Cependant pour une gestion interne des ressources d’un r\u00e9seau, comme par exemple pour l’installation d’un Active Directory, il est possible d’utiliser des noms de domaine \u00ab\u00a0bidons\u00a0\u00bb ou en .local. A l’installation le DNS se plaindra simplement de ne pouvoir joindre son \u00ab\u00a0parent\u00a0\u00bb.<\/p>\n
Achats de noms de domaine<\/h2>\n
C’est un organisme am\u00e9ricain, l’ICANN, qui g\u00e8re les noms de domaine de premier niveau (TLD) comme .com, .net, .fr… En juin 2024, le\u00a0\u00ab Domain Name Brief Industry \u00bb de Verisign<\/a>\u00a0d\u00e9nombre 362,5 millions de noms de domaine enregistr\u00e9s.<\/strong><\/p>\n https:\/\/solidnames.fr\/quel-est-le-nombre-de-noms-de-domaine-dans-le-monde-en-2024\/<\/a><\/p>\n Google.com est sans doute le plus connu des domaines (ou le plus utilis\u00e9), stitou.net le moins, ils ont en commun ce ‘point’ et ces extensions com, fr, gov, edu, it,. La est toute la dimension des domaines.<\/p>\n De la racine -root- part toute l’arborescence du syst\u00e8me.<\/p>\n Ensuite viennent les extensions. DNS ayant \u00e9t\u00e9 cr\u00e9e aux Etats-Unis, les .gov et.mil sont plus sp\u00e9cifiquement am\u00e9ricains. Le .com pour commercial regroupe enormement de soci\u00e9t\u00e9s. (J’aimerai voir le fichier de d\u00e9l\u00e9gation de zone de com !), ensuite chaque pays a son extension .fr, lu, be sous lequel il organise sa sous hi\u00e9rarchie : impots.gouv.fr par exemple.<\/p>\n Il faut bien faire la diff\u00e9rence entre les domaines et les zones.<\/p>\n Les domaines sont les noms de famille, alors que les zones sont les familles et les fichiers de zone les livrets de famille.<\/p>\n Un serveur DNS assure la r\u00e9solution de noms. En d\u2019autres termes, il permet aux utilisateurs d\u2019ordinateurs clients d\u2019adopter des noms \u00e0 la place des adresses\u00a0IP num\u00e9riques pour identifier les h\u00f4tes distants. Un ordinateur client envoie le nom d\u2019un h\u00f4te distant \u00e0 un serveur DNS, lequel r\u00e9pond avec l\u2019adresse IP correspondante. L\u2019ordinateur client peut alors envoyer des messages directement \u00e0 l\u2019adresse\u00a0IP de l\u2019h\u00f4te distant. Si le serveur DNS ne dispose pas d\u2019une entr\u00e9e dans sa base de donn\u00e9es pour l\u2019h\u00f4te distant, il peut r\u00e9pondre au client avec l\u2019adresse d\u2019un serveur DNS qui a plus de chances de poss\u00e9der des informations sur cet h\u00f4te distant, ou il peut interroger l\u2019autre serveur DNS. Ce processus peut intervenir de mani\u00e8re r\u00e9cursive jusqu\u2019\u00e0 ce que l\u2019ordinateur client re\u00e7oive l\u2019adresse IP, ou jusqu\u2019\u00e0 ce qu\u2019il soit \u00e9tabli que le nom interrog\u00e9 n\u2019appartient pas \u00e0 un h\u00f4te dans l\u2019espace de noms DNS sp\u00e9cifique.<\/p>\n Le DNS fonctionne suivant le mod\u00e8le client\/serveur : le\u00a0\u00a0client lance des requ\u00eates DNS \u00e0 travers une application sp\u00e9cialis\u00e9e appel\u00e9e resolver\u00a0<\/strong>. Ces requ\u00eates sont g\u00e9n\u00e9ralement adress\u00e9es \u00e0 un serveur de noms par d\u00e9faut (par exemple le serveur de noms d’entreprise) ; sous Unix\u00a0, ce serveur est sp\u00e9cifi\u00e9 dans le fichier \/etc\/resolv.conf<\/strong>.<\/p>\n Il existe 2 modes d’interrogation, dans le mode r\u00e9cursif, le serveur prend tout le processus de r\u00e9solution \u00e0 sa charge pour apporter une r\u00e9ponse d\u00e9finitive. Dans le mode it\u00e9ratif, le serveur ne fait qu’orienter le client vers d’autres serveurs adapt\u00e9s.<\/p>\n Prenons un exemple un peu compliqu\u00e9, comme Ainsi, un serveur (un h\u00f4te), ici Nous avons donc une structure arborescente dont l’origine est le fameux point final, que l’on omet g\u00e9n\u00e9ralement, mais qui existe bel et bien et qui repr\u00e9sente la racine de l’arbre. Nous pouvons d’ailleurs utiliser la commande DNS \u00e9tant un protocole que l’on soit sous Windows ou Linux les informations sont les m\u00eames; seule la pr\u00e9sentation change : en fen\u00eatre pour Windows bien sur \ud83d\ude09<\/p>\n Le fichier de zone<\/p>\n Les enregistrements des \u00a0h\u00f4tes\u00a0sous Linux ou chez Microsoft<\/p>\n Tout se trouve (sur Debian) dans le r\u00e9pertoire Nous n’en avons pas parl\u00e9 jusqu’ici, mais il faut tout de m\u00eame en dire quelques mots, de la r\u00e9solution inverse, celle qui consiste \u00e0 retrouver un nom d’h\u00f4te \u00e0 partir de son adresse IP. Ce service est peu utilis\u00e9 par le particulier (entendez par l\u00e0 l’internaute en g\u00e9n\u00e9ral). Il l’est cependant parfois par des services sur l’internet, comme par exemple SMTP, pour tenter de lutter contre le spam. Pour cette raison, nous n’en dirons pas plus sur la question.<\/p>\n Ce fichier fait lui-m\u00eame appel \u00e0 deux autres fichiers de configuration, A part ceci, nous observons des d\u00e9clarations de zones, presques toutes destin\u00e9es \u00e0 la r\u00e9solution inverse, \u00e0 l’exception de celle qui sont surlign\u00e9es en vert.<\/p>\n<\/div>\n Elle permet de r\u00e9soudre Le fichier Il contient en effet toutes les informations sur les Le contenu de ce fichier \u00e9volue peu dans le temps et les mises \u00e0 jour de la distribution suffisent normalement \u00e0 le maintenir dans un \u00e9tat satisfaisant. Notez que certains des root-servers disposent d’une adresse IPv6.<\/p>\n<\/div>\n SOA : pour Start Of Autority<\/p>\n Le serveur qui a le fichier qui fait autorit\u00e9 sur la zone.<\/p>\n NS : les Serveurs de nom. Le 1er est aussi le SOA, les autres NS sont des serveurs secondaires.<\/p>\n A (ou AAAA en IP V6) : les h\u00f4tes !<\/p>\n MX : adresse du serveur SMTP. Le lien entre le serveur de messagerie qui comprend les utilisateurs et le domaine permettant d’\u00e9crire stitou@free.fr par exemple.<\/p>\n CNAME : alias d’un nom de serveur Web<\/p>\n Lorsqu’il y a un sous-domaine, ou domaine-enfant, ou domaine d\u00e9l\u00e9gu\u00e9; il faut pouvoir contacter les serveurs qui g\u00e8rent ces zones.<\/p>\n Un dns simple<\/a>\u00a0(idem que sur 2003\/2008\/2012) avec les 3 enregistrements d base SOA, NS et A, ainsi que la zone invers\u00e9e.<\/p>\n Sous Windows TP avec des primaires et des secondaires\u00a0DNS<\/a><\/p>\n pour son site web :\u00a0openclassroom <\/a>l’explique tr\u00e8s bien<\/p>\n Sous Linux TP<\/p>\n Jusqu’en 1984, sur la suite des protocoles\u00a0TcpIp<\/a>, la transcription de noms d’h\u00f4tes en adresses Internet s’appuyait sur une table de correspondance maintenue par le Network Information Center (NIC), et ce dans un fichier .txt, lequel \u00e9tait transmis par Ftp \u00e0 tous les h\u00f4tes. Il n’\u00e9tait \u00e0 l’\u00e9poque pas compliqu\u00e9 de stocker les adresses puisque le nombre de machines \u00e9tait tr\u00e8s r\u00e9duit. Avec la croissance exponentielle d’Internet il a fallu trouver une autre solution,<\/p>\n La mise \u00e0 jour des fichiers : En effet il fallait retransmettre le fichier de mise \u00e0 jour \u00e0 tous les h\u00f4tes, ce qui encombrait fortement la bande passante du NIC.<\/p>\n L’autonomie des organismes : Avec l’\u00e9volution de l’Internet, les architectures ont \u00e9t\u00e9 transform\u00e9es, ainsi des organismes locaux ont eu la possibilit\u00e9 de cr\u00e9er leur propres noms et adresses, et ils \u00e9taient alors oblig\u00e9s d’attendre que le NIC prenne en compte leurs nouvelles adresses avant que les sites ne puissent \u00eatre visibles par tous sur Internet. Le souhait \u00e9tait alors que chacun puisse g\u00e9rer ses adresses avec une certaine autonomie.<\/p>\n En 1983-1984, Paul Mockapetris et John Postel proposent et d\u00e9veloppent une solution qui utilise des structures de base de donn\u00e9es distribu\u00e9e : les Domain Name System, Rfcs 882 et 883 devenue obsol\u00e8te par la\u00a0Rfc 1034<\/a>. Et cr\u00e9\u00e9e alors\u00a0un espace de noms hi\u00e9rarchis\u00e9, dont le principe hi\u00e9rarchique s’appuie sur la structure des organismes eux-m\u00eames, et o\u00f9 les noms utilisent le caract\u00e8re \u00ab\u00a0.\u00a0\u00bb pour marquer la fronti\u00e8re entre deux niveaux hi\u00e9rarchiques.<\/p>\n Source :http:\/\/www.frameip.com\/dns\/<\/a><\/p>\n Le syst\u00e8me DNS \u00e9tant la pierre angulaire d’Internet<\/p>\n Probl\u00e8me de la centralisation : affaire wikileaks,<\/p>\n Attaque des serveurs : interdiction des serveurs r\u00e9cursifs ouverts<\/p>\n Site du Certa (celui de s\u00e9curit\u00e9 pas celui de cours)<\/p>\n La vid\u00e9o de St\u00e9phane Bortzmeyer<\/a>, grand sp\u00e9cialiste du syst\u00e8me DNS<\/p>\n A lire aussi les fast-flux<\/a><\/p>\n
\nIl d\u00e9l\u00e8gue la gestion technique de ces TLD \u00e0 diff\u00e9rents op\u00e9rateurs appel\u00e9s registry<\/strong> : c’est l’AFNIC qui g\u00e8re les domaines .fr et .re par exemple.
\nEnfin chaque registry d\u00e9l\u00e8gue \u00e0 plusieurs registrar<\/strong> la vente des noms de domaine. Ceux-ci sont tr\u00e8s nombreux. En France, citons Gandi<\/a>, OVH<\/a>, 1&1<\/a>, Nerim<\/a>…<\/p>\n![\"acaht](\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/acaht-nom-dom-300x207.jpg\")
<\/a><\/p>\nNombre en domaine en 2024<\/h2>\n
<\/h1>\n
<\/h1>\n
\u00a0Hi\u00e9rarchie des zones<\/h1>\n
![\"dns](\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/dns-zones-300x173.png\")
<\/a><\/p>\n![\"domaine](\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/domaine-et-zone-300x168.gif\")
<\/a><\/p>\n<\/h1>\n
<\/h1>\n
<\/h1>\n
Fonctionnement du\u00a0DNS<\/h1>\n
\u00a0Requ\u00eates et modes<\/h2>\n
![\"DNS-recursif\"](\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/DNS-recursif-300x253.png\")
![\"DNS-iteratif\"](\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/DNS-iteratif-300x254.png\")
<\/a><\/h2>\n<\/h1>\n
Analyse d’un FQDN<\/h2>\n
www.education.gouv.fr<\/code> ; en toute rigueur, il serait plus correct d’\u00e9crire www.education.gouv.fr.<\/code> (avec un point final, subtile diff\u00e9rence).<\/p>\n![\"FQDN\"](\"http:\/\/irp.nain-t.net\/lib\/exe\/fetch.php\/dns:fqdn.png?w=300&tok=26c6cb\" "\\"FQDN\\"")
<\/a><\/p>\n\n
www<\/code> appartiendrait \u00e0 un sous-domaine (education<\/code>) du domaine gouv<\/code>, lui-m\u00eame \u00e9tant un \u00e9l\u00e9ment du domaine g\u00e9n\u00e9rique fr<\/code> (la r\u00e9alit\u00e9 n’est h\u00e9las pas si simple, comme l’avenir va le montrer). Notons qu’il serait plus judicieux de parler d’un n\u0153ud ; en effet, un h\u00f4te peut disposer de plusieurs interfaces r\u00e9seau et donc disposer de plusieurs adresses IP.<\/p>\nhost<\/code> comme ceci :<\/p>\n$ host www.education.gouv.fr.\nwww.education.gouv.fr is an alias for front.webedu.men.aw.atosorigin.com.\nfront.webedu.men.aw.atosorigin.com has address 160.92.130.142<\/pre>\n<\/div>\n
Les fichiers de zone<\/h2>\n
![\"fichiers](\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/fichiers-zone-300x155.jpg\")
<\/a><\/p>\n![\"dns](\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/dns-fichier-300x138.png\")
<\/a><\/p>\n\/etc\/bind<\/code>.<\/p>\nNamed.conf<\/code>\u00a0est de toute \u00e9vidence, constitue le fichier de configuration principal :<\/p>\n<\/pre>\n
named.conf.options<\/code> et named.conf.local<\/code>. Nous aurons \u00e0 modifier au moins l’un d’entre eux. En revanche, named.conf<\/code> ne devrait (sur Debian) jamais \u00eatre modifi\u00e9, sauf par les mises \u00e0 jour futures de la distribution.<\/p>\nLa zone \u00ab\u00a0localhost\u00a0\u00bb<\/h4>\n
localhost<\/code><\/p>\ndb.local<\/code> a une structure que nous aurons besoin de d\u00e9tailler plus tard. Nous y apprenons quelocalhost<\/code> dispose des adresses 127.0.0.1 en IPv4 et ::1 en IPv6, ce que nous savions probablement d\u00e9j\u00e0.<\/p>\n<\/div>\nLa zone \u00ab\u00a0.\u00a0\u00bb<\/h4>\n
root-servers<\/code>, sans quoi, notre bind n’aurait rien pu faire.<\/p>\nLes types d’enregistrements:<\/h2>\n
\n
![\"cname](\"http:\/\/general.sio57.info\/wp\/wp-content\/uploads\/2015\/02\/cname-dns-300x161.png\")
<\/a><\/p>\nLes Glue records<\/h2>\n
\u00a0Comment faire<\/h1>\n
\u00a0Un peu d’histoire<\/h1>\n
\u00a0S\u00e9curit\u00e9<\/h1>\n