mlab mlab Academy
Analyse réseau

C'est quoi le DNS ?

L'annuaire d'Internet : comprendre comment le DNS traduit les noms de domaine en adresses IP.

1 Introduction

Quand vous voulez appeler un ami, vous cherchez son nom dans votre répertoire téléphonique et votre téléphone trouve automatiquement son numéro. Vous n'avez pas besoin de mémoriser le numéro : le répertoire fait la traduction pour vous. Le DNS (Domain Name System) fonctionne exactement de la même façon pour Internet.

Quand vous tapez www.google.com dans votre navigateur, votre ordinateur ne comprend pas ce nom directement. Il a besoin d'une adresse IP (comme 142.250.179.78) pour se connecter au serveur. Le DNS est l'annuaire géant d'Internet qui traduit les noms de domaine en adresses IP.

L'annuaire téléphonique d'Internet

Vous tapez

google.com

Le DNS traduit en

142.250.179.78

Votre navigateur se connecte

Page chargée

2 Comment ça marche

Explorez les enregistrements DNS d'un domaine avec l'outil ci-dessous :

Les types d'enregistrements DNS

L'annuaire DNS ne contient pas qu'un seul type d'information. Comme un annuaire qui listerait le téléphone fixe, le mobile, le fax et l'adresse postale, le DNS contient plusieurs types d'enregistrements :

A

Adresse IPv4

Pointe un nom de domaine vers une adresse IPv4 (ex: 93.184.216.34). C'est l'enregistrement le plus courant.

AAAA

Adresse IPv6

Même chose que A, mais pour les adresses IPv6 plus récentes (ex: 2606:2800:220:1:248:1893:25c8:1946).

MX

Mail Exchange

Indique quel serveur gère les emails du domaine. Comme savoir quelle boîte aux lettres utiliser pour une adresse.

CNAME

Alias

Redirige un nom vers un autre nom. Comme un surnom : www.exemple.com peut pointer vers exemple.com.

TXT

Texte libre

Contient du texte libre, souvent utilisé pour la sécurité email (SPF, DKIM, DMARC) ou la vérification de propriété d'un domaine.

NS

Name Server

Indique quels serveurs DNS font autorité pour ce domaine. C'est comme savoir quel annuaire consulter.

3 Analyse détaillée

La résolution DNS étape par étape

Quand vous tapez une adresse dans votre navigateur, voici ce qui se passe en coulisses :

1

Votre ordinateur vérifie d'abord son cache local : a-t-il déjà résolu ce domaine récemment ?

2

Sinon, il demande au résolveur DNS de votre FAI (ou de votre choix, comme 1.1.1.1 ou 8.8.8.8).

3

Le résolveur interroge un serveur racine qui l'oriente vers le serveur du bon domaine de premier niveau (.com, .fr...).

4

Le serveur TLD renvoie vers le serveur DNS autoritaire du domaine demandé.

5

Le serveur autoritaire fournit l'adresse IP finale, que votre navigateur utilise pour se connecter.

L'empoisonnement DNS (DNS Poisoning)

Imaginez que quelqu'un modifie votre annuaire téléphonique pour que le numéro de votre banque soit remplacé par celui d'un escroc. C'est exactement ce que fait l'empoisonnement DNS : l'attaquant corrompt le cache DNS pour que votre ordinateur reçoive une fausse adresse IP.

Vous tapez l'adresse de votre banque, tout semble normal, mais vous êtes en réalité connecté au serveur de l'attaquant. C'est pourquoi cette attaque est particulièrement dangereuse : la victime ne voit aucun signe apparent de problème dans la barre d'adresse.

DNS over HTTPS (DoH) : protéger vos requêtes

Par défaut, vos requêtes DNS sont envoyées en clair sur le réseau. Cela signifie que votre FAI, un pirate sur votre réseau Wi-Fi, ou même un gouvernement peut voir tous les sites que vous visitez.

Le DNS over HTTPS (DoH) résout ce problème en chiffrant les requêtes DNS dans du trafic HTTPS classique. C'est comme mettre votre recherche dans l'annuaire dans une enveloppe scellée au lieu de demander à voix haute. La plupart des navigateurs modernes supportent DoH et certains l'activent par défaut.

Essayez sur mlab.sh

Interrogez les enregistrements DNS de n'importe quel domaine : A, AAAA, MX, NS, TXT, CNAME. Verifiez la configuration DNS et detectez les anomalies qui pourraient indiquer une compromission.

Scanner les DNS sur mlab.sh

4 Red Flags

Voici les signaux d'alerte liés au DNS à surveiller :

Résolution vers une IP inattendue

Si un domaine connu pointe vers une adresse IP dans un pays inhabituel ou un hébergeur suspect, le DNS a peut-être été compromis.

TTL très court

Un TTL (Time To Live) très bas signifie que l'IP change fréquemment. Les attaquants utilisent cette technique (fast-flux) pour échapper à la détection.

Absence d'enregistrements MX

Un domaine qui prétend envoyer des emails mais qui n'a pas d'enregistrement MX est très probablement usurpé. Les vrais domaines d'entreprise ont toujours des enregistrements MX.

Pas de SPF/DKIM/DMARC

L'absence d'enregistrements TXT de sécurité email (SPF, DKIM, DMARC) indique que le domaine n'est pas sérieusement géré ou qu'il est éphémère.

Redirection DNS suspecte

Si vous êtes redirigé vers un site différent de celui attendu, votre DNS pourrait être empoisonné. Vérifiez avec un résolveur alternatif (1.1.1.1 ou 8.8.8.8).

Requêtes DNS inhabituelles

Des requêtes DNS vers des domaines très longs ou encodés en base64 peuvent indiquer un tunnel DNS : un malware utilise le DNS pour communiquer discrètement avec son serveur de commande.

Propulsé par mlab.sh

Modules connexes

C'est quoi un domaine ?

Des noms lisibles pour les humains : comment les domaines traduisent des adresses IP en noms faciles à retenir.

Analyser un domaine suspect

Techniques pour évaluer si un domaine est légitime ou potentiellement malveillant.

C'est quoi une adresse IP ?

L'adresse postale d'Internet : comprendre comment chaque appareil est identifié sur le réseau.