Décrire les 6 étapes de la résolution DNS récursive
Distinguer les types d'enregistrements DNS (A, AAAA, MX, CNAME, TXT, NS, PTR)
Comprendre l'impact du TTL et les enjeux de sécurité DNS
1
Simulateur de résolution DNS
Saisissez un nom de domaine et observez les 6 étapes de la résolution récursive animées en temps réel.
Chaque étape révèle un acteur différent dans la chaîne DNS.
Exemples rapides :
💻 Client
→
🔄 Résolveur
→
🌍 Racines
→
📂 TLD
→
🏛️ Autoritaire
Cache hit : si la réponse est déjà en cache (étape 1), les étapes 2 à 6 sont totalement
ignorées. C'est pourquoi le DNS est rapide au quotidien : la plupart des domaines visités récemment
sont en cache local ou dans le résolveur intermédiaire.
2
Types d'enregistrements DNS
Un domaine peut avoir plusieurs types d'enregistrements dans sa zone DNS.
Cliquez sur une ligne pour voir un exemple concret et son cas d'usage.
Type
Description
Catégorie
Règle CNAME : un enregistrement CNAME ne peut jamais être à la racine d'un domaine
(apex). example.com CNAME …
est invalide. Utilisez un enregistrement A ou un service d'ALIAS/ANAME chez votre registrar.
3
Impact du TTL (Time To Live)
Le TTL définit combien de secondes une réponse DNS peut être mise en cache. Il détermine
le compromis entre fraîcheur des données et charge sur les serveurs.
t = 0 : Vous changez l'adresse IP de votre serveur.
Voici combien de temps chaque TTL met à expirer dans les caches des clients.
t = 0t = 5 mint = 1ht = 24h
TTL 300s5 minutes
5 min
✓ Expire en 5 min→ Propagation rapide, mais +++ requêtes DNS / charge élevée
TTL 3 600s1 heure
1h
✓ Expire en 1h→ Bon équilibre charge / fraîcheur. Valeur par défaut courante.
TTL 86 400s24 heures
24h
⚠ Expire en 24h→ Très stable, faible charge. Changement d'IP pénible.
Bonne pratique migration : 48h avant une migration de serveur, réduisez le TTL à
300s. Après la bascule et vérification que tout fonctionne, remontez le TTL à 3 600s ou 86 400s.
Vous limiterez ainsi la durée d'exposition à l'ancienne IP tout en préservant la stabilité habituelle.
4
DNS et sécurité
Le DNS classique transmet ses requêtes en clair sur UDP port 53. Un attaquant en position
d'écoute peut voir chaque domaine consulté et falsifier les réponses (DNS spoofing / poisoning).
DNS classique
⚠ Non chiffré
→ QUERY: www.google.com ?
👁️Attaquant voit : www.google.com
← REPLY: 142.250.74.68
✏️Attaquant peut falsifier → 192.168.1.99
Port 53 UDP : Requêtes lisibles en clair
DoH / DoT
✓ Chiffré
→ [HTTPS/TLS] ██████████████
🔒Attaquant voit : données chiffrées
← [HTTPS/TLS] ██████████████
✅Réponse authentique et intègre
Port 443 (DoH) / 853 (DoT) : Tunnelé dans TLS
DoH
:443 HTTPS
DNS over HTTPS. Requêtes DNS encapsulées dans HTTPS. Indiscernable du trafic web. Supporté par Firefox, Chrome, Edge.
DoT
:853 TLS
DNS over TLS. Canal TLS dédié. Plus facile à filtrer que DoH car le port 853 est identifiable. Utilisé en entreprise.
DNSSEC
RFC 4033
Signature cryptographique des enregistrements DNS. Garantit l'authenticité de la réponse. Ne chiffre pas, signe.
DNS et sécurité : le DNS classique (UDP 53) transmet les requêtes en clair.
DoH (DNS over HTTPS) et DoT (DNS over TLS) chiffrent ces requêtes.
DNSSEC ajoute une signature cryptographique pour garantir l'authenticité des réponses.
Ces trois mécanismes sont complémentaires et non exclusifs.
5
Exercice : identifier les enregistrements DNS
Pour chaque scénario ci-dessous, choisissez le type d'enregistrement DNS approprié.
Une explication s'affiche après chaque réponse.