv6

[Link]. AAAA [Link]

| 25
Name Server (NS)

◉ Spécifie un serveur de noms faisant autorité pour une zone

◉ Seul type d’enregistrement apparaissant à deux niveaux

⚪ Zones “Parent” and “enfant”

[Link]. NS [Link].
[Link]. NS [Link].

◉ A gauche, se trouve le nom de la zone

◉ A droite, nom du serveur de nom autoritaire (faisant autorité) sur la zone.

⚪ Attention: Il ne s’agit pas d’une adresse IP!

| 26
Les enregistrements de type NS représentent la délégation

“.”
com. NS
[Link].
com. NS
[Link].
com. NS
[Link].
com. NS
[Link].
xn--j6w193g uk com coffee
com. NS
[Link].
com. NS
[Link].
com. NS
[Link].
com. NS
[Link].
com. NS
foo bar example
[Link].
com. NS
[Link].
com. NS
[Link].
www www com. NS
[Link].
www com. mail
NS
[Link].

| 27
Les enregistrements NS apparaissent en deux endroits

com. NS
“Parent zone” “.” [Link].
com. NS
[Link].
com. NS
[Link].
com. NS
[Link].
com. NS
[Link].
com. NS
com [Link].
“Child zone” com. NS
[Link].
NS NS NS … NS com. NS
[Link].
(13 NS records total) com. NS
[Link].
com. NS
[Link].
com. NS
[Link].
com. NS
[Link].
com. NS
[Link].

| 28
Glue Records

◉ Un glue record est:

⚪ Un enregistrement A ou AAAA associé à l’enregistrement NS dont l
⚪ Inclue dans la liste des données de delegation continues dans la zone parent

◉ utile pour rompre la dépendance circulaire lorsque le nom du serveur de noms se termine par
le nom de la zone déléguée

[Link]. NS [Link].

| 29
Exemple de glue record

“.”

[Link]. NS [Link].
[Link]. NS [Link].
[Link]. NS
[Link].
[Link]. NS
[Link].
xn--j6w193g uk com coffee
[Link]. NS
[Link].
[Link]. NS
[Link].
[Link]. NS
[Link].
[Link]. NS
[Link].
foo bar example
[Link]. NS
[Link].
[Link]. A [Link]
NS NS NS …
[Link]. A [Link]

www www
www mail ns1 ns2
A A

| 30
 Start of Authority (SOA)

◉ Contient des informations administratives à propos de la zone.

◉ Chaque domaine doit avoir un enregistrement de ressource Start of Authority là où la délégation lui a
été faite au niveau de la zone parent.

◉ SOA indique qu’un serveur de noms fait autorité pour un domaine. Si nous ne recevons pas un RR
SOA dans une réponse de requête à partir d’un serveur, cela indique que le serveur ne fait pas
autorité pour ce domaine.

◉ Les serveurs de noms DNS sont normalement configurés en clusters (master et secondaires). La
base de données de chaque cluster est synchronisée par le biais de transferts de zone. Les
données d’un enregistrement SOA pour une zone sont utilisées pour contrôler le transfert de zone.

| 31
Start of Authority (SOA)
SOA contient les champs suivants:
⚪ mname: le principal serveur de nom pour le domaine, ou le 1er serveur de nom dans la

liste des serveurs de nom pour ce domaine. Ex: [Link], mname [Link].

⚪ rname: l’adresse e-mail d’un responsible technique du domaine. Pour une adresse mail
[Link]@[Link]; on aura john\.[Link] .

⚪ serial: Le numéro de version de la copie originale de la zone (ne change pas Durant les
transferts de zone). Si un serveur de noms secondaires asservi à celui-ci observe une
augmentation de ce nombre, l’esclave supposera que la zone a été mise à jour, et il
lancera un transfert de zone. Les mises à jour de zone sont indiquées par le cachet de
date et d’heure (ex: si update le19 March 2020 at [Link]hs le serial pourrait être
20200316155500).

| 32
Start of Authority (SOA) (2)

⚪ refresh: Nombre de secondes avant qu’un NS secondaire ne vérifie les mises à jour de
zone. Généralement 24hs (86400 s).

⚪ retry: Nombre de secondes avant qu’un rafraîchissement (failed refresh) qui a échoué soit
repris. Valeur normalement inférieure à refresh. En général 2hs (7200 s).

⚪ expire: Limite supérieure en secondes avant qu’un serveur de noms secondaires ne cesse
de répondre aux demandes de la zone si le maître ne répond pas. Généralement, 1000hs
(360000 s).

| 33
Start of Authority (SOA) (3)

⚪ minimum: Le TTL pour des caching négatifs (temps pendant lequel le resolver gardera
cette réponse negative comme valide avant une nouvelle tentative).

[Link]. SOA [Link]. John\.[Link]. (

20200316155500 ; serial
86400 ; refresh (1 day)
7200 ; retry (2 hours)
3600000 ; expire (1000 hours)
172800 ) ; minimum (2 days)

| 34
CANNONICAL NAME (CNAME)

◉ Le nom canonique (CNAME) est normalement utilisé pour alias un nom à un autre (mais ne le
confondez pas avec un ALIAS). Dans le cas de CNAME, il ne devrait pas y avoir d’autres
enregistrements sur le même nom.

◉ À titre d’exemple, supposons que nous voulons avoir à la fois [Link] et

[Link] pointant vers le même serveur [Link], l’enregistrement devrait être:

[Link]. CNAME [Link].

◉ UN CNAME pointe toujours vers un nom (pas une adresse IP).

◉ Ailleurs, un peu plus loin, il devrait y avoir un enregistrement :

[Link]. A [Link]

| 35
CANNONICAL NAME (CNAME)

◉ Quelques limites:

⚪ Les enregistrements CNAME ne doivent pas pointer directement vers une adresse IP, mais
toujours vers un autre nom de domaine.
⚪ Les enregistrements CNAME ne peuvent pas coexister avec un autre enregistrement pour
le même nom. Il n’est pas possible d’avoir à la fois un enregistrement CNAME et TXT pour
[Link].
Un CNAME peut pointer vers un autre CNAME, bien qu’il ne soit généralement pas
recommandé pour des raisons de performance. Le CNAME doit pointer le plus près
possible du nom de la cible afin d’éviter les problèmes de performance.
⚪ Il n’y a pas de corrélation directe entre un CNAME et une redirection HTTP. La
configuration d’un CNAME n’entraîne pas automatiquement de redirection HTTP.

| 36
Mail Exchange (MX)

◉ Le problème de routage du courrier : où le courrier pour user@[Link] doit-il aller ?

◉ Dans le bon vieux temps: rechercher l’adresse de [Link] et livrer via SMTP à cette
adresse
⚪ Défaut de flexibilité: nom de domaine dans l’adresse e-mail doit être (aussi) un serveur de
messagerie
⚪ N’était pas un souci à l’époque de [Link] : les e-mails étaient au format user@host
⚪ Mais que faire si l’adresse e-mail est un hôte qui n’est pas sur Internet?
• E.g., UUCP
⚪ Ou, vous voulez que le serveur de messagerie sur un serveur différent du serveur de ce
domaine?

◉ DNS offre plus de flexibilité.

| 37
Mail Exchange (MX)

◉ Spécifie un serveur de messagerie et une préférence pour chacun.

[Link]. MX 10 [Link].
[Link]. MX 20 [Link].

◉ Le nom du propriétaire correspond au nom de domaine dans une adresse e-mail, c’est-à-dire à
la droite de l’«@»
La preference est un nombre après le “MX”, le plus bas est préféré.

◉ Le champ le plus à droite est le nom de domaine d’un serveur de messagerie qui accepte lee
mails.

| 38
Reverse DNS (PTR)

◉ L’utilisation la plus courante de DNS consiste à mapper des noms de domaine à des adresses
IP.

◉ DNS mappe également les adresses IP aux noms de domaine. C’est ce qu’on appelle le DNS
inverse et il utilise le type PTR RR.
IPv4 reverse DNS est associé à un domaine spécial (subtree) appelé [Link].

◉ IPv6 reverse DNS est associé à un domaine spécial (subtree) appelé [Link].

◉ Pour représenter l’adresse IPv4 [Link] de [Link] nom de domaine, nous renversons
l’adresse IPv4 et ajoutons le suffixe de domaine de deuxième niveau [Link]. Résultat
final:

[Link].[Link].

| 39
Reverse DNS entries (PTR)

◉ résolution inverse précédente: “.”

[Link].[Link].
arpa uk com coffee

In-addr bar example

191 192 250 www mail

28 0 33

1 2

6 7

| 40
Quelques autres types d’enregistrements
◉ TXT
⚪ Juste du texte

◉ URI, NAPTR
⚪ associe noms de domaine to URIs

◉ TLSA
⚪ Utilisé par DANE pour associer les certificats X.509 à un domaine.

◉ CDS, CDNSKEY, CSYNC

⚪ Synchronisation père-fils.

◉ X25, ISDN, ATMA

⚪ Adresses pour des protocols non-IP

◉ LOC, GPOS
⚪ Information de localicasion

| 41
Exemple de fichier de zone: [Link]

[Link]. SOA [Link]. [Link]. (

20200316155500 ; serial
86400 ; refresh (1 hour)
7200 ; retry (2 hour)
2592000 ; expire (4 weeks 2 days)
172800 ) ; minimum (2 days)
[Link]. NS [Link].
[Link]. NS [Link].
[Link]. NS [Link].
[Link]. NS [Link].
[Link]. NS [Link].
[Link]. NS [Link].
[Link]. NS [Link].
[Link]. NS [Link].
[Link]. NS [Link].
[Link]. A [Link]
[Link]. AAAA [Link]
[Link]. MX 10 [Link].
[Link]. MX 20 [Link].
[Link]. CNAME [Link].
[Link]. A [Link]
[Link]. A [Link]

| 42
Processus de résolution
DNS en bref

◉ DNS est une base de données distribuée

Les données sont conservées localement mais disponibles dans le monde
entier

◉ Resolvers envoient les requêtes

◉ Name servers répondent aux requêtes

◉ Optimisations:
◉ Caching pour améliorer les performances
◉ Réplication pour assurer la redondance et la distribution de charge.

| 44
Composants du DNS
Recursive Name Server

Authoritative
Name Server
Name
Resolver
Server
DNS query DNS queries
and response and responses
Cache

Stub Authoritative
Resolver Name Server

API call
Authoritative
Name Server

| 45
Serveurs de Noms (NS) et Zones

◉ Les serveurs de Noms répondent aux requêtes

◉ Un serveur de nom faisant autorité (authoritative) sur une zone a une connaissance
complète de cette zone
⚪ Peut fournir une réponse définitive aux requêtes sur cette zone

◉ Une zone doit avoir plusieurs serveurs autoritaires (BCP16)

⚪ redondance
⚪ Répartition de charge

| 46
Processus de résolution de noms

◉ Le processus de résolution est la traduction d’un nom en une adresse ou de manière

générique, la recherche d’une réponse à une requête DNS.

◉ Le stub resolver, le serveur de nom récursif et les serveurs faisant autorité collaborent
ensemble pour rechercher les informations DNS dans l’espace de nommage.

◉ Une requête DNS comporte les paramètres ci-après:

⚪ Nom de domaine, classe, type
• Ex: [Link], IN, A

◉ Deux categories de requêtes DNS:

⚪ Le Stub resolver envoit des requêtes recursives: “j’ai besoin de la réponse exacte ou
d’une erreur”.
⚪ Les serveurs récursifs envoient des requêtes non-récursives ou itératives: “je me charge
de faire des recherches et accepte d’être redirigé”.

| 47
Processus de résolution de noms

Le processus étape par étape

| 48
Processus de résolution de noms
Mais en fait …

◉ Il n’y a aucune donnée en local, comment démarrer la resolution de noms? (un resolver qui
vient d’être mis en service!)
⚪ Cache (si activé!) vide
⚪ Ne fait autorité sur aucune zone

◉ Seule option possible: s’adresser à la source: la racine!

⚪ Les serveurs racine (root name servers) sont ceux faisant autorité sur la zone racine.

◉ Mais comment le resolver trouve les enregistrements NS, A/AAAA des serveurs racine?
⚪ Ils doivent être configures quelque part! (Ah oui, les logiciels DNS sont preconfigures avec
une version à jour d’un fichier appelé root hint file)
⚪ Il n’y a pas une autre alternative de découverte

◉ Le root hints file contient les nom et adresses IP des serveurs racine.
⚪ [Link]

| 49
Liste des Serveurs Racine et fichier Root Hints
. NS [Link].
. NS [Link].
. NS [Link].
. NS [Link].
. NS [Link].
. NS [Link].
. NS [Link].
. NS [Link].
. NS [Link].
. NS [Link].
. NS [Link].
. NS [Link].
. NS [Link].
[Link]. A [Link]
[Link]. A [Link]
[Link]. A [Link]
[Link]. A [Link]
[Link]. A [Link]
[Link]. A [Link]
[Link]. A [Link]
[Link]. A [Link]
[Link]. A [Link]
[Link]. A [Link]
[Link]. A [Link]
[Link]. A [Link]
[Link]. A [Link]
[Link]. AAAA [Link]
[Link]. AAAA [Link]
[Link]. AAAA [Link]
[Link]. AAAA [Link]
[Link]. AAAA [Link]
[Link]. AAAA [Link]
[Link]. AAAA [Link]
[Link]. AAAA [Link]
[Link]. AAAA [Link]
[Link]. AAAA [Link]
[Link]. AAAA [Link]
[Link]. AAAA [Link]

| 50
Comprendre le caching

◉ Lorsqu’un resolver récursif démarre, il n’a aucune dnnée DNS relative aux noms de domaine (à
l’exception des serveurs racine, dont les adresses IP et noms se trouvent dans ses fichiers de
configuration).

◉ Chaque fois que le resolver récursif apprend la réponse à une requête, il met en cache les
données afin de pouvoir les réutiliser pour les futures requêtes identiques.

◉ Il ne garde en cache la réponse que pour un temps limité: le TTL de l’enregistrement.

◉ Lorsque le TTL expire, le resolver efface ces données de son cache. Toute requête future
donne lieu à une nouvelle recherche.

◉ La mise en cache accélère le processus de résolution et réduit la charge potentielle sur

l’ensemble de l’infrastructure DNS.

| 51
Processus de résolution de noms

Le stub resolver du téléphone est configure pour envoyer

les requêtes au resolver récursif [Link]
Recursive Resolver
[Link]

Stub
Resolver

| 52
Processus de résolution de noms

L’utilisateur tape [Link] dans son navigateur

web par exemple; ce dernier va contacter le stub resolver
local de l’équipement Recursive
pour résoudre
Resolver
cette requête.
[Link]

Stub
Resolver

“[Link]”

| 53
Processus de résolution de noms

Le stub resolver du téléphone émet une requête DNS de type

[Link], IN, A à destination du resolver [Link]
Recursive Resolver
[Link]

What’s the IP address

of [Link]?

Stub
Resolver

| 54
Processus de résolution de noms

Le resolver récursif [Link] ne possédant aucune information à propos de

[Link], il va devoir interroger un serveur racine.
Recursive Resolver
[Link]
What’s the IP address [Link]
of [Link]?

Stub
Resolver

| 55
Processus de résolution de noms

Le serveur racine renvoit une référence vers la zone .com

Recursive Resolver
[Link]
Here are the name [Link]
servers for .com.

Stub
Resolver

| 56
Processus de résolution de noms

Le serveur récursif interroge ensuite un serveur autoritaire du .com

Recursive Resolver
[Link]
[Link]

What’s the IP address

of [Link]? [Link]
Stub
Resolver

| 57
Processus de résolution de noms

Le NS autoritaire du .com renvoie une référence sur la

zone [Link]
Recursive Resolver
[Link]
[Link]

Here are the name

servers for [Link]. [Link]
Stub
Resolver

| 58
Processus de résolution de noms

Le resolver récursif interroge ensuite un serveur autoritaire

de [Link].
Recursive Resolver
[Link]
[Link]

[Link]
What’s the IP address
Stub
of [Link]?
Resolver
[Link]

| 59
Processus de résolution de noms

Le serveur autoritaire de [Link] renvoie la réponse

car il a autorité sur la zone.
Recursive Resolver
[Link]
[Link]

Here are all the IP addresses

for [Link].

[Link]
Stub
Resolver
[Link]

| 60
Processus de résolution de noms

Le resolver recursif peut enfin envoyer la réponse au stub

resolver
Recursive Resolver
[Link]
[Link]

Here are all the IP addresses

for [Link].

[Link]
Stub
Resolver
[Link]

| 61
Processus de résolution de noms

Puis le stub resolver partage l’adresse IP au navigateur

qui a initialement émis la requête.
Recursive Resolver
[Link]
[Link]

[Link]
Stub
Resolver
[Link]

[Link]
[Link]

| 62
Processus de résolution de noms

◉ Suite à cette première résolution, le resolver recursif [Link] connaît désormais:

⚪ Les noms et addresses IP des serveurs faisant autorité sur la zone .com
⚪ Les noms et addresses IP des serveurs faisant autorité sur la zone [Link]
⚪ L’adresse IP de [Link]

◉ Le resolver garde en cache toutes ces données afin d’être plus rapide dans les prochaines
résolutions de noms sans devoir reprendre toutes ces étapes intermédiaires.

…..

A présent, regardons ce qui se passera justement ensuite!

| 63
Processus de résolution de noms

Un autre utilisateur désire se render sur [Link], l’application interroge

le stub resolver pour lui fournir l’adresse IP associée à ce nom
Recursive Resolver
[Link]

Stub
Resolver

“[Link]”

| 64
Processus de résolution de noms

Le stub resolver du téléphone envoie une requête DNS

[Link] IN A au resolver [Link]
Recursive Resolver
[Link]

What’s the IP address

of [Link]?

Stub
Resolver

| 65
Processus de résolution de noms

Le resolver récursif interroge directement un serveur autoritaire sur

la zone [Link] puisqu’il a cette donnée encore présente dans
son cache. Recursive Resolver
[Link]
[Link]

[Link]
What’s the IP address
Stub
of [Link]?
Resolver
[Link]

| 66
Processus de résolution de noms

Le serveur de [Link] renvoie la réponse au

resolver
Recursive Resolver
[Link]
[Link]

Here are all the IP addresses

for [Link].

[Link]
Stub
Resolver
[Link]

| 67
Processus de résolution de noms

Le resolver récursif revoie la réponse reçue au stub

resolver
Recursive Resolver
[Link]
[Link]

Here are all the IP addresses

for [Link].

[Link]
Stub
Resolver
[Link]

| 68
Processus de résolution de noms

Le Stub resolver renvoie la réponse à l’application

Recursive Resolver
[Link]
[Link]

[Link]
Stub
Resolver
[Link]

[Link]
[Link]

| 69
Résilience DNS #1
Résilience DNS #1

◉ Les zones doivent disposer de plusieurs serveurs faisant autorité sur ladite zone
⚪ Pour assurer la redondance
⚪ Pour répartir la charge

| 71
Synchronisation de serveurs autoritaires

◉ Comment maintenir alignées les données se trouvant dans les fichiers de zone dupliquées à travers plusieurs
serveurs?

◉ Fort heureusement, le protocole DNS résoud ce problème.

◉ Le serveur primaire a autorité pour répondre

⚪ Les changements sont donc effectués sur le NS primaire.

◉ Les serveurs secondaires obtiennent les données à jour de la zone à travers une opération appelée zone
transfer permettant de copier le fichier de zone depuis un autre serveur autoritaire.
⚪ Le serveur duquel il copie s’apelle primary server

◉ L’opération de transfert de zone est initiée par le NS [Link] transfer is initiated by the secondary
⚪ Chaque NS secondaire interroge le primary de façon périodique pour vérifier s’il y a une mise à jour.

| 72
Aperçu de l’administration de la Zone Racine
Aperçu de l’administration de la Zone Racine

◉ L’administration de la racine DNS n’est pas chose aisée!

◉ Douze organisations administrent les Treize instances de serveurs faisant autorité sur le zone
racine.

| 74
Les Opérateurs de Serveurs Root

◉ AVerisign
◉ BUniversity of Southern California Information Sciences Institute
◉ CCogent Communications, Inc.
◉ DUniversity of Maryland
◉ EUnited States National Aeronautics and Space Administration (NASA) Ames
Research Center
◉ F Information Systems Consortium (ISC)
◉ G United States Department of Defense (US DoD)
Defense Information Systems Agency (DISA)
◉ HUnited States Army (Aberdeen Proving Ground)
◉ I Netnod Internet Exchange i Sverige
◉ J Verisign
◉ KRéseaux IP Européens Network Coordination Centre (RIPE NCC)
◉ L Internet Corporation For Assigned Names and Numbers (ICANN)
◉ M WIDE Project (Widely Integrated Distributed Environment)

| 75
Processus de changements dans la Zone Racine
1. Submit IANA
Note: le diagramme montre une
TLD change Functions Root Zone
version très simplifiée du processus
Operator Database
Manager actuel.
2. Request
implementation

Root Zone
Maintainer
ICANN 3. Update root
Root Zone zone database
Database
VERISIGN
4. Create root
Root Zone zone file
ROOT ZONE OPERATORS File

Root Zone 5. Publish root

Distribution zone

6. Transfer root
zone

A B C D E F G H I J K L M
Root Servers

| 76
Résilience DNS #2
Résilience DNS #2– (Résilience du Système de Serveurs Root)

◉ Un Opérateur de serveur racine peut déployer des copies de son serveur n’importe où
dans le monde grâce à la technique anycast
⚪ Assurer la redondance et résilience globale de l’infrastructure DNS.
⚪ Répartir la charge entre plusieurs serveurs.

◉ Chaque copie est appelée instance du root server.

◉ Toutes les instances doivent avoir la même donnée afin de s’assurer que tous répondront
de la même manière aux requêtes DNS et aussi s’assurer de la convergence d’Internet.

| 78
Le Système de Serveurs Racine actuel: [Link]

A: 53 C: 10 E: 308 G: 06 I: 72 K: 78 M: 09

B: 06 D: 156 F: 267 H: 08 J: 185 L: 167

Tab: Root Server instances

| 79
Visit us at [Link]

| 80