DNS expliqué : Comment fonctionne la résolution de noms de domaine
· 12 min de lecture
Chaque fois que vous visitez un site web, envoyez un e-mail ou utilisez une application, le système de noms de domaine (DNS) fonctionne en coulisses pour traduire les noms de domaine lisibles par l'homme en adresses IP lisibles par les machines. C'est l'une des infrastructures les plus critiques mais invisibles d'Internet, souvent appelée « l'annuaire téléphonique d'Internet ».
Comprendre le DNS n'est pas réservé aux ingénieurs réseau. Que vous soyez développeur déployant des applications, propriétaire d'entreprise gérant votre présence en ligne, ou simplement curieux de savoir comment fonctionne Internet, connaître les fondamentaux du DNS vous aide à résoudre les problèmes, améliorer les performances et prendre des décisions éclairées concernant votre infrastructure.
Ce guide détaille tout ce que vous devez savoir sur le DNS, du processus de résolution aux considérations de sécurité, avec des exemples pratiques que vous pouvez utiliser dès aujourd'hui.
Table des matières
- Qu'est-ce que le DNS et pourquoi est-il important ?
- Comment fonctionne la résolution DNS : étape par étape
- Comprendre la hiérarchie DNS
- Types d'enregistrements DNS expliqués
- TTL et stratégies de mise en cache
- Résolution des problèmes DNS courants
- Sécurité DNS : menaces et protection
- Choisir le bon fournisseur DNS
- Optimiser les performances DNS
- Questions fréquemment posées
- Articles connexes
Qu'est-ce que le DNS et pourquoi est-il important ?
Le DNS (Domain Name System) est une base de données distribuée qui associe les noms de domaine aux adresses IP. Sans lui, vous devriez mémoriser des chaînes comme 93.184.216.34 au lieu de taper example.com dans votre navigateur.
Considérez le DNS comme une liste de contacts massive et décentralisée. Lorsque vous demandez un site web, les serveurs DNS du monde entier travaillent ensemble pour trouver l'adresse IP correcte pour ce domaine, de la même manière que vous rechercheriez un numéro de téléphone dans un annuaire.
Mais le DNS fait plus qu'une simple traduction nom-vers-IP. Il gère également :
- Le routage des e-mails via les enregistrements MX qui dirigent les messages vers les bons serveurs de messagerie
- L'équilibrage de charge en distribuant le trafic sur plusieurs serveurs
- La découverte de services pour les applications qui doivent trouver des services spécifiques
- La vérification de sécurité via des enregistrements comme SPF, DKIM et DMARC
- La diffusion de contenu en pointant les domaines vers des points de terminaison CDN
Le système DNS traite plus de 400 milliards de requêtes par jour dans le monde. Un seul enregistrement DNS mal configuré peut mettre hors service un site web ou un système de messagerie entier, ce qui rend la connaissance du DNS essentielle pour toute personne gérant une infrastructure en ligne.
Conseil rapide : Utilisez notre outil de recherche DNS pour vérifier instantanément tous les enregistrements DNS de n'importe quel domaine et voir comment fonctionne la résolution DNS en temps réel.
Comment fonctionne la résolution DNS : étape par étape
Lorsque vous tapez example.com dans votre navigateur et appuyez sur Entrée, une chaîne complexe de recherches se produit en quelques millisecondes. Voici le processus complet :
La chaîne de résolution DNS
- Vérification du cache du navigateur : Votre navigateur vérifie d'abord son propre cache DNS pour voir s'il a récemment recherché ce domaine. Les navigateurs modernes mettent en cache les enregistrements DNS pendant la durée spécifiée par la valeur TTL (Time To Live).
- Cache du système d'exploitation : Si le cache du navigateur ne trouve rien, le système d'exploitation vérifie son cache DNS. Sur les systèmes Linux et Mac, cela inclut la vérification du fichier
/etc/hostspour les remplacements manuels. - Requête au résolveur récursif : Si toujours introuvable, votre ordinateur envoie la requête à un résolveur DNS récursif, généralement le serveur DNS de votre FAI ou un résolveur public comme Cloudflare (1.1.1.1) ou Google (8.8.8.8).
- Vérification du cache du résolveur : Le résolveur récursif vérifie son propre cache. S'il a une réponse récente, il la renvoie immédiatement. C'est pourquoi les visites ultérieures sur des sites web populaires sont presque instantanées.
- Requête au serveur de noms racine : Pour les requêtes non mises en cache, le résolveur commence au sommet de la hiérarchie DNS en demandant à l'un des 13 clusters de serveurs de noms racine : « Qui gère les domaines .com ? » Le serveur racine répond avec les adresses des serveurs de noms TLD (Top-Level Domain) .com.
- Requête au serveur de noms TLD : Le résolveur demande ensuite à un serveur de noms TLD .com : « Qui fait autorité pour example.com ? » Le serveur TLD répond avec les serveurs de noms faisant autorité pour ce domaine spécifique.
- Requête au serveur de noms faisant autorité : Enfin, le résolveur demande au serveur de noms faisant autorité : « Quel est l'enregistrement A pour example.com ? » Le serveur faisant autorité répond avec l'adresse IP.
- Réponse et mise en cache : Le résolveur met en cache ce résultat selon la valeur TTL et renvoie l'adresse IP à votre ordinateur, qui la met également en cache. Votre navigateur peut maintenant se connecter au serveur web à cette adresse IP.
L'ensemble de ce processus de résolution récursive prend généralement 20 à 120 ms pour les requêtes non mises en cache. Les requêtes mises en cache se résolvent en moins de 1 ms, c'est pourquoi la navigation semble instantanée pour les sites fréquemment visités.
Conseil pro : Vous pouvez voir ce processus en action en utilisant des outils en ligne de commande. Exécutez dig +trace example.com sur Linux/Mac ou utilisez notre vérificateur de propagation DNS pour voir comment les enregistrements DNS apparaissent dans différents emplacements mondiaux.
Requêtes itératives vs récursives
Le DNS utilise deux types de requêtes :
- Requêtes récursives : Votre ordinateur demande au résolveur de faire tout le travail et de renvoyer la réponse finale. Le résolveur gère toutes les recherches intermédiaires.
- Requêtes itératives : Le résolveur interroge chaque serveur de noms dans la chaîne, et chacun répond soit avec la réponse, soit avec une référence au prochain serveur de noms à interroger.
La plupart des communications client-résolveur utilisent des requêtes récursives pour plus de simplicité, tandis que la communication résolveur-serveur de noms utilise des requêtes itératives pour l'efficacité et le contrôle.
Comprendre la hiérarchie DNS
Le DNS est organisé comme une structure arborescente hiérarchique, partant de la racine et se ramifiant vers des niveaux de plus en plus spécifiques. Cette architecture distribuée est ce qui rend le DNS évolutif à des milliards de domaines.
Les quatre niveaux du DNS
1. Niveau racine (.)
Le niveau racine se situe au sommet de la hiérarchie DNS. Il existe 13 identités de serveurs de noms racine (étiquetés de A à M), bien que chacun soit en réalité un cluster de centaines de serveurs distribués mondialement utilisant le routage anycast. Ces serveurs savent où trouver tous les serveurs de noms TLD.
2. Domaine de premier niveau (TLD)
Les TLD sont les extensions que vous voyez à la fin des noms de domaine. Ils se répartissent en plusieurs catégories :
- TLD génériques (gTLD) : .com, .org, .net, .info, .biz
- TLD de code pays (ccTLD) : .uk, .de, .jp, .ca, .au
- TLD sponsorisés : .gov, .edu, .mil (utilisation restreinte)
- Nouveaux gTLD : .app, .dev, .tech, .io, .ai (introduits depuis 2013)
3. Domaine de deuxième niveau (SLD)
C'est la partie principale de votre nom de domaine, la partie que vous enregistrez. Dans example.com, « example » est le domaine de deuxième niveau. Vous avez un contrôle total sur les enregistrements DNS à ce niveau.
4. Sous-domaine
Les sous-domaines sont des préfixes que vous ajoutez à votre domaine : blog.example.com, shop.example.com, api.example.com. Vous pouvez créer un nombre illimité de sous-domaines et les pointer vers différents serveurs ou services.
Délégation et autorité
Chaque niveau de la hiérarchie DNS délègue l'autorité au niveau inférieur. La racine délègue aux TLD, les TLD délèguent aux propriétaires de domaines, et les propriétaires de domaines peuvent déléguer des sous-domaines à d'autres serveurs de noms. Cette délégation est enregistrée à l'aide d'enregistrements NS (serveur de noms).
Lorsque vous enregistrez un domaine, vous spécifiez quels serveurs de noms font autorité pour votre domaine. Ces serveurs de noms répondent ensuite à toutes les requêtes concernant votre domaine et ses sous-domaines.
Types d'enregistrements DNS expliqués
Les enregistrements DNS sont des instructions stockées sur les serveurs de noms faisant autorité qui fournissent des informations sur un domaine. Chaque type d'enregistrement a un objectif spécifique. Voici les plus importants que vous rencontrerez :
| Type d'enregistrement | Objectif | Exemple de valeur | Utilisation courante |
|---|---|---|---|
| A | Associe le domaine à une adresse IPv4 | 93.184.216.34 |
Pointer le domaine vers un serveur web |
| AAAA | Associe le domaine à une adresse IPv6 | 2606:2800:220:1:248:1893:25c8:1946 |
Connectivité IPv6 |
| CNAME | Alias vers un autre domaine | www.example.com → example.com |
Redirection de sous-domaines |
| MX | Serveur de messagerie pour le domaine | 10 mail.example.com |
Routage de livraison d'e-mails |
| TXT | Données texte pour vérification | v=spf1 include:_spf.google.com ~all |
SPF, DKIM, vérification de domaine |
| NS | Serveurs de noms faisant autorité | ns1.cloudflare.com |
Délégation de l'autorité DNS |
| SOA | Informations d'autorité de zone | NS principal, e-mail admin, numéro de série | Métadonnées de gestion de zone |
| SRV | Emplacement de service (port + hôte) | _sip._tcp 10 5 5060 sip.example.com |
Découverte de services |
| CAA | Autorisation d'autorité de certification | 0 issue "letsencrypt.org" |
Sécurité SSL/TLS |
| PTR | DNS inversé (IP → domaine) | 34.216.184.93.in-addr.arpa |
Réputation e-mail, journalisation |
Approfondissement : types d'enregistrements critiques
Enregistrements A et AAAA
Ce sont les enregistrements DNS les plus fondamentaux. Les enregistrements A correspondent aux adresses IPv4 (le format traditionnel), tandis que les enregistrements AAAA correspondent aux adresses IPv6 (le format plus récent et étendu). La plupart des domaines devraient avoir les deux pour assurer la compatibilité sur tous les réseaux.
Vous pouvez avoir plusieurs enregistrements A pour le même domaine, ce qui permet un équilibrage de charge simple en tourniquet. Les résolveurs DNS feront tourner les adresses IP, distribuant le trafic sur plusieurs serveurs.
Enregistrements CNAME
Les enregistrements CNAME (Canonical Name) créent des alias. Ils sont parfaits pour pointer plusieurs sous-domaines vers la même destination sans dupliquer la configuration. Cependant, les enregistrements CNAME ont des limitations importantes :
- Ne peuvent pas être utilisés au domaine racine (example.com) en raison des exigences de spécification DNS
- Ne peuvent pas coexister avec d'autres types d'enregistrements pour le même nom
- Ajoutent une recherche DNS supplémentaire, augmentant légèrement le temps de résolution
Utilisez notre outil de recherche CNAME pour tracer les chaînes CNAME et vérifier que vos alias sont correctement configurés.
Enregistrements MX
Les enregistrements MX (Mail Exchange) indiquent aux serveurs de messagerie où livrer le courrier pour votre domaine. Chaque enregistrement MX inclut un numéro de priorité : les nombres inférieurs ont une priorité plus élevée. Cela vous permet de configurer des serveurs de messagerie de secours qui reçoivent le courrier si votre serveur principal est indisponible.
Exemple de configuration MX :
example.com. MX 10 mail1.example.com.
example.com. MX 20 mail2.example.com.
example.com. MX 30 mail3.example.com.Vérifiez la configuration de votre serveur de messagerie avec notre outil de recherche MX pour vous assurer que la livraison des e-mails fonctionne correctement.
Enregistrements TXT
Les enregistrements TXT stockent des données texte arbitraires et sont devenus essentiels pour la sécurité des e-mails et la vérification de domaine. Les utilisations courantes incluent :
- SPF (Sender Policy Framework) : Liste les serveurs de messagerie qui peuvent envoyer des e-mails au nom de votre domaine
- DKIM (DomainKeys Identified Mail) : Fournit une authentification cryptographique pour les e-mails
- DMARC : Spécifie comment gérer les e-mails qui échouent aux vérifications SPF ou DKIM
- Vérification de domaine : Prouve la propriété du domaine aux services comme Google Workspace ou Microsoft 365
- Vérification de site : Confirme la propriété pour les moteurs de recherche et autres plateformes
Conseil pro : Les enregistrements TXT ont une limite de 255 caractères par chaîne, mais vous pouvez diviser les valeurs plus longues en plusieurs chaînes au sein du même enregistrement. La plupart des fournisseurs DNS gèrent cela automatiquement.
TTL et stratégies de mise en cache
Le TTL (Time To Live) est un concept DNS critique qui détermine combien de temps les enregistrements DNS sont mis en cache par les résolveurs et les clients. Il est mesuré en secondes et impacte directement à la fois les performances et la flexibilité.
Comprendre les valeurs TTL
Lorsqu'un serveur de noms faisant autorité répond à une requête DNS, il inclut une valeur TTL avec chaque enregistrement. Cela indique au résolveur : « Vous pouvez mettre en cache cette réponse pendant X secondes avant de vérifier à nouveau. »
| Valeur TTL | Durée | Cas d'utilisation | Avantages | Inconvénients |
|---|---|---|---|---|
| 60 | 1 minute | Migrations actives, tests de basculement | Les changements se propagent rapidement | Charge de requêtes élevée sur les serveurs de noms |
| 300 | 5 minutes | DNS dynamique, équilibrage de charge | Équilibre raisonnable |