Le DNS : Qu’est-ce que c’est et comment fonctionne-t-il ?

Chaque jour, nous tapons des URLs dans notre navigateur, envoyons des e-mails ou utilisons des applications, sans jamais nous interroger sur ce qui se passe en coulisses. Pourtant, derrière chaque action se cache un mécanisme fondamental : le DNS.

Le DNS (Domain Name System) est souvent comparé à l’annuaire d’Internet. Sans lui, nous devrions mémoriser des suites de chiffres pour accéder à n’importe quel site web. Dans cet article, nous allons voir ce qu’est le DNS, comment il fonctionne concrètement, et pourquoi sa bonne gestion est stratégique.

Qu’est-ce que le DNS ?

Le DNS, ou Système de Noms de Domaine (“Domain Name System”), régit l’ensemble du réseau internet depuis 1985. Le système DNS permet de traduire un nom de domaine lisible (comme www.netim.com) en adresse IP (comme 172.66.43.171) compréhensible par les machines, et inversement.

Les ordinateurs, serveurs, équipements réseau et finalement tous les appareils connectés à internet, ont tous leur propre adresse IP et ne communiquent qu’avec elles. Le DNS joue donc le rôle d’intermédiaire entre l’utilisateur et l’infrastructure technique d’Internet, en traduisant ces adresses IP, stockées sur les serveurs DNS, en noms de domaine : c’est ce que l’on appelle la résolution DNS.

Quels sont les 4 types de serveurs DNS ?

Pour bien comprendre la résolution DNS, il convient d’abord d’expliquer les différentes étapes par lesquelles passe une requête DNS. En effet, le système DNS repose sur une architecture hiérarchique de quatre serveurs, conçue pour être rapide et résiliente.

🔎 Le résolveur DNS (ou serveur récursif, ou récurseur DNS)

Quand un utilisateur accède à un nom de domaine via son navigateur, la requête est envoyée directement au résolveur DNS. Le résolveur DNS, public (Google, Cloudflare…), ou le plus souvent fourni par le FAI (fournisseur d’accès internet), agit comme un enquêteur chargé de trouver la bonne réponse.

Quand il reçoit la requête, il cherche d’abord l’adresse IP correspondante dans son cache. Le cache est la mémoire temporaire qui stocke les données des noms de domaines précédemment visité (nous abordons cette partie plus en détail en fin d’article). S’il ne trouve rien dans le cache, le résolveur interrogera :

• d’abord le serveur de noms racine,
• puis le serveur de noms d’extension de premier niveau (ou le serveur TLD),
• et enfin le serveur de noms faisant autorité sur le domaine (serveur de référence).

1️⃣ Les serveurs racine

Le premier serveur interrogé par le résolveur est le serveur racine. La zone racine est tout en haut de la hiérarchie des serveurs DNS et est souvent symbolisée par un point.

Les serveurs racine ne connaissent pas l’adresse IP de chaque site web, mais sont comme des annuaires qui permettent de rediriger la requête du résolveur pour interroger le serveur de noms d’extension de premier niveau (serveur TLD), c’est à dire le serveur de noms du registre en charge de l’extension correspondant.

Par exemple, si je cherche à accéder à netim.com, le serveur racine va rediriger la requête vers le serveur TLD du .COM (le serveur du registre Verisign).

💡 Il existe aujourd’hui 13 serveurs racine, supervisés par l‘IANA (Internet Assigned Numbers Authority), qui est un département de l’ICANN (Internet Corporation for Assigned Names and Number). Ces 13 serveurs sont identifiés par les lettres A à M, dont la liste est disponible sur le site de l’IANA. Chacun de ces serveurs repose sur une infrastructure Anycast : cela représente donc plus de 600 points de présence au total dans le monde, mais uniquement 13 adresses IP différentes.

2️⃣ Les serveurs de noms d’extension de premier niveau (TLD)

Les serveurs de noms d’extension de premier niveau, ou les serveurs TLD (Top-Level Domains) constituent le niveau juste en dessous de la zone racine. Le TLD (nom de domaine de premier niveau), est l’extension du nom de domaine : .COM, .FR, .NET…

Chaque extension est gérée par un registre, qui gère la base des noms de domaine enregistrés sous cette extension. Par exemple, le registre du .FR est l’Afnic, le registre du .COM est Verisign. (💡Verisign possède lui aussi 13 serveurs DNS nommés de A à M.  L’Afnic en possède 3.)

Les serveurs de noms TLD redirigent la requête vers la dernière zone : les serveurs de noms de référence (faisant autorité sur le domaine). Quand je cherche à accéder à netim.com, le serveur TLD du .COM me redirige vers le serveur autoritaire de netim.com.

3️⃣ Le serveurs de noms de référence (serveurs autoritaires)

Les serveurs autoritaires sont la dernière étape d’une requête DNS. Ce sont eux qui renvoient l’adresse IP finale du nom de domaine demandé vers le résolveur DNS, qui le renvoie ensuite au navigateur web.

Chaque nom de domaine dispose d’une zone DNS (fichier de zone) qui contient l’ensemble des enregistrements DNS permettant de rediriger correctement le trafic vers la bonne adresse IP.

Comment se déroule la résolution DNS ?

Lorsqu’un utilisateur saisit un nom de domaine dans son navigateur, une requête DNS est déclenchée. La résolution DNS est le processus complètement transparent pour l’utilisateur, qui traduit un nom de domaine (netim.com) en adresse IP (172.66.43.171). Voici une version simplifiée des étapes :

1. Le navigateur (le client réseau) cherche à accéder à netim.com : il envoie une requête au résolveur DNS.
2. Si le résolveur DNS ne trouve pas les données dans son cache, alors il interroge les serveurs racine qui redirigent la requête vers le serveur TLD correspondant  ;
3. Le serveur TLD (dans notre exemple : le serveur du registre en charge du .COM) renvoie vers le serveur autoritaire qui contient les informations pour netim.com ;
4. Le serveur autoritaire (ou serveur de noms de référence) qui contient toutes les informations exactes du domaine (les enregistrements DNS…), renvoie l’adresse IP de netim.com au navigateur, qui peut accéder au site web.

Comment bien gérer la zone DNS de son nom de domaine ?

Si vous êtes détenteur d’un nom de domaine, il est essentiel de bien comprendre comment gérer votre zone DNS. La zone DNS, hébergée sur les serveurs autoritaires, est comme le cœur technique de votre nom de domaine.

Généralement, vous accédez à la configuration de votre zone DNS depuis votre registrar, votre hébergeur ou fournisseur DNS spécialisé. Vous y trouverez votre fichier de zone : un fichier texte qui contient tous les enregistrements DNS d’un domaine.

📝 Les principaux type d’enregistrements DNS

• A et AAAA : pour faire pointer le domaine vers des adresses IPv4 et IPv6 ;
• CNAME (Canonical Name) : crée un alias vers un autre domaine ;
• MX (Mail eXchange) : définit les serveurs responsables de la réception des e-mails ;
• TXT (Text) : utilisé pour des informations diverses, notamment la sécurité des e-mails (SPF, DKIM, DMARC) ;
• NS (Name Server) : indique quels serveurs font autorité pour la zone, essentiels pour la délégation DNS.

⏳ Le TTL et la propagation DNS

C’est également dans votre fichier de zone DNS que vous pouvez configurer vos TTL.

Le TTL (Time to Live) est la durée de vie d’un enregistrement DNS dans le cache d’un résolveur DNS. En d’autres termes, c’est le temps que doit attendre le résolveur DNS avant de mettre à jour les informations qu’il a dans son cache.

Lorsque vous modifiez un enregistrement DNS, ou si vous changez d’hébergeur ou de CMS lors d’une migration par exemple, les changements sur votre site ne se répercutent pas instantanément partout sur Internet : il y a un temps de propagation nécessaire pour que tous les résolveurs dans le monde prennent en compte la modification.

💡 Ainsi, lors de modifications critiques, pensez à mettre à jour le TTL en amont, pour accélérer la propagation DNS le jour J (300 secondes au lieu de 3600 secondes)

🛡️ La performance et la sécurité du DNS

Le DNS est un point d’entrée vers votre site web, il est donc une cible pour les cyberattaques. Le risque principal demeure le DNS Spoofing (usurpation de DNS), par empoisonnement du cache DNS ou par interception des requêtes DNS.

Si la réponse DNS est usurpée, un utilisateur se rendant sur votre nom de domaine sera redirigé sur un autre site sans même qu’il ne s’en aperçoive. C’est ce que l’on appelle du détournement de domaine, et les répercussions peuvent être fatales pour votre entreprise :

• Redirection frauduleuse du trafic vers un site malveillant ;
• Envoi de fausses informations avec votre adresse e-mail professionnelle (votre domaine) ;
• Mise en danger des données personnelles de vos clients ;
• Impact sur votre image de marque et sur votre chiffre d’affaire…

Pour garantir l’intégrité des réponses DNS de son nom de domaine, il existe le protocole DNSSEC. Le DNSSEC (DNS Security Extensions) permet de signer cryptographiquement les réponses DNS, garantissant ainsi leur authenticité.

De même, le DNS joue un rôle important sur la performance de votre site. En optant pour une infrastructure DNS Anycast, les requêtes sont réparties sur plusieurs serveurs situés dans différentes zones géographiques. L’utilisateur est ainsi automatiquement dirigé vers le serveur le plus proche, ce qui réduit la latence et accélère la résolution DNS.

Le DNS Anycast permet également de renforcer la disponibilité de votre site : si un serveur tombe, un autre peut prendre le relais. De même, en cas de pics de trafic sur votre site ou d’attaques de type DDoS, la charge se dilue sur plusieurs serveurs : les interruptions ou ralentissements sont ainsi fortement réduits.

Si vous n’avez pas encore de nom de domaine, Netim est un registrar de confiance, basé en France, qui vous propose plus de 1300 extensions disponibles à l’enregistrement.

🖊️ Découvrez tous nos articles liés aux noms de domaine.
📧 N’oubliez pas de vous inscrire à notre newsletter depuis votre espace client Netim Direct pour recevoir toutes nos actualités et nos promotions !