⌂ Accueil 🌐 TCP/IP 1·Intro 2·Couches 3·Paquets 4·TCP/UDP 5·IP 6·Handshake 7·DNS 8·NAT 9·Ports 10·CIDR 11·Diag 12·Synthèse 13·Quiz 📖 Glossaire
🌐 Réseaux & Protocoles

DNS : le répertoire d'Internet

Comment www.google.com devient 142.250.74.68 : la résolution de noms en cascade.

Intermédiaire ⏱ ~10 min 🔵 Intermédiaire 📍 Palier 2/2 📄 Section 7/13
🎯

Objectifs de cette section

  • Décrire les 6 étapes de la résolution DNS récursive
  • Distinguer les types d'enregistrements DNS (A, AAAA, MX, CNAME, TXT, NS, PTR)
  • Comprendre l'impact du TTL et les enjeux de sécurité DNS
1
Simulateur de résolution DNS

Saisissez un nom de domaine et observez les 6 étapes de la résolution récursive animées en temps réel. Chaque étape révèle un acteur différent dans la chaîne DNS.

Exemples rapides :
💻 Client
🔄 Résolveur
🌍 Racines
📂 TLD
🏛️ Autoritaire
Cache hit : si la réponse est déjà en cache (étape 1), les étapes 2 à 6 sont totalement ignorées. C'est pourquoi le DNS est rapide au quotidien : la plupart des domaines visités récemment sont en cache local ou dans le résolveur intermédiaire.
2
Types d'enregistrements DNS

Un domaine peut avoir plusieurs types d'enregistrements dans sa zone DNS. Cliquez sur une ligne pour voir un exemple concret et son cas d'usage.

Type Description Catégorie
Règle CNAME : un enregistrement CNAME ne peut jamais être à la racine d'un domaine (apex). example.com CNAME … est invalide. Utilisez un enregistrement A ou un service d'ALIAS/ANAME chez votre registrar.
3
Impact du TTL (Time To Live)

Le TTL définit combien de secondes une réponse DNS peut être mise en cache. Il détermine le compromis entre fraîcheur des données et charge sur les serveurs.

t = 0 : Vous changez l'adresse IP de votre serveur. Voici combien de temps chaque TTL met à expirer dans les caches des clients.
t = 0 t = 5 min t = 1h t = 24h
TTL 300s 5 minutes
5 min
✓ Expire en 5 min → Propagation rapide, mais +++ requêtes DNS / charge élevée
TTL 3 600s 1 heure
1h
✓ Expire en 1h → Bon équilibre charge / fraîcheur. Valeur par défaut courante.
TTL 86 400s 24 heures
24h
⚠ Expire en 24h → Très stable, faible charge. Changement d'IP pénible.
Bonne pratique migration : 48h avant une migration de serveur, réduisez le TTL à 300s. Après la bascule et vérification que tout fonctionne, remontez le TTL à 3 600s ou 86 400s. Vous limiterez ainsi la durée d'exposition à l'ancienne IP tout en préservant la stabilité habituelle.
4
DNS et sécurité

Le DNS classique transmet ses requêtes en clair sur UDP port 53. Un attaquant en position d'écoute peut voir chaque domaine consulté et falsifier les réponses (DNS spoofing / poisoning).

DNS classique ⚠ Non chiffré
→ QUERY: www.google.com ?
👁️ Attaquant voit : www.google.com
← REPLY: 142.250.74.68
✏️ Attaquant peut falsifier → 192.168.1.99
Port 53 UDP : Requêtes lisibles en clair
DoH / DoT ✓ Chiffré
→ [HTTPS/TLS] ██████████████
🔒 Attaquant voit : données chiffrées
← [HTTPS/TLS] ██████████████
Réponse authentique et intègre
Port 443 (DoH) / 853 (DoT) : Tunnelé dans TLS

DoH

:443 HTTPS

DNS over HTTPS. Requêtes DNS encapsulées dans HTTPS. Indiscernable du trafic web. Supporté par Firefox, Chrome, Edge.

DoT

:853 TLS

DNS over TLS. Canal TLS dédié. Plus facile à filtrer que DoH car le port 853 est identifiable. Utilisé en entreprise.

DNSSEC

RFC 4033

Signature cryptographique des enregistrements DNS. Garantit l'authenticité de la réponse. Ne chiffre pas, signe.

DNS et sécurité : le DNS classique (UDP 53) transmet les requêtes en clair. DoH (DNS over HTTPS) et DoT (DNS over TLS) chiffrent ces requêtes. DNSSEC ajoute une signature cryptographique pour garantir l'authenticité des réponses. Ces trois mécanismes sont complémentaires et non exclusifs.
5
Exercice : identifier les enregistrements DNS

Pour chaque scénario ci-dessous, choisissez le type d'enregistrement DNS approprié. Une explication s'affiche après chaque réponse.

Voir aussi